مشاركة عبر

التحقيق في تهديدات الحاوية والاستجابة لها في مدخل Microsoft Defender

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بمنتج تم إصداره مسبقا، والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات صريحة أو ضمنية، فيما يتعلق بالمعلومات المقدمة هنا

يمكن لعمليات الأمان الآن التحقيق في التنبيهات المتعلقة بالحاويات والاستجابة لها في الوقت الفعلي تقريبا والبحث عن الأنشطة ذات الصلة مع تكامل إجراءات الاستجابة الأصلية للسحابة وسجلات التحقيق في مدخل Microsoft Defender. يمكن أن يساعد توفر مسارات الهجوم أيضا المحللين على التحقيق على الفور في مشكلات الأمان الحرجة ومعالجتها لمنع حدوث خرق محتمل.

مع استخدام المؤسسات للحاويات وKubernetes على منصات مثل Azure Kubernetes Service (AKS) وGoogle Kubernetes Engine (GKE) وخدمة Amazon Elastic Kubernetes Service (EKS)، يتوسع سطح الهجوم، مما يزيد من التحديات الأمنية. يمكن أيضا استهداف الحاويات من قبل الجهات الفاعلة في التهديد واستخدامها لأغراض ضارة.

يمكن لمحللي مركز عمليات الأمان (SOC) الآن تتبع تهديدات الحاوية بسهولة باستخدام تنبيهات قريبة من الوقت الحقيقي والاستجابة الفورية لهذه التهديدات عن طريق عزل أو إنهاء حاويات الحاوية. يسمح هذا التكامل للمحللين بتخفيف هجوم الحاوية على الفور من بيئتهم بنقرة واحدة.

يمكن للمحللين بعد ذلك التحقيق في النطاق الكامل للهجوم مع القدرة على البحث عن الأنشطة ذات الصلة ضمن الرسم البياني للحادث. يمكنهم أيضا تطبيق الإجراءات الوقائية مع توفر مسارات الهجوم المحتملة في الرسم البياني للحادث. يسمح استخدام المعلومات من مسارات الهجوم لفرق الأمان بفحص المسارات ومنع الخروقات المحتملة. بالإضافة إلى ذلك، تتوفر تقارير تحليلات التهديدات الخاصة بتهديدات الحاوية والهجمات للمحللين للحصول على مزيد من المعلومات وتطبيق توصيات للاستجابة لهجمات الحاوية ومنعها.

المتطلبات الأساسية

يمكن للمستخدمين على أنظمة AKS وEKS وGKE الأساسية الاستفادة من إجراءات الاستجابة السحابية وسجلات التحقيق المتعلقة بالسحابة ومسارات الهجوم في مدخل Microsoft Defender بالتراخيص التالية:

الترخيص المطلوب الاجراءات
Microsoft Defender للحاويات عرض التنبيهات
المتعلقة بالحاوية عرض البيانات المتعلقة بالحاوية للتحقيق في التتبع
المتقدم عزل جراب
الإنهاء
Microsoft Defender لإدارة وضع أمان السحابة عرض مسارات الهجوم في الرسم البياني للحادث
Microsoft Security Copilot عرض الاستجابات الموجهة وتطبيقها للتحقيق في تهديدات الحاوية ومعالجتها

Microsoft Defender التالية للحاويات مطلوبة لإجراءات الاستجابة السحابية في مدخل Microsoft Defender:

  • أداة استشعار Defender
  • الوصول إلى واجهة برمجة تطبيقات Kubernetes

لمزيد من المعلومات حول هذه المكونات، راجع تكوين Microsoft Defender لمكونات الحاويات.

متطلبات نهج الشبكة

يدعم إجراء استجابة pod المعزول الإصدار 1.27 من نظام مجموعة Kubernetes والإصدارات الأحدث. المكونات الإضافية للشبكة التالية مطلوبة أيضا:

المكون الإضافي للشبكة الحد الأدنى للإصدار المطلوب
Azure-NPM 1.5.34
كاليكو 3.24.1
هدب 1.13.1
عقدة AWS 1.15.1

يتطلب إجراء استجابة pod العزل منفذ نهج الشبكة لمجموعة Kubernetes الخاصة بك. توفر الوثائق التالية خطوات محددة حول كيفية تثبيت نهج الشبكة والتحقق منها اعتمادا على النظام الأساسي الخاص بك:

للتحقق من دعم المكونات الإضافية للشبكة، اتبع الخطوات للوصول إلى Cloud Shell للنظام الأساسي الخاص بك وتحقق من المكونات الإضافية للشبكة في قسم استكشاف المشكلات وإصلاحها .

يعمل إجراء استجابة pod للإنهاء بغض النظر عن وجود نهج شبكة.

الأذونات

لتنفيذ أي من إجراءات الاستجابة، يجب أن يكون لدى المستخدمين الأذونات التالية Microsoft Defender for Cloud في Microsoft Defender XDR التحكم الموحد في الوصول المستند إلى الدور:

اسم الإذن مستوى
التنبيهات الإدارة
استجابه الإدارة

لمزيد من المعلومات حول هذه الأذونات، راجع الأذونات في Microsoft Defender XDR التحكم في الوصول الموحد المستند إلى الدور (RBAC).

التحقيق في تهديدات الحاوية

للتحقيق في تهديدات الحاوية في مدخل Microsoft Defender:

  1. حدد التحقيق & الاستجابة > للحوادث والتنبيهات في قائمة التنقل اليسرى لفتح قوائم انتظار الحدث أو التنبيه.
  2. في قائمة الانتظار، حدد تصفية واختر Microsoft Defender Microsoft Defender السحابة > للحاويات ضمن مصدر الخدمة. تمت تصفية قائمة انتظار الحوادث لإظهار الحوادث المتعلقة بالحاوية.
  3. في الرسم البياني للحادث، حدد كيان pod/service/cluster الذي تحتاج إلى التحقيق فيه. حدد تفاصيل خدمة Kubernetes أو تفاصيل جراب Kubernetes أو تفاصيل مجموعة Kubernetes أو تفاصيل سجل الحاوية لعرض المعلومات ذات الصلة حول الخدمة أو الجراب أو السجل.

باستخدام تقارير تحليلات التهديدات ، يمكن للمحللين الاستفادة من التحليل الذكي للمخاطر من الباحثين الأمنيين الخبراء في Microsoft للتعرف على الجهات الفاعلة النشطة في التهديدات والحملات التي تستغل الحاويات وتقنيات الهجوم الجديدة التي قد تؤثر على الحاويات والتهديدات السائدة التي تؤثر على الحاويات.

الوصول إلى تقارير تحليلات التهديدات من تحليلات المخاطر الذكية > للمخاطر. يمكنك أيضا فتح تقرير معين من صفحة الحدث عن طريق تحديد عرض تقرير تحليلات التهديدات ضمن التهديدات ذات الصلة في جزء جانب الحدث.

تمييز كيفية عرض تقارير تحليلات التهديدات من صفحة الحدث.

تحتوي تقارير تحليلات التهديدات أيضا على أساليب التخفيف والاسترداد والوقاية ذات الصلة التي يمكن للمحللين تقييمها وتطبيقها على بيئتهم. يساعد استخدام المعلومات الواردة في تقارير تحليلات التهديدات فرق SOC على الدفاع عن بيئتهم وحمايتها من هجمات الحاويات. فيما يلي مثال على تقرير محلل حول هجوم حاوية.

عينة صفحة من تقرير تحليلات تهديدات هجوم الحاوية.

الاستجابة لتهديدات الحاوية

يمكنك عزل أو إنهاء جراب بمجرد تحديد أن الجراب مخترق أو ضار. في الرسم البياني للحادث، حدد pod ثم انتقل إلى Actions لعرض إجراءات الاستجابة المتوفرة. يمكنك أيضا العثور على إجراءات الاستجابة هذه في جزء جانب الكيان.

تمييز إجراءات الاستجابة السحابية في حادث.

يمكنك تحرير جراب من العزل مع الإصدار من إجراء العزل بمجرد اكتمال التحقيق الخاص بك. يظهر هذا الخيار على الجزء الجانبي للقرون المعزولة.

يمكن عرض تفاصيل جميع إجراءات الاستجابة في مركز الصيانة. في صفحة مركز الصيانة، حدد إجراء الاستجابة الذي تريد فحصه لعرض مزيد من المعلومات حول الإجراء مثل الكيان الذي تم العمل عليه، ومتى تم تنفيذ الإجراء، واعرض التعليقات على الإجراء. بالنسبة للقرون المعزولة، يتوفر أيضا الإصدار من إجراء العزل في جزء تفاصيل مركز الصيانة.

عينة من إجراءات الاستجابة السحابية المدرجة في مركز الصيانة.

لتحديد النطاق الكامل لهجوم حاوية، يمكنك تعميق التحقيق الخاص بك باستخدام إجراء Go hunt المتوفر في الرسم البياني للحادث. يمكنك عرض جميع أحداث العملية والأنشطة المتعلقة بالحوادث المتعلقة بالحاوية على الفور من الرسم البياني للحادث.

تمييز إجراء التتبع في الرسم البياني للحادث.

في صفحة التتبع المتقدم ، يمكنك توسيع بحثك عن الأنشطة المتعلقة بالحاويات باستخدام جداول CloudProcessEventsوCloudAuditEvents .

يحتوي جدول CloudProcessEvents على معلومات حول أحداث العملية في البيئات متعددة السحابات المستضافة مثل Azure Kubernetes Service وAmazon Elastic Kubernetes Service وGoogle Kubernetes Engine.

يحتوي جدول CloudAuditEvents على أحداث تدقيق السحابة من الأنظمة الأساسية السحابية المحمية بواسطة Microsoft Defender للسحابة. كما يحتوي على سجلات Kubeaudit، والتي تحتوي على معلومات حول الأحداث المتعلقة ب Kubernetes.

استكشاف مشكلات نقل الملكية وإصلاحها

يعالج القسم التالي المشكلات التي قد تواجهها عند التحقيق في تهديدات الحاوية والاستجابة لها.

إجراء عزل الجراب غير متوفر

إذا كان إجراء عزل الجراب رمادي اللون، فستحتاج إلى التحقق من أن لديك الأذونات اللازمة لتنفيذ هذا الإجراء. راجع قسم Permissions للتحقق من أن لديك الأذونات الصحيحة والتحقق من صحتها.

راجع الأذونات في Microsoft Defender XDR التحكم في الوصول الموحد المستند إلى الدور (RBAC) لمزيد من المعلومات.

فشل إجراء عزل الجراب

  1. تحقق من إصدار نظام مجموعة Kubernetes. يدعم إجراء عزل pod مجموعات Kubernetes من الإصدار 1.27 والإصدارات الأحدث.
  2. تحقق من أنك تستخدم المكونات الإضافية للشبكة المطلوبة وأنه يطابق الحد الأدنى من الإصدارات المدعومة. للتحقق من المكونات الإضافية، قم بالوصول إلى Cloud Shell في النظام الأساسي الخاص بك وقم بتشغيل الأمر للتحقق من المكونات الإضافية للشبكة.
  3. تأكد من أن الجراب الهدف في حالة صالحة أو نشطة.

تعرف على كيفية الوصول إلى Cloud Shell والتحقق من المكونات الإضافية للشبكة باتباع هذه الخطوات استنادا إلى النظام الأساسي الخاص بك:

على Microsoft Azure

  1. سجل الدخول إلى مدخل Microsoft Azure ثم انتقل إلى نظام المجموعة الخاص بك.

  2. أعلى المعلومات الأساسية ، حدد زر الاتصال واتبع الإرشادات.

  3. يفتح Cloud Shell في أسفل المستعرض. في واجهة سطر الأوامر، قم بتشغيل الأمر التالي للتحقق من المكونات الإضافية للشبكة:

    kubectl get pods --all-namespaces -o json | jq -r '.items[].metadata.labels["k8s-app"]" | uniq | grep -E 'azure-npm|calico-node|cilium|aws-node' | head -n 1

يجب أن تشير النتائج إلى أي من المكونات الإضافية المحددة في متطلبات نهج الشبكة. يعني السطر الفارغ أن المكون الإضافي المدعوم غير مثبت.

على Google Cloud Platform

  1. انتقل إلى مجموعتك في Google Cloud Portal.

  2. حدد Connect أعلى اسم نظام المجموعة. في النافذة الصغيرة التي تظهر، انسخ الأمر التالي وقم بتشغيله في المحطة الطرفية المحلية.

    kubectl get pods --all-namespaces -o json | jq -r '.items[].metadata.labels["k8s-app"]" | uniq | grep -E 'azure-npm|calico-node|cilium|aws-node' | head -n 1

  3. يمكنك أيضا اختيار تشغيل في Cloud Shell لتشغيل جلسة shell التي تفتح في أسفل المستعرض. يمكنك نسخ الأمر في الواجهة للتحقق من المكونات الإضافية للشبكة.

يجب أن تشير النتائج إلى أي من المكونات الإضافية المحددة في متطلبات نهج الشبكة. يعني السطر الفارغ أن المكون الإضافي المدعوم غير مثبت.

على Amazon Web Services

  1. انتقل إلى مجموعتك في AWS Cloud Portal.

  2. حدد CloudShell في الزاوية العلوية اليسرى. تفتح جلسة Cloud Shell في أسفل المستعرض، والتي توفر واجهة سطر أوامر لإدارة موارد AWS الخاصة بك.

  3. الاتصال بنظام المجموعة الخاص بك عن طريق تشغيل الأمر التالي:

    aws eks --region <cluster region> update-kubeconfig --name <cluster name>**

    ملاحظة

    تأكد من حذف عقدة aws أو تعطيلها لالمكونات الإضافية Calico وCilium.

فشل إجراء إنهاء الجراب

تحتاج إلى التأكد من أن حالة الجراب الهدف نشطة أو صالحة. للتحقق مما إذا كان الجراب نشطا، قم بتشغيل الأمر التالي في Cloud Shell:

kubectl get pod-name <>

راجع أيضًا