Partilhar via

Deteção de desvio binário (visualização)

  • Artigo

Um desvio binário acontece quando um contêiner está executando um executável que não veio da imagem original. Isso pode ser intencional e legítimo, ou pode indicar um ataque. Como as imagens de contêiner devem ser imutáveis, quaisquer processos iniciados a partir de binários não incluídos na imagem original devem ser avaliados como atividade suspeita.

O recurso de deteção de desvio binário alerta quando há uma diferença entre a carga de trabalho que veio da imagem e a carga de trabalho em execução no contêiner. Ele alerta sobre possíveis ameaças à segurança, detetando processos externos não autorizados dentro de contêineres. Você pode definir políticas de desvio para especificar as condições sob as quais os alertas devem ser gerados, ajudando a distinguir entre atividades legítimas e ameaças potenciais.

A deteção de desvios binários está integrada no plano Defender for Containers e está disponível em pré-visualização pública. Está disponível para as nuvens Azure (AKS), Amazon (EKS) e Google (GKE).

Pré-requisitos

  • Para usar a deteção de desvio binário, você precisa executar o sensor Defender for Container, que está disponível na AWS, GCP e AKS nas versões 1.29 ou superiores.
  • O sensor Defender for Container deve estar ativado nas assinaturas e conectores.
  • Para criar e modificar políticas de desvio, você precisa de permissões de administrador global no locatário.

Componentes

Os seguintes componentes fazem parte da deteção de desvio binário:

  • um sensor melhorado capaz de detetar desvios binários
  • Opções de configuração de política
  • um novo alerta binário de deriva

Configurar políticas de desvio

Crie políticas de desvio para definir quando os alertas devem ser gerados. Cada política é composta por regras que definem as condições sob as quais os alertas devem ser gerados. Isso permite que você adapte o recurso às suas necessidades específicas, reduzindo os falsos positivos. Você pode criar exclusões definindo regras de prioridade mais alta para escopos ou clusters específicos, imagens, pods, rótulos do Kubernetes ou namespaces.

Para criar e configurar políticas, siga estes passos:

  1. No Microsoft Defender for Cloud, vá para Configurações de ambiente. Selecione Política de desvio de contêineres.

    Captura de ecrã da política de desvio Selecionar Contentores nas definições de Ambiente.

  2. Você recebe duas regras prontas para uso: a regra de namespace Alert on Kube-System e a regra de desvio binário padrão. A regra padrão é uma regra especial que se aplica a tudo, se nenhuma outra regra antes de ser correspondida. Você só pode modificar sua ação, seja para o alerta de deteção de desvio ou devolvê-lo para a deteção de desvio padrão Ignorar. A regra de namespace Alert on Kube-System é uma sugestão pronta para uso e pode ser modificada como qualquer outra regra.

    A captura de tela da regra padrão aparece na parte inferior da lista de regras.

  3. Para adicionar uma nova regra, selecione Adicionar regra. Aparece um painel lateral onde pode configurar a regra.

    Captura de ecrã de Selecione Adicionar regra para criar e configurar uma nova regra.

  4. Para configurar a regra, defina os seguintes campos:

    • Nome da regra: um nome descritivo para a regra.
    • Ação: Selecione Alerta de deteção de desvio se a regra deve gerar um alerta ou Ignorar deteção de desvio para excluí-lo da geração de alertas.
    • Descrição do âmbito: uma descrição do âmbito ao qual a regra se aplica.
    • Escopo da nuvem: o provedor de nuvem ao qual a regra se aplica. Você pode escolher qualquer combinação de Azure, AWS ou GCP. Se você expandir um provedor de nuvem, poderá selecionar uma assinatura específica. Se você não selecionar o provedor de nuvem inteiro, as novas assinaturas adicionadas ao provedor de nuvem não serão incluídas na regra.
    • Escopo do recurso: aqui você pode adicionar condições com base nas seguintes categorias: Nome do contêiner, Nome da imagem, Namespace, Rótulos do pod, Nome do pod ou Nome do cluster. Em seguida, escolha um operador: Começa com, Termina com, Igual ou Contém. Por fim, insira o valor a ser correspondido. Você pode adicionar quantas condições forem necessárias selecionando +Adicionar condição.
    • Lista de permissões para processos: uma lista de processos que podem ser executados no contêiner. Se for detetado um processo que não consta desta lista, é gerado um alerta.

    Aqui está um exemplo de uma regra que permite que o dev1.exe processo seja executado em contêineres no escopo da nuvem do Azure, cujos nomes de imagem começam com Test123 ou env123:

    Exemplo de uma configuração de regra com todos os campos definidos.

  5. Selecione Aplicar para salvar a regra.

  6. Depois de configurar a regra, selecione e arraste a regra para cima ou para baixo na lista para alterar sua prioridade. A regra com a prioridade mais alta é avaliada primeiro. Se houver uma correspondência, ela gera um alerta ou o ignora (com base no que foi escolhido para essa regra) e a avaliação é interrompida. Se nenhuma correspondência for encontrada, a próxima regra será avaliada. Se não houver correspondência para nenhuma regra, a regra padrão será aplicada.

  7. Para editar uma regra existente, escolha a regra e selecione Editar. Isso abre o painel lateral onde você pode fazer alterações na regra.

  8. Você pode selecionar Duplicar regra para criar uma cópia de uma regra. Isso pode ser útil se você quiser criar uma regra semelhante com apenas pequenas alterações.

  9. Para excluir uma regra, selecione Excluir regra.

  10. Depois de configurar as regras, selecione Salvar para aplicar as alterações e criar a política.

  11. Em 30 minutos, os sensores nos clusters protegidos são atualizados com a nova política.

Monitorar e gerenciar alertas

O sistema de alerta foi concebido para notificá-lo de quaisquer desvios binários, ajudando-o a manter a integridade das imagens do seu contentor. Se for detetado um processo externo não autorizado que corresponda às condições de política definidas, será gerado um alerta com alta severidade para análise.

Ajustar as políticas conforme necessário

Com base nos alertas que você recebe e sua revisão deles, você pode achar necessário ajustar suas regras na política de deriva binária. Isso pode envolver refinar condições, adicionar novas regras ou remover aquelas que geram muitos falsos positivos. O objetivo é garantir que as políticas de deriva binária definidas com suas regras equilibrem efetivamente as necessidades de segurança com a eficiência operacional.

A eficácia da deteção de desvio binário depende do seu envolvimento ativo na configuração, monitoramento e ajuste de políticas para atender aos requisitos exclusivos do seu ambiente.

Conteúdos relacionados