Share via

Einführung in den Microsoft Defender for Endpoint-Laufzeitschutzdienst

  • Artikel

Der Laufzeitschutzdienst von Microsoft Defender for Endpoint (MDE) bietet die Tools zum Konfigurieren und Verwalten des Laufzeitschutzes für einen Nexus-Cluster.

Mithilfe der Azure CLI können Sie die Erzwingungsstufe des Laufzeitschutzes konfigurieren und eine MDE-Überprüfung auf allen Knoten auslösen. Dieses Dokument enthält die Schritte zum Ausführen dieser Aufgaben.

Hinweis

Der MDE-Laufzeitschutzdienst bietet die Integration von Microsoft Defender for Endpoint. Diese Plattform stellt umfassende Funktionen für Endpoint Detection and Response (EDR, Endpunkterkennung und Reaktion) bereit. Mit der Integration von Microsoft Defender for Endpoint können Sie Anomalien und Sicherheitsrisiken erkennen.

Voraussetzungen

Festlegen von Variablen

Um das Konfigurieren und Auslösen von MDE-Überprüfungen zu unterstützen, definieren Sie folgende Umgebungsvariablen, die von den verschiedenen Befehlen in diesem Leitfaden verwendet werden.

Hinweis

Diese Umgebungsvariablenwerte spiegeln keine echte Bereitstellung wider, und Benutzer müssen sie ihren Umgebungen entsprechend ändern.

# SUBSCRIPTION_ID: Subscription of your cluster
export SUBSCRIPTION_ID="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
# RESOURCE_GROUP: Resource group of your cluster
export RESOURCE_GROUP="contoso-cluster-rg"
# MANAGED_RESOURCE_GROUP: Managed resource group managed by your cluster
export MANAGED_RESOURCE_GROUP="contoso-cluster-managed-rg"
# CLUSTER_NAME: Name of your cluster
export CLUSTER_NAME="contoso-cluster"

Standardwerte für den MDE-Laufzeitschutz

Der Laufzeitschutz wird beim Bereitstellen eines Clusters auf die folgenden Standardwerte festgelegt.

  • Erzwingungsstufe: Disabled, sofern dies beim Erstellen des Clusters nicht angegeben wird.
  • MDE-Dienst: Disabled

Hinweis

Das Argument --runtime-protection enforcement-level="<enforcement level>" dient zwei Zwecken: dem Aktivieren/Deaktivieren des MDE-Diensts und dem Aktualisieren der Erzwingungsstufe.

Wenn Sie den MDE-Dienst im gesamten Cluster deaktivieren möchten, setzen sie das <enforcement level> auf Disabled.

Konfigurieren der Erzwingungsstufe

Mithilfe des Befehls az networkcloud cluster update können Sie die Einstellungen für die Erzwingungsstufe des Clusterlaufzeitschutzes mit dem Argument --runtime-protection enforcement-level="<enforcement level>" aktualisieren.

Mit dem folgenden Befehl wird das enforcement level für Ihren Cluster konfiguriert.

az networkcloud cluster update \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--runtime-protection enforcement-level="<enforcement level>"

Zulässige Werte für das <enforcement level> sind: Disabled, RealTime, OnDemand, Passive.

  • Disabled: Der Echtzeitschutz ist deaktiviert, und es werden keine Überprüfungen ausgeführt.
  • RealTime: Der Echtzeitschutz (Überprüfen von Dateien bei Änderungen) ist aktiviert.
  • OnDemand: Dateien werden nur bedarfsgesteuert überprüft. Dabei gilt:
    • Der Echtzeitschutz ist deaktiviert.
  • Passive: Führt die Antiviren-Engine im passiven Modus aus. Dabei gilt:
    • Der Echtzeitschutz ist deaktiviert: Bedrohungen werden von Microsoft Defender Antivirus nicht beseitigt.
    • Die bedarfsgesteuerte Überprüfung ist aktiviert: Verwenden Sie weiterhin die Überprüfungsfunktionen auf dem Endpunkt.
    • Die automatische Bedrohungsbeseitigung ist deaktiviert: Es werden keine Dateien verschoben, und es wird vom Sicherheitsadministrator erwartet, dass er die erforderlichen Maßnahmen ergreift.
    • Security Intelligence-Updates sind aktiviert: Für den Mandanten der Sicherheitsadministratoren sind Warnungen verfügbar.

Sie können sich vergewissern, dass die Erzwingungsstufe aktualisiert wurde, indem Sie die Ausgabe für den folgenden JSON-Codeschnipsel überprüfen:

  "runtimeProtectionConfiguration": {
    "enforcementLevel": "<enforcement level>"
  }

Auslösen der MDE-Überprüfung auf allen Knoten

Verwenden Sie den folgenden Befehl, um eine MDE-Überprüfung auf allen Knoten eines Clusters auszulösen:

az networkcloud cluster scan-runtime \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--scan-activity Scan

HINWEIS: Um eine MDE-Überprüfung auslösen zu können, muss der MDE-Dienst aktiviert sein. Falls er nicht aktiviert ist, schlägt der Befehl fehl. Legen Sie in diesem Fall das Enforcement Level auf einen anderen Wert als Disabled fest, um den MDE-Dienst zu aktivieren.

Abrufen von Informationen einer MDE-Überprüfung von jedem Knoten

Dieser Abschnitt enthält die Schritte zum Abrufen von Informationen von MDE-Überprüfungen. Zunächst müssen Sie eine Liste mit den Knotennamen Ihres Clusters abrufen. Mit dem folgenden Befehl wird die Liste mit den Knotennamen einer Umgebungsvariable zugewiesen.

nodes=$(az networkcloud baremetalmachine list \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${MANAGED_RESOURCE_GROUP} \
| jq -r '.[].machineName')

Sobald wir die Liste mit den Knotennamen haben, können wir den Prozess starten, um Informationen des MDE-Agents für jeden Knoten Ihres Clusters zu extrahieren. Mit dem folgenden Befehl werden Informationen des MDE-Agents von jedem Knoten vorbereitet.

for node in $nodes
do
    echo "Extracting MDE agent information for node ${node}"
    az networkcloud baremetalmachine run-data-extract \
    --subscription ${SUBSCRIPTION_ID} \
    --resource-group ${MANAGED_RESOURCE_GROUP} \
    --name ${node} \
    --commands '[{"command":"mde-agent-information"}]' \
    --limit-time-seconds 600
done

Das Ergebnis dieses Befehls beinhaltet eine URL, über die Sie den detaillierten Bericht der MDE-Überprüfungen herunterladen können. Das folgende Beispiel zeigt das Ergebnis für die Informationen des MDE-Agents.

Extracting MDE agent information for node rack1control01
====Action Command Output====
Executing mde-agent-information command
MDE agent is running, proceeding with data extract
Getting MDE agent information for rack1control01
Writing to /hostfs/tmp/runcommand

================================
Script execution result can be found in storage account: 
 <url to download mde scan results>
 ...

Extrahieren von Ergebnissen der MDE-Überprüfung

Zum Extrahieren der MDE-Überprüfung sind einige manuelle Schritte erforderlich: Herunterladen des MDE-Überprüfungsberichts, Extrahieren der Informationen über die Überprüfungsausführung und Überprüfen des detaillierten Ergebnisberichts. Dieser Abschnitt führt Sie durch die einzelnen Schritten.

Herunterladen des Überprüfungsberichts

Wie bereits erwähnt, stellt die Informationsantwort des MDE-Agents die URL bereit, unter der die detaillierten Berichtsdaten gespeichert sind.

Laden Sie den Bericht aus der zurückgegebenen URL <url to download mde scan results> herunter, und öffnen Sie die Datei mde-agent-information.json.

Die Datei mde-agent-information.json enthält viele Informationen über die Überprüfung, und es kann überfordernd sein, solche langen und detaillierten Berichte analysieren zu müssen. Dieser Leitfaden enthält einige Beispiele für das Extrahieren wichtiger Informationen, die Sie bei der Entscheidung unterstützen können, ob Sie den Bericht gründlich analysieren müssen.

Extrahieren der Liste der MDE-Überprüfungen

Die Datei mde-agent-information.json enthält einen detaillierten Überprüfungsbericht, sie sollten sich jedoch zuerst auf einige Details konzentrieren. In diesem Abschnitt werden die Schritte zum Extrahieren der Liste der Überprüfungen beschrieben, die Informationen wie die Start- und Endzeit jeder Überprüfung, die gefundene Bedrohungen, den Status (erfolgreich oder fehlgeschlagen) usw. enthalten.

Mit dem folgenden Befehl wird dieser vereinfachte Bericht extrahiert.

cat <path to>/mde-agent-information.json| jq .scanList

Das folgende Beispiel zeigt den extrahierten Überprüfungsbericht aus der Datei mde-agent-information.json.

[
  {
    "endTime": "1697204632487",
    "filesScanned": "1750",
    "startTime": "1697204573732",
    "state": "succeeded",
    "threats": [],
    "type": "quick"
  },
  {
    "endTime": "1697217162904",
    "filesScanned": "1750",
    "startTime": "1697217113457",
    "state": "succeeded",
    "threats": [],
    "type": "quick"
  }
]

Sie können den Unix-Befehl date verwenden, um die Zeit in ein besser lesbares Format zu konvertieren. Sehen Sie sich zur Illustration ein Beispiel für die Konvertierung eines Unix-Zeitstempels (in Millisekunden) in ein Jahr-Monat-Tag- und Stunde-Minute-Sekunde-Format an.

Beispiel:

date -d @$(echo "1697204573732/1000" | bc) "+%Y-%m-%dT%H:%M:%S"

2023-10-13T13:42:53

Extrahieren der Ergebnisse der MDE-Überprüfung

In diesem Abschnitt werden die Schritte zum Extrahieren des Berichts mit der Liste der während der MDE-Überprüfung identifizierten Bedrohungen beschrieben. Führen Sie den folgenden Befehl aus, um den Ergebnisbericht der Überprüfung aus der Datei mde-agent-information.json zu extrahieren.

cat <path to>/mde-agent-information.json| jq .threatInformation

Das folgende Beispiel zeigt den aus der Datei mde-agent-information.json extrahierten Bericht über Bedrohungen, die im Rahmen der Überprüfung identifiziert wurden.

{
  "list": {
    "threats": {
      "scans": [
        {
          "type": "quick",
          "start_time": 1697204573732,
          "end_time": 1697204632487,
          "files_scanned": 1750,
          "threats": [],
          "state": "succeeded"
        },
        {
          "type": "quick",
          "start_time": 1697217113457,
          "end_time": 1697217162904,
          "files_scanned": 1750,
          "threats": [],
          "state": "succeeded"
        }
      ]
    }
  },
  "quarantineList": {
    "type": "quarantined",
    "threats": []
  }
}