Общие сведения о службе защиты среды выполнения Microsoft Defender для конечной точки

  • Статья

Служба защиты среды выполнения Microsoft Defender для конечной точки (MDE) предоставляет средства для настройки защиты среды выполнения и управления ими для кластера Nexus.

Azure CLI позволяет настроить уровень защиты среды выполнения и возможность активировать проверку MDE на всех узлах. В этом документе приведены шаги по выполнению этих задач.

Примечание.

Служба защиты среды выполнения MDE интегрируется с Microsoft Defender для конечной точки, которая предоставляет комплексные возможности обнаружения конечных точек и реагирования (EDR). Интеграция Microsoft Defender для конечной точки позволяет обнаружить аномалии и обнаружить уязвимости.

Подготовка к работе

  • Установите последнюю версию соответствующих расширений CLI.

Настройка переменных

Чтобы помочь в настройке и активации проверок MDE, определите эти переменные среды, используемые различными командами в этом руководстве.

Примечание.

Эти значения переменных среды не отражают реальное развертывание, и пользователи должны изменить их, чтобы соответствовать их средам.

# SUBSCRIPTION_ID: Subscription of your cluster
export SUBSCRIPTION_ID="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
# RESOURCE_GROUP: Resource group of your cluster
export RESOURCE_GROUP="contoso-cluster-rg"
# MANAGED_RESOURCE_GROUP: Managed resource group managed by your cluster
export MANAGED_RESOURCE_GROUP="contoso-cluster-managed-rg"
# CLUSTER_NAME: Name of your cluster
export CLUSTER_NAME="contoso-cluster"

Значения по умолчанию для защиты среды выполнения MDE

Защита среды выполнения задает следующие значения по умолчанию при развертывании кластера.

  • Уровень принудительного применения: Disabled если при создании кластера не указано
  • Служба MDE: Disabled

Примечание.

Аргумент --runtime-protection enforcement-level="<enforcement level>" служит двумя целями: включение и отключение службы MDE и обновление уровня принудительного применения.

Если вы хотите отключить службу MDE в кластере, используйте ее <enforcement level>Disabled.

Настройка уровня принудительного применения

Эта az networkcloud cluster update команда позволяет обновить параметры для уровня применения защиты среды выполнения кластера с помощью аргумента--runtime-protection enforcement-level="<enforcement level>".

Следующая команда настраивает enforcement level кластер.

az networkcloud cluster update \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--runtime-protection enforcement-level="<enforcement level>"

Допустимые значения для <enforcement level>: Disabled, RealTime, OnDemand. Passive

  • Disabled: защита в режиме реального времени отключена и не выполняется сканирование.
  • RealTime: защита в режиме реального времени (сканирование файлов по мере их изменения) включена.
  • OnDemand: файлы сканируются только по запросу. В этом разделе:
    • Защита в режиме реального времени отключена.
  • Passive: запускает антивирусную программу в пассивном режиме. В этом разделе:
    • Защита в режиме реального времени отключена: угрозы не устраняются антивирусная программа в Microsoft Defender.
    • Проверка по запросу включена: по-прежнему используйте возможности сканирования в конечной точке.
    • Автоматическое исправление угроз отключено: файлы не будут перемещены, а администратор безопасности, как ожидается, выполнит необходимые действия.
    • Обновления аналитики безопасности включены: оповещения будут доступны в клиенте администраторов безопасности.

Вы можете убедиться, что уровень принудительного применения обновлен, проверив выходные данные для следующего фрагмента json:

  "runtimeProtectionConfiguration": {
    "enforcementLevel": "<enforcement level>"
  }

Активация проверки MDE на всех узлах

Чтобы активировать проверку MDE на всех узлах кластера, используйте следующую команду:

az networkcloud cluster scan-runtime \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--scan-activity Scan

ПРИМЕЧАНИЕ. Для действия проверки MDE требуется включить службу MDE. Только в случае, если он не включен, команда завершится ошибкой. В этом случае задайте Enforcement Level значение, отличное от Disabled включения службы MDE.

Получение сведений о проверке MDE с каждого узла

В этом разделе приведены инструкции по получению сведений о проверке MDE. Сначала необходимо получить список имен узлов кластера. Следующая команда назначает список имен узлов переменной среды.

nodes=$(az networkcloud baremetalmachine list \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${MANAGED_RESOURCE_GROUP} \
| jq -r '.[].machineName')

С помощью списка имен узлов можно запустить процесс для извлечения сведений об агенте MDE для каждого узла кластера. Следующая команда подготовит сведения об агенте MDE из каждого узла.

for node in $nodes
do
    echo "Extracting MDE agent information for node ${node}"
    az networkcloud baremetalmachine run-data-extract \
    --subscription ${SUBSCRIPTION_ID} \
    --resource-group ${MANAGED_RESOURCE_GROUP} \
    --name ${node} \
    --commands '[{"command":"mde-agent-information"}]' \
    --limit-time-seconds 600
done

Результат команды будет содержать URL-адрес, в котором можно скачать подробный отчет проверки MDE. См. следующий пример для получения сведений об агенте MDE.

Extracting MDE agent information for node rack1control01
====Action Command Output====
Executing mde-agent-information command
MDE agent is running, proceeding with data extract
Getting MDE agent information for rack1control01
Writing to /hostfs/tmp/runcommand

================================
Script execution result can be found in storage account: 
 <url to download mde scan results>
 ...

Извлечение результатов проверки MDE

Извлечение проверки MDE требует выполнения нескольких действий вручную. Чтобы скачать отчет проверки MDE и извлечь сведения о выполнении сканирования, а также проверить подробный отчет о результатах. В этом разделе описано, как выполнить все эти действия.

Скачивание отчета проверки

Как указано ранее, ответ на сведения агента MDE предоставляет URL-адрес, в котором хранятся подробные данные отчета.

Скачайте отчет из возвращаемого URL-адреса <url to download mde scan results>и откройте файл mde-agent-information.json.

Файл mde-agent-information.json содержит много информации о сканировании и может быть подавляющим для анализа такого длинного подробного отчета. В этом руководстве приведены несколько примеров извлечения некоторых важных сведений, которые помогут вам решить, нужно ли тщательно проанализировать отчет.

Извлечение списка проверок MDE

Файл mde-agent-information.json содержит подробный отчет проверки, но вам может потребоваться сначала сосредоточиться на нескольких деталях. В этом разделе описаны шаги по извлечению списка проверок, предоставляющие такие сведения, как время начала и окончания для каждой проверки, угрозы, обнаруженные угрозы (успешно или неудачно) и т. д.

Следующая команда извлекает этот упрощенный отчет.

cat <path to>/mde-agent-information.json| jq .scanList

В следующем примере показан извлеченный отчет проверки из mde-agent-information.json.

[
  {
    "endTime": "1697204632487",
    "filesScanned": "1750",
    "startTime": "1697204573732",
    "state": "succeeded",
    "threats": [],
    "type": "quick"
  },
  {
    "endTime": "1697217162904",
    "filesScanned": "1750",
    "startTime": "1697217113457",
    "state": "succeeded",
    "threats": [],
    "type": "quick"
  }
]

Для преобразования времени в более читаемый формат можно использовать команду Unix date . Для удобства см. пример преобразования метки времени Unix (в миллисекундах) в год и час:min:secs.

Например:

date -d @$(echo "1697204573732/1000" | bc) "+%Y-%m-%dT%H:%M:%S"

2023-10-13T13:42:53

Извлечение результатов проверки MDE

В этом разделе описаны шаги по извлечению отчета о списке угроз, обнаруженных во время проверки MDE. Чтобы извлечь отчет о результатах сканирования из mde-agent-information.json файла, выполните следующую команду.

cat <path to>/mde-agent-information.json| jq .threatInformation

В следующем примере показан отчет об угрозах, обнаруженных сканированием, извлеченным из mde-agent-information.json файла.

{
  "list": {
    "threats": {
      "scans": [
        {
          "type": "quick",
          "start_time": 1697204573732,
          "end_time": 1697204632487,
          "files_scanned": 1750,
          "threats": [],
          "state": "succeeded"
        },
        {
          "type": "quick",
          "start_time": 1697217113457,
          "end_time": 1697217162904,
          "files_scanned": 1750,
          "threats": [],
          "state": "succeeded"
        }
      ]
    }
  },
  "quarantineList": {
    "type": "quarantined",
    "threats": []
  }
}