Condividi tramite

Rilevamento della deriva binaria (anteprima)

  • Articolo

Una deriva binaria si verifica quando un contenitore esegue un eseguibile che non proviene dall'immagine originale. Ciò può essere intenzionale e legittimo oppure indicare un attacco. Poiché le immagini del contenitore devono essere non modificabili, tutti i processi avviati da file binari non inclusi nell'immagine originale devono essere considerati come attività sospette.

La funzionalità di rilevamento della deriva binaria avvisa quando esiste una differenza tra il carico di lavoro proveniente dall'immagine e il carico di lavoro in esecuzione nel contenitore. Segnala potenziali minacce alla sicurezza rilevando processi esterni non autorizzati all'interno dei contenitori. È possibile definire criteri di deriva per specificare le condizioni in cui devono essere generati gli avvisi, consentendo di distinguere tra le attività legittime e le potenziali minacce.

Il rilevamento della deriva binaria è integrato nel piano Defender per contenitori ed è disponibile in anteprima pubblica. È disponibile per i cloud Azure (AKS), Amazon (EKS) e Google (GKE).

Prerequisiti

  • Per usare il rilevamento della deriva binaria, è necessario eseguire il sensore Defender per contenitori, disponibile in AWS, GCP e AKS nelle versioni 1.29 o successive.
  • Il sensore Defender per contenitori deve essere abilitato nelle sottoscrizioni e nei connettori.
  • Per creare e modificare i criteri di deriva, è necessario disporre delle autorizzazioni di amministratore globale nel tenant.

Componenti

I componenti seguenti fanno parte del rilevamento della deriva binaria:

  • un sensore avanzato in grado di rilevare la deriva binaria
  • opzioni di configurazione dei criteri
  • un nuovo avviso di deriva binaria

Configurare i criteri di deriva

Creare criteri di deriva per definire quando devono essere generati gli avvisi. Ogni criterio è costituito da regole che definiscono le condizioni in cui devono essere generati gli avvisi. In questo modo è possibile personalizzare la funzionalità in base alle esigenze specifiche, riducendo i falsi positivi. È possibile creare esclusioni impostando regole con priorità più alta per ambiti o cluster, immagini, pod, etichette Kubernetes o spazi dei nomi specifici.

Per creare e configurare i criteri, seguire questa procedura:

  1. In Microsoft Defender per il cloud, passare a Impostazioni dell'ambiente. Selezionare Criteri di deriva dei contenitori.

    Screenshot della selezione dei criteri di deriva dei contenitori nelle impostazioni dell'ambiente.

  2. Sono disponibili due regole predefinite: la regola Avviso su spazio dei nomi Kube-System e la regola Deriva binaria predefinita. La regola predefinita è una regola speciale che si applica a tutti gli elementi se non vengono trovate altra regole prima che venga individuata una corrispondenza. È possibile modificarne l'azione solo in Avviso di rilevamento deriva o ripristinarne l'impostazione predefinita Ignora rilevamento deriva. La regola Avviso su spazio dei nomi Kube-System è un suggerimento predefinito e può essere modificata come qualsiasi altra regola.

    Screenshot della regola predefinita visualizzata nella parte inferiore dell'elenco delle regole.

  3. Per aggiungere una nuova regola, selezionare Aggiungi regola. Viene visualizzato un pannello laterale in cui è possibile configurare la regola.

    Screenshot dell'opzione Aggiungi regola selezionata per creare e configurare una nuova regola.

  4. Per configurare la regola, definire i campi seguenti:

    • Nome regola: nome descrittivo della regola.
    • Azione: selezionare Avviso di rilevamento deriva se la regola deve generare un avviso o Ignora rilevamento deriva per escluderla dalla generazione di avvisi.
    • Descrizione ambito: descrizione dell'ambito a cui si applica la regola.
    • Ambito cloud: provider di servizi cloud a cui si applica la regola. È possibile scegliere qualsiasi combinazione di Azure, AWS o GCP. Se si espande un provider di servizi cloud, è possibile selezionare una sottoscrizione specifica. Se non si seleziona l'intero provider di servizi cloud, le nuove sottoscrizioni aggiunte al provider non verranno incluse nella regola.
    • Ambito risorsa: qui è possibile aggiungere condizioni in base alle categorie seguenti: Nome contenitore, Nome immagine, Spazio dei nomi, Etichette pod, Nome pod o Nome cluster. Scegliere quindi un operatore: Inizia con, Termina con, Uguale o Contiene. Immettere infine il valore di cui trovare la corrispondenza. È possibile aggiungere tutte le condizioni necessarie selezionando +Aggiungi condizione.
    • Elenco di elementi consentiti per i processi: elenco di processi che possono essere eseguiti nel contenitore. Se viene rilevato un processo non incluso in questo elenco, viene generato un avviso.

    Di seguito è riportato un esempio di regola che consente l'esecuzione del processo dev1.exe nei contenitori nell'ambito del cloud di Azure, i cui nomi di immagine iniziano con Test123 o env123:

    Esempio di configurazione di una regola con tutti i campi definiti.

  5. Selezionare Applica per salvare la regola.

  6. Dopo aver configurato la regola, selezionare e trascinare la regola verso l'alto o verso il basso nell'elenco per modificarne la priorità. La regola con la priorità più alta viene valutata per prima. Se viene rilevata una corrispondenza, genera un avviso o lo ignora (in base all'impostazione scelta per tale regola) e la valutazione si arresta. Se non viene trovata alcuna corrispondenza, viene valutata la regola successiva. Se non esiste alcuna corrispondenza per nessuna regola, viene applicata la regola predefinita.

  7. Per modificare una regola esistente, scegliere la regola e selezionare Modifica. Verrà aperto il pannello laterale in cui è possibile modificare la regola.

  8. È possibile selezionare Duplica regola per creare una copia di una regola. Ciò può essere utile se si vuole creare una regola simile apportandovi solo modifiche minime.

  9. Per eliminare una regola, selezionare Elimina regola.

  10. Dopo aver configurato le regole, selezionare Salva per applicare le modifiche e creare il criterio.

  11. Entro 30 minuti, i sensori nei cluster protetti vengono aggiornati in base ai nuovi criteri.

Monitorare e gestire gli avvisi

Il sistema di avvisi è progettato per notificare eventuali deviazioni binarie, consentendo di mantenere l'integrità delle immagini del contenitore. Se viene rilevato un processo esterno non autorizzato corrispondente alle condizioni definite per i criteri, viene generato un avviso con gravità elevata da esaminare.

Modificare i criteri in base alle esigenze

In base agli avvisi ricevuti e alla loro analisi, potrebbe essere necessario modificare le regole nei criteri di deriva binaria. Ciò potrebbe comportare la ridefinizione delle condizioni, l'aggiunta di nuove regole o la rimozione di quelle che generano un numero eccessivo di falsi positivi. L'obiettivo è garantire che i criteri di deriva binaria definiti con le relative regole siano caratterizzati da un equilibrio efficace tra requisiti di sicurezza ed efficienza operativa.

L'efficacia del rilevamento della deriva binaria si basa sull'impegno attivo a livello di configurazione, monitoraggio e modifica dei criteri in base ai requisiti univoci dell'ambiente.

Contenuto correlato