Partager via

Examiner les menaces de conteneur et y répondre dans le portail Microsoft Defender

Importante

Certaines informations contenues dans cet article concernent un produit pré-publié, qui peut être considérablement modifié avant sa commercialisation. Microsoft n’offre aucune garantie expresse ou implicite en ce qui concerne les informations fournies ici

Les opérations de sécurité peuvent désormais examiner et répondre aux alertes liées aux conteneurs en quasi-temps réel dans le portail Microsoft Defender avec l’intégration d’actions de réponse natives cloud et de journaux d’investigation pour rechercher les activités associées. La disponibilité des chemins d’attaque peut également aider les analystes à examiner et à résoudre immédiatement les problèmes de sécurité critiques afin d’éviter une violation potentielle.

Comme les organisations utilisent des conteneurs et Kubernetes sur des plateformes telles que Azure Kubernetes Service (AKS), Google Kubernetes Engine (GKE) et Amazon Elastic Kubernetes Service (EKS), la surface d’attaque s’étend, ce qui augmente les défis de sécurité. Les conteneurs peuvent également être ciblés par des acteurs de menace et utilisés à des fins malveillantes.

Les analystes soc (Security Operations Center) peuvent désormais facilement suivre les menaces de conteneur avec des alertes en quasi-temps réel et répondre immédiatement à ces menaces en isolant ou en mettant fin aux pods de conteneur. Cette intégration permet aux analystes d’atténuer instantanément une attaque de conteneur à partir de leur environnement en un clic.

Les analystes peuvent ensuite examiner l’étendue complète de l’attaque avec la possibilité de rechercher des activités connexes dans le graphique d’incident. Ils peuvent également appliquer des actions préventives avec la disponibilité des chemins d’attaque potentiels dans le graphique des incidents. L’utilisation des informations des chemins d’attaque permet aux équipes de sécurité d’inspecter les chemins d’accès et d’empêcher les violations possibles. En outre, des rapports d’analyse des menaces spécifiques aux menaces et aux attaques de conteneur sont disponibles pour permettre aux analystes d’obtenir plus d’informations et d’appliquer des recommandations pour la réponse et la prévention des attaques de conteneur.

Configuration requise

Les licences suivantes sont requises pour afficher et résoudre les alertes liées aux conteneurs dans le portail Microsoft Defender :

Remarque

L’action isoler la réponse du pod nécessite un application de stratégie réseau. Vérifiez si une stratégie réseau est installée sur votre cluster Kubernetes.

Les utilisateurs du plan Microsoft Defender de gestion de la posture de sécurité cloud peuvent afficher les chemins d’attaque dans le graphique des incidents.

Les utilisateurs disposant d’un accès provisionné à Microsoft Security Copilot peuvent également tirer parti des réponses guidées pour examiner et corriger les menaces de conteneur.

Autorisations

Pour effectuer l’une des actions de réponse, les utilisateurs doivent disposer des autorisations suivantes pour Microsoft Defender pour le cloud dans le Microsoft Defender XDR contrôle d’accès en fonction du rôle unifié :

Nom de l’autorisation Level
Alertes Gestion
Réponse Gestion

Pour plus d’informations sur ces autorisations, consultez Autorisations dans Microsoft Defender XDR contrôle d’accès en fonction du rôle unifié (RBAC).

Examiner les menaces de conteneur

Pour examiner les menaces de conteneur dans le portail Microsoft Defender :

  1. Sélectionnez Investigation & response > Incidents et alertes dans le menu de navigation de gauche pour ouvrir les files d’attente d’incidents ou d’alertes.
  2. Dans la file d’attente, sélectionnez Filtrer et choisissez Microsoft Defender pour cloud > Microsoft Defender pour conteneurs sous Source de service. File d’attente d’incidents filtrée pour afficher les incidents liés au conteneur.
  3. Dans le graphique d’incident, sélectionnez l’entité pod/service/cluster que vous devez examiner. Sélectionnez Détails du service Kubernetes, Détails du pod Kubernetes, Détails du cluster Kubernetes ou Détails du registre de conteneurs pour afficher les informations pertinentes sur le service, le pod ou le registre.

À l’aide des rapports d’analyse des menaces, les analystes peuvent utiliser le renseignement sur les menaces des chercheurs en sécurité Microsoft experts pour en savoir plus sur les acteurs et les campagnes de menaces actifs qui exploitent des conteneurs, les nouvelles techniques d’attaque susceptibles d’affecter les conteneurs et les menaces courantes qui affectent les conteneurs.

Accédez aux rapports d’analyse des menaces à partir de Renseignement sur les menaces > Analyse des menaces. Vous pouvez également ouvrir un rapport spécifique à partir de la page d’incident en sélectionnant Afficher le rapport d’analyse des menaces sous Menaces associées dans le volet latéral de l’incident.

Mise en évidence de la façon d’afficher les rapports d’analyse des menaces à partir de la page d’incident.

Les rapports d’analyse des menaces contiennent également des méthodes d’atténuation, de récupération et de prévention pertinentes que les analystes peuvent évaluer et appliquer à leur environnement. L’utilisation des informations dans les rapports d’analyse des menaces permet aux équipes SOC de défendre et de protéger leur environnement contre les attaques de conteneurs. Voici un exemple de rapport d’analyste sur une attaque de conteneur.

Exemple de page d’un rapport d’analyse des menaces d’attaque de conteneur.

Répondre aux menaces de conteneur

Vous pouvez isoler ou arrêter un pod une fois que vous avez déterminé qu’un pod est compromis ou malveillant. Dans le graphique d’incident, sélectionnez le pod, puis accédez à Actions pour afficher les actions de réponse disponibles. Vous pouvez également trouver ces actions de réponse dans le volet latéral de l’entité.

Mise en surbrillance des actions de réponse cloud dans un incident.

Vous pouvez libérer un pod de l’isolation avec l’action release from isolation une fois votre investigation terminée. Cette option apparaît dans le volet latéral pour les pods isolés.

Les détails de toutes les actions de réponse peuvent être consultés dans le Centre de notifications. Dans la page Centre de notifications, sélectionnez l’action de réponse que vous souhaitez inspecter pour afficher plus d’informations sur l’action, comme l’entité sur laquelle l’action a été effectuée, la date à laquelle l’action a été effectuée et afficher les commentaires sur l’action. Pour les pods isolés, la libération de l’action d’isolation est également disponible dans le volet d’informations du centre de notifications.

Exemple d’actions de réponse cloud répertoriées dans le Centre de notifications.

Pour déterminer l’étendue complète d’une attaque de conteneur, vous pouvez approfondir votre investigation avec l’action De chasse Go disponible dans le graphique d’incident. Vous pouvez afficher immédiatement tous les événements et activités de processus liés aux incidents liés aux conteneurs à partir du graphique des incidents.

Mise en surbrillance de l’action go hunt dans le graphique de l’incident.

Dans la page Repérage avancé , vous pouvez étendre votre recherche d’activités liées aux conteneurs à l’aide des tables CloudProcessEvents et CloudAuditEvents .

La table CloudProcessEvents contient des informations sur les événements de processus dans les environnements hébergés multicloud, tels que Azure Kubernetes Service, Amazon Elastic Kubernetes Service et Google Kubernetes Engine. En revanche, la table CloudAuditEvents contient des événements d’audit cloud provenant de plateformes cloud protégées par Microsoft Defender pour le cloud. Il contient également des journaux Kubeaudit, qui contiennent des informations sur les événements liés à Kubernetes.

Voir aussi