Compartir vía


Detección de desfase binario (versión preliminar)

Un desfase binario se produce cuando un contenedor ejecuta un archivo ejecutable que no procede de la imagen original. Esto puede ser intencional y legítimo, o puede indicar un ataque. Dado que las imágenes de contenedor deben ser inmutables, los procesos iniciados desde archivos binarios no incluidos en la imagen original deben evaluarse como actividad sospechosa.

La característica de detección de desfase binario le alerta cuando hay una diferencia entre la carga de trabajo que procede de la imagen y la carga de trabajo que se ejecuta en el contenedor. Le alerta sobre posibles amenazas de seguridad mediante la detección de procesos externos no autorizados dentro de los contenedores. Puede definir directivas de desfase para especificar las condiciones en las que se deben generar alertas, lo que le ayuda a distinguir entre actividades legítimas y posibles amenazas.

La detección de desfase binario se integra en el plan de Defender para contenedores y está disponible en versión preliminar pública. Está disponible para las nubes de Azure (AKS), Amazon (EKS) y Google (GKE).

Requisitos previos

  • Para usar la detección de desfase binario, debe ejecutar el sensor de Defender para contenedor, que está disponible en AWS, GCP y AKS en las versiones 1.29 o posteriores.
  • El sensor de Defender para contenedores debe estar habilitado en las suscripciones y conectores.
  • Para crear y modificar directivas de desfase, necesita permisos de administrador de seguridad o superior en el inquilino. Para ver las directivas de desfase, necesita permisos de lector de seguridad o superior en el inquilino.

Componentes

Los siguientes componentes forman parte de la detección de desfase binario:

  • un sensor mejorado capaz de detectar el desfase binario
  • opciones de configuración de directivas
  • una nueva alerta de desfase binario

Configuración de directivas de desfase

Cree directivas de desfase para definir cuándo se deben generar alertas. Cada directiva se compone de reglas que definen las condiciones en las que se deben generar alertas. Esto le permite adaptar la característica a sus necesidades específicas, lo que reduce los falsos positivos. Puede crear exclusiones estableciendo reglas de prioridad más alta para ámbitos o clústeres específicos, imágenes, pods, etiquetas de Kubernetes o espacios de nombres.

Para crear y configurar directivas, siga estos pasos:

  1. En Microsoft Defender for Cloud, vaya a Configuración del entorno. Seleccione Directiva de desfase de contenedores.

    Captura de pantalla de selección de la directiva de desfase de contenedores en Configuración del entorno.

  2. Obtendrá dos reglas listas para usar: la regla de Alerta en el espacio de nombres Kube-System y la regla de Desfase binario predeterminado. La regla predeterminada es una regla especial que se aplica a todo si no hay ninguna otra regla antes que coincida. Solo puede modificar su acción, ya sea a Alerta de detección de desfase o devolverla al valor predeterminado Omitir la detección de desfase. La regla Alerta en el espacio de nombres Kube-System es una sugerencia lista para usar y se puede modificar como cualquier otra regla.

    Captura de pantalla de la regla predeterminada que aparece en la parte inferior de la lista de reglas.

  3. Para agregar una nueva regla, seleccione Agregar regla. Aparecerá un panel lateral donde podrá configurar la regla.

    Captura de pantalla de la selección de Agregar regla para crear y configurar una nueva regla.

  4. Para configurar la regla, defina los campos siguientes:

    • Nombre de regla: un nombre descriptivo para la regla.
    • Acción: seleccione Alerta de detección de desfase si la regla debe generar una alerta u Omitir la detección de desfase para excluirla de la generación de alertas.
    • Descripción del ámbito: una descripción del ámbito al que se aplica la regla.
    • Ámbito de nube: el proveedor de nube al que se aplica la regla. Puede elegir cualquier combinación de Azure, AWS o GCP. Si expande un proveedor de nube, puede seleccionar una suscripción específica. Si no selecciona todo el proveedor de nube, las nuevas suscripciones agregadas al proveedor de nube no se incluirán en la regla.
    • Ámbito de recurso: aquí puede agregar condiciones basadas en las siguientes categorías: Nombre de contenedor, Nombre de imagen, Espacio de nombres, Etiquetas de pod, Nombre de pod o Nombre de clúster. Luego, elija un operador: Comienza con, Termina con, Es igual ao Contiene. Por último, escriba el valor que se debe coincidir. Puede agregar tantas condiciones como sea necesario seleccionando +Agregar condición.
    • Lista de permitidos para procesos: una lista de procesos que está permitido ejecutar en el contenedor. Si se detecta un proceso que no está en esta lista, se genera una alerta.

    Este es un ejemplo de una regla que permite que el proceso dev1.exe se ejecute en contenedores en el ámbito de la nube de Azure, cuyos nombres de imagen comiencen por Test123 o env123:

    Ejemplo de una configuración de regla con todos los campos definidos.

  5. Seleccione Aplicar para guardar la regla.

  6. Una vez configurada la regla, selecciónela y arrástrela hacia arriba o hacia abajo en la lista para cambiar su prioridad. La regla con la prioridad más alta se evalúa primero. Si hay una coincidencia, se genera una alerta o se omite (en función de lo que se eligió para esa regla) y la evaluación se detiene. Si no se encuentra ninguna coincidencia, se evalúa la siguiente regla. Si no hay ninguna coincidencia para ninguna regla, se aplica la regla predeterminada.

  7. Para editar una regla existente, elija la regla y seleccione Editar. Se abrirá el panel lateral donde podrá realizar cambios a la regla.

  8. Puede seleccionar Duplicar regla para crear una copia de una regla. Esto puede ser útil si desea crear una regla similar con cambios menores.

  9. Para eliminar una regla, seleccione Eliminar regla.

  10. Después de configurar las reglas, seleccione Guardar para aplicar los cambios y crear la directiva.

  11. En un plazo de 30 minutos, los sensores de los clústeres protegidos se actualizarán con la nueva directiva.

Supervisión y administración de alertas

El sistema de alertas está diseñado para notificarle cualquier desfase binario, lo que le ayudará a mantener la integridad de las imágenes de contenedor. Si se detecta un proceso externo no autorizado que coincida con las condiciones de directiva definidas, se generará una alerta con gravedad alta para que la revise.

Ajuste de las directivas según sea necesario

En función de las alertas que reciba y su revisión, es posible que sea necesario ajustar las reglas en la directiva de desfase binario. Esto podría implicar refinar las condiciones, agregar nuevas reglas o quitar las que generan demasiados falsos positivos. El objetivo es garantizar que las directivas de desfase binario definidas con sus reglas equilibren eficazmente las necesidades de seguridad con la eficacia operativa.

La eficacia de la detección de desfase binario se basa en la participación activa en la configuración, supervisión y ajuste de directivas para satisfacer los requisitos únicos del entorno.