اكتشاف وحجب الانجراف الثنائي

يحدث الانحراف الثنائي عندما تقوم الحاوية بتشغيل ملف تنفيذي لم يأت من الصورة الأصلية. يمكن أن يكون هذا الانحراف متعمدا ومشروعا، أو قد يشير إلى هجوم. نظرا لأن صور الحاويات يجب أن تكون غير قابلة للتغيير، يجب تقييم أي عمليات تبدأ من الملفات الثنائية غير المدرجة في الصورة الأصلية كنشاط مشبوه وحظرها لمنع التهديدات الأمنية المحتملة.

ميزة اكتشاف الانحرافات الثنائية تنبهك عندما يكون هناك فرق بين عبء العمل الناتج عن الصورة والحمولة التي تعمل في الحاوية. فهو ينبهك إلى التهديدات الأمنية المحتملة عن طريق الكشف عن العمليات الخارجية غير المصرح بها داخل الحاويات. يمكنك تحديد نهج الانجراف لتحديد الشروط التي يجب إنشاء التنبيهات بموجبها، مما يساعدك على التمييز بين الأنشطة المشروعة والتهديدات المحتملة.

يمنع حجب الانجراف الثنائي تنفيذ العمليات الخارجية غير المصرح بها داخل الحاويات. عند تفعيلها، تفرض هذه الميزة السياسات التي تحددها، مما يضمن أن العمليات المعتمدة فقط هي التي يمكن تشغيلها. يساعد هذا النهج الاستباقي في الحفاظ على سلامة تطبيقاتك المحوطة في الحاويات ويقلل من خطر اختراق الأمان.

تحقق من توفر الانجراف الثنائي والحجب (blocking).

‏‫ملاحظة‬

حجب الانجراف الثنائي حاليا قيد المعاينة

المتطلبات الأساسية

• شغل جهاز Defender for Container Sensor.
• حجب الانجراف الثنائي (المعاينة) فقط:
  • AKS: توفير الخوذة مع النسخة 0.10.2 من المستشعر.
  • السحابة المتعددة: توفير الخوذة مع إصدار المستشعر 0.10.2 أو امتداد ARC باستخدام release train=preview.
• فعل مستشعر Defender for Container على الاشتراكات والموصلات.
• الأدوار والصلاحيات التالية:
  • لإنشاء وتعديل سياسات الانحراف (drift): مسؤول أمان أو أذونات أعلى على المستأجر.
  • لعرض سياسات التحرك: قارئ الأمان أو أذونات أعلى على المستأجر.

تكوين سياسات الانجراف والكتل

أنشئ سياسات انحراف وحجب لتحديد متى يجب توليد التنبيهات. تتكون كل سياسة من قواعد تحدد شروط توليد التنبيهات. يتيح لك هذا الهيكل تخصيص الميزة لتلبية احتياجاتك الخاصة وتقليل الإيجابيات الكاذبة. يمكنك إنشاء استثناءات عن طريق تعيين قواعد ذات أولوية أعلى لنطاقات أو مجموعات معينة أو صور أو pods أو تسميات Kubernetes أو مساحات الأسماء.

1. قم بتسجيل الدخول إلى بوابة Azure.

2. انتقل إلى >Environment.

3. حدد نهج انحراف الحاويات.

   

4. اختر القاعدة المناسبة:

   • تنبيه على مساحة الاسم Kube-System - يمكن تعديله مثل أي قاعدة أخرى.

   • الانحراف الثنائي الافتراضي - ينطبق على كل شيء إذا لم تتطابق قواعد أخرى. يمكنك تعديل الإجراءات فقط لتنبيه اكتشاف الانجراف، أو حجب اكتشاف الانجراف، أو تجاهل اكتشاف الانجراف (افتراضي).

     

إضافة قاعدة جديدة

قواعد الانجراف الثنائي تحدد أي سلوك يعتبر مريبا، وما الذي يجب تنبيه بشأنه، وما الذي يجب حظره. إضافة قاعدة جديدة لفرض تحكم أفضل، أو مستويات تنفيذية مختلفة، أو سلوك أمني أكثر تفصيلا لأحمال عمل محددة. يمكنك أيضا تعيين قواعد حجب لمنع العمليات غير المصرح بها من العمل داخل الحاويات.

1. قم بتسجيل الدخول إلى بوابة Azure.

2. انتقل إلى >Environment.

3. حدد نهج انحراف الحاويات.

4. حدد إضافة قاعدة.

   

5. حدد الحقول التالية:

   • اسم القاعدة: اسم وصفي للقاعدة.

   • الأكشن:

     • تنبيه اكتشاف الانجراف إذا كان يجب أن يولد القاعدة تنبيها.
     • حجب كشف الانجراف إذا كان من المفترض أن تمنع القاعدة العملية المنحرفة.
     • تجاهل اكتشاف الانجراف لاستبعاده من توليد التنبيهات.

   • وصف النطاق: وصف للنطاق الذي تنطبق عليه القاعدة.

   • نطاق السحابة: موفر السحابة الذي تنطبق عليه القاعدة. يمكنك اختيار أي تركيبة من Azure أو Amazon Web Services (AWS) أو Google Cloud Platform (GCP). إذا قمت بتوسيع موفر سحابة، يمكنك تحديد اشتراك معين. إذا لم تختار مزود السحابة بالكامل، فإن الاشتراكات الجديدة المضافة إلى مزود السحابة لا تدرج في القاعدة.

   • نطاق المورد: أضف شروط بناء على الفئات التالية: اسم الحاوية، اسم الصورة، مساحة الاسم، تسميات الكبسولة، اسم الكبسولة، أو اسم المجموعة. ثم اختر عامل تشغيل: يبدأ ب أو ينتهي ب أو يساوي أو يحتوي. وأخيرا، أدخل القيمة المراد مطابقتها. يمكنك إضافة العديد من الشروط حسب الحاجة عن طريق تحديد +إضافة شرط.

   • السماح بقائمة العمليات: قائمة بالعملية المسموح بتشغيلها في الحاوية. أي عملية غير موجودة في هذه القائمة يتم اكتشافها، تولد تنبيها.

     قاعدة نموذجية تسمح للعملية dev1.exe بالعمل في حاويات في نطاق Azure السحابي، والتي تبدأ أسماء صورها إما ب Test123 أو env123:

     

6. حدد تطبيق.

7. أعط الأولوية للقاعدة عن طريق تحريكها للأعلى أو الأسفل في القائمة. يتم تقييم القاعدة ذات الأولوية القصوى أولا. إذا كان هناك تطابق، يتوقف التقييم. إذا لم يتم العثور على تطابق، يتم تقييم القاعدة التالية. إذا لم يكن هناك تطابق لأي قاعدة، يتم تطبيق القاعدة الافتراضية.

8. حَدِّد حِفظ.

خلال 30 دقيقة، يتم تحديث أجهزة الاستشعار في العناقيد المحمية باستخدام السياسة الجديدة.

إدارة قاعدة

سياسات الانجراف الثنائي مرنة وقابلة للتخصيص، مما يتيح لك إدارتها وتعديلها حسب الحاجة. يمكنك تعديل القواعد لتحسين شروطها أو إجراءاتها، أو تكرار القواعد لإنشاء قواعد مشابهة مع تغييرات طفيفة، أو حذف قواعد لم تعد ضرورية. المراجعة والإدارة المنتظمة لقواعدك تضمن أن سياسات اكتشاف الانحراف الثنائي وحجب الاتجاهات تظل فعالة ومتوافقة مع احتياجاتك الأمنية.

تعديل القاعدة

يمكن تعديل القواعد لتحسين شروطها أو أفعالها. تسمح لك هذه المرونة بتعديل سياساتك بناء على التنبيهات التي تتلقاها ومراجعتك لها، لضمان موازنة الاحتياجات الأمنية مع الكفاءة التشغيلية بفعالية.

1. قم بتسجيل الدخول إلى بوابة Azure.

2. انتقل إلى >Environment.

3. حدد نهج انحراف الحاويات.

4. اختر قاعدة.

5. حدد تحرير.

6. حَدِّد حِفظ.

خلال 30 دقيقة، يتم تحديث أجهزة الاستشعار في العناقيد المحمية باستخدام السياسة الجديدة.

قاعدة التكرار

يمكن تكرار القواعد لإنشاء قواعد مشابهة مع تغييرات طفيفة. هذا الخيار مفيد إذا كنت ترغب في إنشاء قاعدة جديدة مشابهة للقاعدة الحالية، مما يتيح لك توفير الوقت والحفاظ على اتساق سياساتك.

1. قم بتسجيل الدخول إلى بوابة Azure.

2. انتقل إلى >Environment.

3. حدد نهج انحراف الحاويات.

4. اختر قاعدة.

5. اختر قاعدة تكرار.

6. حَدِّد حِفظ.

خلال 30 دقيقة، يتم تحديث أجهزة الاستشعار في العناقيد المحمية باستخدام السياسة الجديدة.

قاعدة حذف

يمكن حذف القواعد عندما لا تكون ضرورية أو إذا تولد الكثير من النتائج الإيجابية الكاذبة. مراجعة وتنظيف قواعدك بانتظام يساعد في الحفاظ على فعالية سياسات اكتشاف وحظر الانحرافات الثنائية.

1. قم بتسجيل الدخول إلى بوابة Azure.

2. انتقل إلى >Environment.

3. حدد نهج انحراف الحاويات.

4. اختر قاعدة.

5. اختر قاعدة الحذف.

6. حَدِّد حِفظ.

خلال 30 دقيقة، يتم تحديث أجهزة الاستشعار في العناقيد المحمية باستخدام السياسة الجديدة.

معلومات إضافية

تنبيهات Defender for Cloud تخبرك بأي انحرافات ثنائية، حتى تتمكن من الحفاظ على سلامة صور الحاويات الخاصة بك. إذا اكتشف النظام عملية خارجية غير مصرح بها تطابق شروط الوثيقة التي حددتها، فإنه يولد تنبيها عالي الشدة لمراجعته. إذا قمت بتكوين قواعد الحجب، فإن النظام يمنع تنفيذ تلك العمليات غير المصرح بها.

استنادا إلى التنبيهات التي تم إنشاؤها ومراجعتك لها، قد تحتاج إلى تعديل قواعدك في سياسة الانحراف الثنائي أو الحظر. قد يشمل هذا التعديل تحسين الشروط، أو إضافة قواعد جديدة، أو إزالة تلك التي تولد الكثير من الإيجابيات الكاذبة. الهدف هو ضمان أن السياسات الثنائية المعرفة للانحراف والحجب وفقا لقواعدها توازن بفعالية بين احتياجات الأمن والكفاءة التشغيلية.

تعتمد فعالية اكتشاف وحجب الانجراف الثنائي على مشاركتك النشطة في تكوين ومراقبة وتعديل السياسات لتناسب متطلبات بيئتك الفريدة.

المحتوى ذو الصلة

• نظرة عامة على أمان الحاوية في Microsoft Defender للحاويات