Обнаружение и блокировка вредоносного ПО в среде выполнения контейнеров

Антивредоносная программа среды выполнения контейнеров обнаруживает и блокирует вредоносные программы, когда контейнер запускает исполняемый файл, который определяется как вредоносный.

Эта функция отправляет оповещения и может блокировать выполнение вредоносных программ.

Вы можете определить политики защиты от вредоносных программ, которые задают условия для оповещений и блокировки. Эти политики помогают отличить законную активность от потенциальных угроз.

Обнаружение и блокировка вредоносных программ в среде выполнения контейнеров является частью плана Microsoft Defender для контейнеров. Эта функция доступна для службы Azure Kubernetes (AKS), Amazon Elastic Kubernetes Service (EKS) и Google Kubernetes Engine (GKE).

Предпосылки

  • Чтобы использовать обнаружение и блокировку вредоносного ПО во время выполнения контейнеров, необходимо запустить датчик Defender для контейнеров, который доступен в облаках Amazon Web Services (AWS), Google Cloud Platform (GCP) и Azure Kubernetes Service (AKS). Эта функция поддерживается для:

    • AKS: Развертывание Helm с версией сенсора 0.10.X GA, последняя версия.
    • Multicloud:

      • Включите автоматическую подготовку ресурсов Azure Arc (ARC) на странице активации.

        Снимок экрана: переключатели включения для ARC.

      • Подготовка Helm с сенсором версии 0.10.X в общедоступной последней версии или с расширением ARC, используя команду --configuration-settings collectors.antimalwareCollector.enable='true'.

        Рассмотрим пример.

        az k8s-extension create --name  microsoft.azuredefender.kubernetes --extension-type  microsoft.azuredefender.kubernetes --cluster-name <name> --resource-group <rg> --cluster-type connectedClusters --configuration-settings collectors.antimalwareCollector.enable='true'

  • Необходимо включить датчик Defender для контейнеров в подписках и соединителях.

  • Чтобы создать и изменить политики защиты от вредоносных программ, вам потребуются разрешения администратора безопасности или более высокие разрешения для клиента. Чтобы просматривать политики защиты от вредоносных программ, требуются права Просмотрщика безопасности или более высокие разрешения в клиенте. 

  • Помимо основных требований к памяти датчика и центральному процессору (ЦП), вам потребуется:

    Компонент Просьба Лимит
    ЦП 50 м 300 м
    Память 128Mi 500 МиБ

Дополнительные сведения об обнаружении вредоносных программ и блокировке доступности.

Components

Следующие компоненты являются частью обнаружения и блокировки антивредоносных программ:

  • Расширенный датчик, который обнаруживает и предотвращает вредоносные программы.

  • Параметры настройки политики защиты от вредоносных программ.

  • Оповещения защиты от вредоносных программ.

Включение обнаружения и блокировки антивредоносных программ

Антивредоносная программа по умолчанию не включена, так как она использует дополнительные ресурсы кластера.

Чтобы установить датчик с поддержкой защиты от вредоносных программ, следуйте инструкциям, чтобы установить Defender для контейнеров с помощью Helm и включите флаг --antimalware.

Добавление правил защиты от вредоносных программ

При установке датчика с включенным антивредоносным по умолчанию он настраивает три правила защиты от вредоносных программ. К этим правилам относятся:

  • Malware alert on binaries not originated from original image: предлагаемое правило для ситуаций, когда система обнаруживает дрейфованный двоичный файл.
  • Default antimalware workload rule.
  • Default antimalware host rule.

Два правила защиты от вредоносных программ по умолчанию (рабочая нагрузка и узел) применяются ко всем потенциальным ситуациям, если никакое другое правило не соответствует первым. Действия правил по умолчанию можно изменить только и задать для них оповещение, блокировку или игнорировать.

Вы можете создать новые правила защиты от вредоносных программ, чтобы определить, когда оповещения должны создаваться, блокироваться или игнорироваться. Каждое правило может определять условия для создания оповещений. Эта структура позволяет адаптировать систему под ваши конкретные потребности и уменьшить количество ложных срабатываний. Вы можете создавать исключения, задав правила более высокого приоритета для определенных областей или кластеров, изображений, модулей pod, меток Kubernetes или пространств имен. 

  1. Войдите на портал Azure.

  2. Перейдите в раздел Defender для облака>Настройки среды.

  3. Выберите правила безопасности

    Снимок экрана: Microsoft Defender для облака, на которой показана страница политики защиты от вредоносных программ с тремя правилами: Оповещение о вредоносных программах, значение по умолчанию для рабочей нагрузки и значение по умолчанию для узла.

  4. Выберите Антивирусное ПО>+ Добавить правило

    Снимок экрана: боковая панель добавления правила с полями для имени правила, условий и действий с параметрами оповещения, блокировки или пропускания.

  5. Введите имя правила.

  6. Выберите доступное действие:

    • Игнорировать вредоносные программы: игнорировать выбранные вредоносные программы.
    • Оповещение о вредоносных программах: создание оповещения. Например, если правило обнаруживает дрейфованный двоичный файл.
    • Блокировать вредоносные программы: блокировать выполнение вредоносных программ.

  7. Введите имя области.

  8. Выберите облачную область и (необязательно) определенную подписку.

  9. (Необязательно) Выберите область ресурсов.

  10. (Необязательно) Добавьте условия в область ресурсов на основе следующих категорий: имя контейнера, имя образа, пространство имен, метки pod, имя pod или имя кластера. Затем выберите оператор: "Начинается с", "Заканчивается с", "Равно" или "Содержит". Наконец, введите соответствующее значение. Можно добавить столько условий, сколько нужно, нажав кнопку +Добавить условие.

  11. (Необязательно) Установите флажок, чтобы исключить двоичные файлы из образа контейнера.

  12. (Необязательно) Добавьте список разрешений для процессов, список процессов, которые разрешены выполнять в контейнере. Если процесс отсутствует в этом списке, создается оповещение.

  13. Нажмите кнопку "Применить".

  14. Нажмите Сохранить.

Через 30 минут датчики защищенных кластеров обновляются с помощью нового правила.

Управление правилами защиты от вредоносных программ

На основе оповещений, которые вы получаете и просматриваете, может потребоваться изменить правила в политике защиты от вредоносных программ. Эта корректировка может включать уточнение условий, добавление правил или удаление правил, которые создают большое количество ложных срабатываний. Цель состоит в том, чтобы сбалансировать потребности безопасности с операционной эффективностью с помощью эффективных политик и правил защиты от вредоносных программ.

Эффективное обнаружение вредоносных программ зависит от активной роли при настройке, мониторинге и настройке политик для вашей среды.

Правила можно упорядочить по приоритету, выбрав стрелку вверх или вниз. Правило с наивысшим приоритетом (наименьшее число) выполняется первым. Если правило совпадает, действие правила запускается и оценка завершается. Если совпадения нет, система оценивает следующее правило. Если правило не совпадает, система применяет правила по умолчанию.

Каждое правило можно управлять с помощью элементов управления панели инструментов.

Снимок экрана: панель инструментов, которую можно использовать для управления правилами.

Панель инструментов позволяет редактировать, дублировать, удалять, включать и отключать правила. Выберите правило и действие.

Отключение правила позволяет сохранить правило и его конфигурацию без применения правила. Этот параметр полезен, если вы хотите временно остановить правило без потери конфигурации.

После настройки правил нажмите кнопку "Сохранить ", чтобы применить изменения и создать политику. В течение 30 минут датчики в защищенных кластерах обновляются с помощью новой политики.

Следующий шаг

Общие сведения о безопасности контейнеров в Microsoft Defender для контейнеров

  • Last updated on