Sdílet prostřednictvím

Detekce binárních posunů (Preview)

  • Článek

Binární posun nastane, když kontejner spouští spustitelný soubor, který nepochází z původní image. Může to být záměrné a legitimní, nebo to může značit útok. Vzhledem k tomu, že image kontejnerů by měly být neměnné, měly by se všechny procesy spuštěné z binárních souborů, které nejsou zahrnuté v původní imagi, vyhodnocovat jako podezřelou aktivitu.

Funkce detekce binárních posunů vás upozorní, když existuje rozdíl mezi úlohou, která pochází z image, a úlohou spuštěnou v kontejneru. Upozorní vás na potenciální bezpečnostní hrozby detekcí neautorizovaných externích procesů v kontejnerech. Můžete definovat zásady posunu, které určují podmínky, za kterých se mají výstrahy generovat, a tím můžete rozlišovat mezi legitimními aktivitami a potenciálními hrozbami.

Detekce binárních odchylek je integrovaná do plánu Defender for Containers a je k dispozici ve verzi Public Preview. Je k dispozici pro cloudy Azure (AKS), Amazon (EKS) a Google (GKE).

Požadavky

  • Pokud chcete použít detekci binárních odchylek, musíte spustit Defender pro senzor kontejneru, který je dostupný v AWS, GCP a AKS ve verzích 1.29 nebo vyšší.
  • Senzor Defenderu pro kontejner musí být povolený pro předplatná a konektory.
  • K vytváření a úpravám zásad posunu potřebujete oprávnění správce zabezpečení nebo vyšší oprávnění pro tenanta. Pokud chcete zobrazit zásady posunu, potřebujete pro tenanta oprávnění čtenáře zabezpečení nebo vyšší oprávnění.

Komponenty

Následující komponenty jsou součástí detekce binárních posunů:

  • vylepšený senzor schopný detekovat binární posun
  • možnosti konfigurace zásad
  • upozornění na nový binární posun

Konfigurace zásad posunu

Vytvořte zásady posunu, které definují, kdy se mají generovat upozornění. Každá zásada se skládá z pravidel, která definují podmínky, za kterých se mají generovat výstrahy. To vám umožní přizpůsobit funkci vašim konkrétním potřebám a snížit počet falešně pozitivních výsledků. Vyloučení můžete vytvořit nastavením pravidel s vyšší prioritou pro konkrétní obory nebo clustery, image, pody, popisky Kubernetes nebo obory názvů.

Zásady vytvoříte a nakonfigurujete takto:

  1. V programu Microsoft Defender for Cloud přejděte do nastavení prostředí. Vyberte zásady posunu kontejnerů.

    Snímek obrazovky se zásadami posunu pro výběr kontejnerů v nastavení prostředí

  2. Zobrazí se dvě pravidla: upozornění na pravidlo oboru názvů Kube-System a výchozí pravidlo binární odchylky. Výchozí pravidlo je speciální pravidlo, které se vztahuje na všechno, pokud žádné jiné pravidlo, než se shoduje. Její akci můžete změnit buď na upozornění detekce odchylek, nebo ji vrátit do výchozí detekce ignorovat odchylky. Upozornění na pravidlo oboru názvů Kube-System je předefinovaný návrh a můžete ho upravit stejně jako jakékoli jiné pravidlo.

    Snímek obrazovky s výchozím pravidlem se zobrazí v dolní části seznamu pravidel.

  3. Pokud chcete přidat nové pravidlo, vyberte Přidat pravidlo. Zobrazí se boční panel, kde můžete pravidlo nakonfigurovat.

    Snímek obrazovky s výběrem možnosti Přidat pravidlo pro vytvoření a konfiguraci nového pravidla

  4. Pokud chcete pravidlo nakonfigurovat, definujte následující pole:

    • Název pravidla: Popisný název pravidla.
    • Akce: Vyberte upozornění detekce odchylek, pokud by pravidlo mělo vygenerovat výstrahu nebo ignorovat detekci odchylek, aby se vyloučila z generování upozornění.
    • Popis oboru: Popis oboru, na který se pravidlo vztahuje.
    • Rozsah cloudu: Poskytovatel cloudu, na kterého se pravidlo vztahuje. Můžete zvolit libovolnou kombinaci Azure, AWS nebo GCP. Pokud rozbalíte poskytovatele cloudu, můžete vybrat konkrétní předplatné. Pokud nevyberete celého poskytovatele cloudu, nebudou do pravidla zahrnutá nová předplatná přidaná do poskytovatele cloudu.
    • Obor prostředků: Tady můžete přidat podmínky založené na následujících kategoriích: Název kontejneru, název image, Namespace, popisky podů, název podu nebo název clusteru. Potom zvolte operátor: Začíná, Končí na, Rovná se nebo Obsahuje. Nakonec zadejte hodnotu, která se má shodovat. Výběrem + Přidat podmínku můžete přidat tolik podmínek, kolik potřebujete.
    • Seznam povolených procesů: Seznam procesů, které mohou běžet v kontejneru. Pokud se zjistí proces, který není v tomto seznamu, vygeneruje se výstraha.

    Tady je příklad pravidla, které umožňuje dev1.exe spuštění procesu v kontejnerech v oboru cloudu Azure, jehož názvy imagí začínají testem 123 nebo env123:

    Příklad konfigurace pravidla se všemi definovanými poli

  5. Chcete-li pravidlo uložit, vyberte Použít .

  6. Jakmile pravidlo nakonfigurujete, vyberte a přetáhněte pravidlo v seznamu nahoru nebo dolů a změňte jeho prioritu. Pravidlo s nejvyšší prioritou se vyhodnotí jako první. Pokud existuje shoda, buď vygeneruje výstrahu, nebo ji ignoruje (na základě toho, co bylo pro toto pravidlo vybráno) a vyhodnocení se zastaví. Pokud se nenajde žádná shoda, vyhodnotí se další pravidlo. Pokud žádné pravidlo neodpovídá, použije se výchozí pravidlo.

  7. Pokud chcete upravit existující pravidlo, zvolte pravidlo a vyberte Upravit. Tím se otevře boční panel, kde můžete v pravidle provádět změny.

  8. Pokud chcete vytvořit kopii pravidla, můžete vybrat duplikovat pravidlo . To může být užitečné, pokud chcete vytvořit podobné pravidlo s pouze menšími změnami.

  9. Pokud chcete pravidlo odstranit, vyberte Odstranit pravidlo.

  10. Po nakonfigurování pravidel vyberte Uložit , aby se změny použily, a vytvořte zásadu.

  11. Během 30 minut se senzory na chráněných clusterech aktualizují o nové zásady.

Monitorování a správa výstrah

Systém upozornění je navržený tak, aby vás informoval o jakýchkoli binárních posunech, což vám pomáhá udržovat integritu imagí kontejnerů. Pokud se zjistí neautorizovaný externí proces, který odpovídá vašim definovaným podmínkám zásad, vygeneruje se výstraha s vysokou závažností, abyste ji mohli zkontrolovat.

Úprava zásad podle potřeby

Na základě upozornění, která obdržíte, a jejich kontrole možná budete muset upravit pravidla v binárních zásadách posunu. To může zahrnovat upřesnění podmínek, přidání nových pravidel nebo odebrání podmínek, které generují příliš mnoho falešně pozitivních výsledků. Cílem je zajistit, aby definované binární zásady posunu s jejich pravidly efektivně vyvážit potřeby zabezpečení s provozní efektivitou.

Efektivita detekce binárních odchylek závisí na vašem aktivním zapojení při konfiguraci, monitorování a úpravě zásad tak, aby vyhovovaly jedinečným požadavkům vašeho prostředí.

Související obsah