Dela via

Identifiering av binär avdrift (förhandsversion)

  • Artikel

En binär drift inträffar när en container kör en körbar fil som inte kom från den ursprungliga avbildningen. Detta kan antingen vara avsiktligt och legitimt, eller så kan det tyda på en attack. Eftersom containeravbildningar ska vara oföränderliga bör alla processer som startas från binärfiler som inte ingår i den ursprungliga avbildningen utvärderas som misstänkt aktivitet.

Funktionen för identifiering av binär drift varnar dig när det finns en skillnad mellan arbetsbelastningen som kom från avbildningen och arbetsbelastningen som körs i containern. Den varnar dig om potentiella säkerhetshot genom att identifiera obehöriga externa processer i containrar. Du kan definiera driftprinciper för att ange villkor under vilka aviseringar ska genereras, vilket hjälper dig att skilja mellan legitima aktiviteter och potentiella hot.

Identifiering av binär avdrift är integrerad i Defender for Containers-planen och är tillgänglig i offentlig förhandsversion. Den är tillgänglig för Molnen Azure (AKS), Amazon (EKS) och Google (GKE).

Förutsättningar

  • Om du vill använda identifiering av binär drift måste du köra Defender for Container-sensorn, som är tillgänglig i AWS, GCP och AKS i version 1.29 eller senare.
  • Defender for Container-sensorn måste vara aktiverad för prenumerationer och anslutningsappar.
  • Om du vill skapa och ändra driftprinciper behöver du säkerhetsadministratör eller högre behörigheter för klientorganisationen. Om du vill visa driftprinciper behöver du säkerhetsläsare eller högre behörigheter för klientorganisationen.

Komponenter

Följande komponenter är en del av identifiering av binär drift:

  • en förbättrad sensor som kan identifiera binär drift
  • konfigurationsalternativ för principer
  • en ny binär avisering om avdrift

Konfigurera driftprinciper

Skapa driftprinciper för att definiera när aviseringar ska genereras. Varje princip består av regler som definierar de villkor under vilka aviseringar ska genereras. På så sätt kan du skräddarsy funktionen efter dina specifika behov, vilket minskar falska positiva identifieringar. Du kan skapa undantag genom att ange regler med högre prioritet för specifika omfång eller kluster, bilder, poddar, Kubernetes-etiketter eller namnområden.

Följ dessa steg för att skapa och konfigurera principer:

  1. I Microsoft Defender för molnet går du till Miljöinställningar. Välj Avdriftsprincip för containrar.

    Skärmbild av select containers drift policy in Environment settings (Välj containrars avdriftsprincip) i Miljöinställningar.

  2. Du får två regler direkt: regeln Avisering för Kube-System-namnområde och standardregeln för binär drift . Standardregeln är en särskild regel som gäller för allt om ingen annan regel innan den matchas. Du kan bara ändra dess åtgärd, antingen till avisering om driftidentifiering eller returnera den till standardidentifieringen Ignorera avdrift. Aviseringen om Kube-System-namnområdesregeln är ett förslag som inte är i rutan och kan ändras som vilken regel som helst.

    Skärmbild av standardregeln visas längst ned i listan med regler.

  3. Om du vill lägga till en ny regel väljer du Lägg till regel. En sidopanel visas där du kan konfigurera regeln.

    Skärmbild av Välj Lägg till regel för att skapa och konfigurera en ny regel.

  4. Definiera följande fält för att konfigurera regeln:

    • Regelnamn: Ett beskrivande namn för regeln.
    • Åtgärd: Välj Avisering om driftidentifiering om regeln ska generera en avisering eller Ignorera avvikelseidentifiering för att undanta den från aviseringsgenereringen.
    • Omfångsbeskrivning: En beskrivning av det omfång som regeln gäller för.
    • Molnomfång: Molnleverantören som regeln gäller för. Du kan välja valfri kombination av Azure, AWS eller GCP. Om du expanderar en molnleverantör kan du välja en specifik prenumeration. Om du inte väljer hela molnleverantören inkluderas inte nya prenumerationer som läggs till i molnleverantören i regeln.
    • Resursomfång: Här kan du lägga till villkor baserat på följande kategorier: Containernamn, Avbildningsnamn, Namnområde, Poddetiketter, Poddnamn eller Klusternamn. Välj sedan en operator: Börjar med, Slutar med, Lika med eller Innehåller. Ange slutligen det värde som ska matchas. Du kan lägga till så många villkor som behövs genom att välja +Lägg till villkor.
    • Tillåt lista över processer: En lista över processer som tillåts köras i containern. Om en process som inte finns i listan identifieras genereras en avisering.

    Här är ett exempel på en regel som gör att processen kan dev1.exe köras i containrar i Azure-molnomfånget, vars avbildningsnamn börjar med antingen Test123 eller env123:

    Exempel på en regelkonfiguration med alla definierade fält.

  5. Välj Använd för att spara regeln.

  6. När du har konfigurerat regeln väljer du och drar regeln uppåt eller nedåt i listan för att ändra dess prioritet. Regeln med högsta prioritet utvärderas först. Om det finns en matchning genererar den antingen en avisering eller ignorerar den (baserat på vad som valdes för den regeln) och utvärderingen stoppas. Om ingen matchning hittas utvärderas nästa regel. Om det inte finns någon matchning för någon regel tillämpas standardregeln.

  7. Om du vill redigera en befintlig regel väljer du regeln och väljer Redigera. Då öppnas sidopanelen där du kan göra ändringar i regeln.

  8. Du kan välja Duplicera regel för att skapa en kopia av en regel. Detta kan vara användbart om du vill skapa en liknande regel med endast mindre ändringar.

  9. Om du vill ta bort en regel väljer du Ta bort regel.

  10. När du har konfigurerat reglerna väljer du Spara för att tillämpa ändringarna och skapa principen.

  11. Inom 30 minuter uppdateras sensorerna i de skyddade klustren med den nya principen.

Övervaka och hantera aviseringar

Aviseringssystemet är utformat för att meddela dig om binära drifter, vilket hjälper dig att upprätthålla integriteten för dina containeravbildningar. Om en obehörig extern process identifieras som matchar dina definierade principvillkor genereras en avisering med hög allvarlighetsgrad som du kan granska.

Justera principer efter behov

Baserat på de aviseringar du får och din granskning av dem kan det vara nödvändigt att justera reglerna i principen för binär avdrift. Detta kan innebära att förfina villkor, lägga till nya regler eller ta bort dem som genererar för många falska positiva identifieringar. Målet är att säkerställa att de definierade binära driftprinciperna med sina regler effektivt balanserar säkerhetsbehoven med driftseffektivitet.

Effektiviteten för identifiering av binär avdrift är beroende av ditt aktiva engagemang när det gäller att konfigurera, övervaka och justera principer som passar din miljös unika krav.

Relaterat innehåll