Поделиться через

Обнаружение двоичного смещения (предварительная версия)

  • Статья

Двоичное смещение происходит, когда контейнер выполняет исполняемый файл, который не был получен из исходного образа. Это может быть преднамеренным и законным, или это может указывать на атаку. Так как образы контейнеров должны быть неизменяемыми, все процессы, запускаемые из двоичных файлов, не включенных в исходный образ, должны оцениваться как подозрительные действия.

Функция обнаружения двоичного смещения предупреждает вас, когда существует разница между рабочей нагрузкой, полученной из образа, и рабочей нагрузкой, выполняемой в контейнере. Он оповещает вас о потенциальных угрозах безопасности, обнаруживая несанкционированные внешние процессы в контейнерах. Вы можете определить политики смещения, чтобы указать условия, в которых должны создаваться оповещения, помогая различать допустимые действия и потенциальные угрозы.

Обнаружение двоичного смещения интегрировано в план Defender для контейнеров и доступно в общедоступной предварительной версии. Он доступен для облаков Azure (AKS), Amazon (EKS) и Google (GKE).

Необходимые компоненты

  • Чтобы использовать обнаружение двоичного смещения, необходимо запустить датчик Defender для контейнеров, который доступен в AWS, GCP и AKS в версиях 1.29 или выше.
  • Датчик Defender для контейнера должен быть включен в подписках и соединителях.
  • Чтобы создать и изменить политики смещения, вам потребуется разрешение администратора безопасности или более высокого уровня разрешений для клиента. Чтобы просмотреть политики смещения, вам потребуется средство чтения безопасности или более высокие разрешения для клиента.

Компоненты

Следующие компоненты являются частью обнаружения двоичного смещения:

  • расширенный датчик, способный обнаруживать двоичное смещение
  • Параметры конфигурации политики
  • новое оповещение смещения двоичных файлов

Настройка политик смещения

Создайте политики смещения для определения времени создания оповещений. Каждая политика состоит из правил, определяющих условия создания оповещений. Это позволяет адаптировать функцию к конкретным потребностям, уменьшая ложные срабатывания. Вы можете создавать исключения, задав правила более высокого приоритета для определенных областей или кластеров, изображений, модулей pod, меток Kubernetes или пространств имен.

Чтобы создать и настроить политики, выполните следующие действия.

  1. В Microsoft Defender для облака перейдите к параметрам среды. Выберите политику смещения контейнеров.

    Снимок экрана: политика смещения контейнеров в параметрах среды.

  2. Вы получаете два правила из поля: правило пространств имен генерации оповещений в Kube-System и правило смещения двоичных файлов по умолчанию. Правило по умолчанию — это специальное правило, которое применяется ко всему, если другое правило не соответствует. Его действие можно изменить только в оповещение об обнаружении смещения или вернуть его к обнаружению смещения по умолчанию. Правило пространств имен "Оповещение в Kube-System" является предложением вне поля и может быть изменено как любое другое правило.

    Снимок экрана: правило по умолчанию отображается в нижней части списка правил.

  3. Чтобы добавить новое правило, нажмите кнопку "Добавить правило". Появится боковая панель, в которой можно настроить правило.

    Снимок экрана: выбор правила

  4. Чтобы настроить правило, определите следующие поля:

    • Имя правила: описательное имя правила.
    • Действие. Выберите оповещение об обнаружении смещения, если правило должно создать оповещение или игнорировать обнаружение смещения, чтобы исключить его из создания оповещений.
    • Описание области: описание области, к которой применяется правило.
    • Область облака: поставщик облачных служб, к которому применяется правило. Вы можете выбрать любое сочетание Azure, AWS или GCP. При развертывании поставщика облачных служб можно выбрать конкретную подписку. Если вы не выберете весь поставщик облачных служб, новые подписки, добавленные к поставщику облачных служб, не будут включены в правило.
    • Область ресурсов: здесь можно добавить условия на основе следующих категорий: имя контейнера, имя образа, пространство имен, метки pod, имя pod или имя кластера. Затем выберите оператор: "Начинается с", "Заканчивается", "Равно" или "Содержит". Наконец, введите соответствующее значение. Можно добавить столько условий, сколько нужно, нажав кнопку +Добавить условие.
    • Список разрешений для процессов: список процессов, которые могут выполняться в контейнере. Если процесс не в этом списке обнаружен, создается оповещение.

    Ниже приведен пример правила, позволяющего dev1.exe выполнять процесс в контейнерах в области облака Azure, имена образов которых начинаются с Test123 или env123:

    Пример конфигурации правила со всеми полями, определенными.

  5. Нажмите кнопку "Применить" , чтобы сохранить правило.

  6. После настройки правила выберите и перетащите правило вверх или вниз в списке, чтобы изменить приоритет. Сначала вычисляется правило с наивысшим приоритетом. Если есть совпадение, он создает оповещение или игнорирует его (на основе того, что было выбрано для этого правила), и оценка останавливается. Если совпадение не найдено, то вычисляется следующее правило. Если для любого правила нет совпадения, применяется правило по умолчанию.

  7. Чтобы изменить существующее правило, выберите правило и нажмите кнопку "Изменить". Откроется боковая панель, в которой можно внести изменения в правило.

  8. Вы можете выбрать повторяющееся правило , чтобы создать копию правила. Это может быть полезно, если вы хотите создать аналогичное правило только с незначительными изменениями.

  9. Чтобы удалить правило, выберите "Удалить правило".

  10. После настройки правил нажмите кнопку "Сохранить ", чтобы применить изменения и создать политику.

  11. В течение 30 минут датчики защищенных кластеров обновляются с помощью новой политики.

Мониторинг оповещений и управление ими

Система оповещений предназначена для уведомления о любых двоичных смещениях, помогая поддерживать целостность образов контейнеров. Если обнаружен несанкционированный внешний процесс, соответствующий определенным условиям политики, создается оповещение с высокой серьезностью для проверки.

Настройка политик по мере необходимости

На основе получаемых оповещений и их просмотра может потребоваться изменить правила в политике двоичного смещения. Это может включать уточнение условий, добавление новых правил или удаление тех, которые создают слишком много ложных срабатываний. Цель заключается в том, чтобы определенные политики двоичного смещения с их правилами эффективно балансировать потребности безопасности с эффективностью работы.

Эффективность обнаружения двоичного смещения зависит от активного участия в настройке, мониторинге и настройке политик в соответствии с уникальными требованиями вашей среды.

Связанный контент