Megosztás a következőn keresztül:

Bináris eltérésészlelés (előzetes verzió)

  • Cikk

Bináris eltérés akkor fordul elő, ha egy tároló olyan végrehajtható fájlt futtat, amely nem az eredeti rendszerképből származik. Ez lehet szándékos és jogos, vagy támadásra utalhat. Mivel a tárolórendszerképek nem módosíthatók, az eredeti rendszerképben nem szereplő bináris fájlokból indított folyamatokat gyanús tevékenységként kell értékelni.

A bináris eltérésészlelés funkció riasztást küld, ha különbség van a rendszerképből származó számítási feladat és a tárolóban futó számítási feladat között. A tárolókon belüli jogosulatlan külső folyamatok észlelésével riasztást küld a lehetséges biztonsági fenyegetésekről. Sodródási szabályzatokat határozhat meg a riasztások létrehozásának feltételeinek meghatározásához, így megkülönböztetheti a jogos tevékenységeket és a potenciális fenyegetéseket.

A bináris eltérésészlelés integrálva van a Defender for Containers csomagba, és nyilvános előzetes verzióban érhető el. Elérhető az Azure (AKS), az Amazon (EKS) és a Google (GKE) felhőkhöz.

Előfeltételek

  • A bináris eltérésészlelés használatához futtatnia kell a Defender for Container érzékelőt, amely az AWS, a GCP és az AKS 1.29-s vagy újabb verzióiban érhető el.
  • A Defender for Container érzékelőt engedélyezni kell az előfizetéseken és összekötőkön.
  • Az eltolódási szabályzatok létrehozásához és módosításához biztonsági rendszergazdai vagy magasabb szintű engedélyekre van szükség a bérlőn. Az eltolódási szabályzatok megtekintéséhez biztonsági olvasóra vagy magasabb szintű engedélyre van szükség a bérlőn.

Összetevők

Az alábbi összetevők a bináris eltérésészlelés részét képezik:

  • egy továbbfejlesztett érzékelő, amely képes észlelni a bináris eltérést
  • szabályzatkonfigurációs beállítások
  • új bináris sodródási riasztás

Sodródási szabályzatok konfigurálása

Hozzon létre eltérési szabályzatokat, amelyek meghatározzák, hogy mikor kell riasztásokat létrehozni. Minden szabályzat olyan szabályokból áll, amelyek meghatározzák a riasztások létrehozásának feltételeit. Ez lehetővé teszi, hogy a funkciót az ön igényeihez igazítsuk, csökkentve a hamis pozitív értékeket. Kizárásokat úgy hozhat létre, hogy magasabb prioritású szabályokat állít be adott hatókörökre vagy fürtökre, képekre, podokra, Kubernetes-címkékre vagy névterekre.

Szabályzatok létrehozásához és konfigurálásához kövesse az alábbi lépéseket:

  1. A Felhőhöz készült Microsoft Defender lépjen a Környezeti beállítások elemre. Válassza a Tárolók eltolódási szabályzatát.

    Képernyőkép a Tárolók kiválasztása eltérési szabályzatról a környezeti beállításokban.

  2. A dobozból két szabályt kap: a Kube-System névtérszabályának riasztását és az alapértelmezett bináris eltérési szabályt. Az alapértelmezett szabály egy speciális szabály, amely mindenre vonatkozik, ha nincs más szabály, mielőtt az megfeleltethető lenne. A műveletét csak driftészlelési riasztásra módosíthatja, vagy visszaadhatja az alapértelmezett eltérésészlelés figyelmen kívül hagyására. A Kube-System névtérszabály riasztása egy beépített javaslat, és bármely más szabályhoz hasonlóan módosítható.

    Az Alapértelmezett szabály képernyőképe a szabályok listájának alján jelenik meg.

  3. Új szabály hozzáadásához válassza a Szabály hozzáadása lehetőséget. Megjelenik egy oldalpanel, ahol konfigurálhatja a szabályt.

    Új szabály létrehozásához és konfigurálásához válassza a Szabály hozzáadása lehetőséget.

  4. A szabály konfigurálásához adja meg a következő mezőket:

    • Szabály neve: A szabály leíró neve.
    • Művelet: Válassza ki az elsodródásészlelési riasztást , ha a szabálynak riasztást kell létrehoznia, vagy figyelmen kívül kell hagynia az eltérésészlelést , hogy kizárja azt a riasztásgenerálásból.
    • Hatókör leírása: Annak a hatókörnek a leírása, amelyre a szabály vonatkozik.
    • Felhő hatóköre: Az a felhőszolgáltató, amelyre a szabály vonatkozik. Az Azure, az AWS vagy a GCP bármilyen kombinációját választhatja. Ha kibővít egy felhőszolgáltatót, kiválaszthatja az adott előfizetést. Ha nem a teljes felhőszolgáltatót választja ki, a felhőszolgáltatóhoz hozzáadott új előfizetések nem lesznek belefoglalva a szabályba.
    • Erőforrás hatóköre: Itt a következő kategóriák alapján adhat hozzá feltételeket: tárolónév, képnév, Namespace, podcímkék, podnév vagy fürtnév. Ezután válasszon egy operátort: Kezdő, Végződés, Egyenlő vagy Tartalmaz. Végül adja meg az egyező értéket. A +Feltétel hozzáadása lehetőség kiválasztásával tetszőleges számú feltételt adhat hozzá.
    • Folyamatok listájának engedélyezése: A tárolóban futtatható folyamatok listája. Ha a rendszer nem jelenik meg a listán, riasztás jön létre.

    Íme egy példa egy szabályra, amely lehetővé teszi, hogy a dev1.exe folyamat az Azure-felhő hatókörében lévő tárolókban fusson, amelyek rendszerképei a Test123 vagy az Env123 használatával kezdődnek:

    Példa egy szabálykonfigurációra az összes definiált mezővel.

  5. Kattintson az Alkalmaz gombra a szabály mentéséhez.

  6. Miután konfigurálta a szabályt, válassza ki és húzza a szabályt felfelé vagy lefelé a listában a prioritás módosításához. Először a legmagasabb prioritású szabály lesz kiértékelve. Ha egyezés van, akkor vagy létrehoz egy riasztást, vagy figyelmen kívül hagyja (az adott szabályhoz választott érték alapján), és a kiértékelés leáll. Ha nem található egyezés, a rendszer kiértékeli a következő szabályt. Ha nincs egyezés egyik szabályhoz sem, a rendszer az alapértelmezett szabályt alkalmazza.

  7. Meglévő szabály szerkesztéséhez válassza ki a szabályt, és válassza a Szerkesztés lehetőséget. Ekkor megnyílik az oldalpanel, ahol módosíthatja a szabályt.

  8. A szabály másolatának létrehozásához válassza az Ismétlődő szabály lehetőséget. Ez akkor lehet hasznos, ha csak kisebb módosításokat tartalmazó hasonló szabályt szeretne létrehozni.

  9. Szabály törléséhez válassza a Szabály törlése lehetőséget.

  10. A szabályok konfigurálása után válassza a Mentés lehetőséget a módosítások alkalmazásához és a szabályzat létrehozásához.

  11. A védett fürtök érzékelői 30 percen belül frissülnek az új szabályzattal.

Riasztások figyelése és kezelése

A riasztási rendszer úgy lett kialakítva, hogy értesítse Önt a bináris eltérésekről, így megőrizheti a tárolólemezképek integritását. Ha a rendszer jogosulatlan külső folyamatot észlel, amely megfelel a megadott szabályzatfeltételeinek, a rendszer magas súlyosságú riasztást hoz létre a felülvizsgálathoz.

Szabályzatok szükség szerinti módosítása

A kapott riasztások és azok áttekintése alapján előfordulhat, hogy módosítania kell a szabályokat a bináris sodródási szabályzatban. Ez magában foglalhatja a feltételek finomítását, új szabályok hozzáadását vagy olyan szabályok eltávolítását, amelyek túl sok hamis pozitív értéket hoznak létre. A cél annak biztosítása, hogy a bináris sodródási szabályzatok és szabályaik hatékonyan egyensúlyba tudják helyezni a biztonsági igényeket a működési hatékonysággal.

A bináris eltérésészlelés hatékonysága a környezet egyedi igényeinek megfelelő szabályzatok konfigurálásában, monitorozásában és módosításában való aktív részvételen alapul.

Kapcsolódó tartalom