İkili kayma algılama (önizleme)
bir kapsayıcı özgün görüntüden gelmeyen bir yürütülebilir dosya çalıştırdığında ikili kayma gerçekleşir. Bu kasıtlı ve meşru olabilir veya bir saldırı olduğunu gösterebilir. Kapsayıcı görüntülerinin sabit olması gerektiğinden, özgün görüntüye dahil olmayan ikili dosyalardan başlatılan işlemler şüpheli etkinlik olarak değerlendirilmelidir.
İkili kayma algılama özelliği, görüntüden gelen iş yükü ile kapsayıcıda çalışan iş yükü arasında bir fark olduğunda sizi uyarır. Kapsayıcılar içindeki yetkisiz dış işlemleri algılayarak olası güvenlik tehditleri hakkında sizi uyarır. Hangi koşullar altında uyarıların oluşturulması gerektiğini belirtmek için kayma ilkeleri tanımlayabilir ve yasal etkinliklerle olası tehditler arasında ayrım yapmaya yardımcı olabilirsiniz.
İkili kayma algılama, Kapsayıcılar için Defender planıyla tümleşiktir ve genel önizlemede kullanılabilir. Azure (AKS), Amazon (EKS) ve Google (GKE) bulutlarında kullanılabilir.
Önkoşullar
- İkili kayma algılamayı kullanmak için AWS, GCP ve AKS'de 1.29 veya üzeri sürümlerde kullanılabilen Kapsayıcılar için Defender algılayıcısını çalıştırmanız gerekir.
- Kapsayıcılar için Defender algılayıcısının aboneliklerde ve bağlayıcılarda etkinleştirilmesi gerekir.
- Kayma ilkeleri oluşturmak ve değiştirmek için kiracıda Güvenlik Yöneticisi veya daha yüksek izinlere sahip olmanız gerekir. Kayma ilkelerini görüntülemek için kiracıda Güvenlik Okuyucusu veya daha yüksek izinlere sahip olmanız gerekir.
Bileşenler
Aşağıdaki bileşenler ikili kayma algılamasının bir parçasıdır:
- ikili kayma algılayabilen gelişmiş bir sensör
- ilke yapılandırma seçenekleri
- yeni ikili kayma uyarısı
Kayma ilkelerini yapılandırma
Uyarıların ne zaman oluşturulacağını tanımlamak için kayma ilkeleri oluşturun. Her ilke, uyarı oluşturulması gereken koşulları tanımlayan kurallardan oluşur. Bu özellik, hatalı pozitif sonuçları azaltarak özelliği özel ihtiyaçlarınıza göre uyarlamanıza olanak tanır. Belirli kapsamlar veya kümeler, görüntüler, podlar, Kubernetes etiketleri veya ad alanları için daha yüksek öncelikli kurallar ayarlayarak dışlamalar oluşturabilirsiniz.
İlke oluşturmak ve yapılandırmak için şu adımları izleyin:
Bulut için Microsoft Defender'da Ortam ayarları'na gidin. Kapsayıcılar kayma ilkesi'ni seçin.
kutudan iki kural alırsınız: Kube-System ad alanında uyarı kuralı ve Varsayılan ikili kayma kuralı. Varsayılan kural, eşleşmeden önce başka kural yoksa her şeye uygulanan özel bir kuraldır. Eylemini yalnızca Kayma algılama uyarısı olarak değiştirebilir veya varsayılan Kayması yoksay algılamasına döndürebilirsiniz. Kube-System ad alanı kuralındaki Uyarı, kullanıma açık bir öneridir ve diğer herhangi bir kural gibi değiştirilebilir.
Yeni kural eklemek için Kural ekle'yi seçin. Kuralı yapılandırabileceğiniz bir yan panel görüntülenir.
Kuralı yapılandırmak için aşağıdaki alanları tanımlayın:
- Kural adı: Kural için açıklayıcı bir ad.
- Eylem: Kuralın bir uyarı oluşturması gerekiyorsa Kayma algılama uyarısı'nı veya uyarı oluşturmanın dışında tutmak için Kayma algılamayı yoksay'ı seçin.
- Kapsam açıklaması: Kuralın uygulandığı kapsamın açıklaması.
- Bulut kapsamı: Kuralın geçerli olduğu bulut sağlayıcısı. Azure, AWS veya GCP'nin herhangi bir bileşimini seçebilirsiniz. Bir bulut sağlayıcısını genişletirseniz belirli bir aboneliği seçebilirsiniz. Bulut sağlayıcısının tamamını seçmezseniz, bulut sağlayıcısına eklenen yeni abonelikler kurala dahil edilmeyecektir.
- Kaynak kapsamı: Burada şu kategorilere göre koşullar ekleyebilirsiniz: Kapsayıcı adı, Görüntü adı, Ad Alanı, Pod etiketleri, Pod adı veya Küme adı. Ardından bir işleç seçin: Şununla başlar, şununla biter, Eşittir veya İçerir. Son olarak, eşleşecek değeri girin. +Koşul ekle'yi seçerek gerektiği kadar koşul ekleyebilirsiniz.
- İşlemler için izin verilenler listesi: Kapsayıcıda çalışmasına izin verilen işlemlerin listesi. Bu listede olmayan bir işlem algılanırsa bir uyarı oluşturulur.
Aşağıda, işlemin Azure bulut kapsamındaki kapsayıcılarda çalışmasına olanak tanıyan
dev1.exe
ve görüntü adları Test123 veya env123 ile başlayan bir kural örneği verilmişti:Kuralı kaydetmek için Uygula'yı seçin.
Kuralınızı yapılandırdıktan sonra, önceliğini değiştirmek için kuralı seçip listede yukarı veya aşağı sürükleyin. En yüksek önceliğe sahip kural önce değerlendirilir. Bir eşleşme varsa, bir uyarı oluşturur veya bunu yoksayar (bu kural için seçilene göre) ve değerlendirme durdurulur. Eşleşme bulunmazsa, sonraki kural değerlendirilir. Hiçbir kural için eşleşme yoksa, varsayılan kural uygulanır.
Mevcut bir kuralı düzenlemek için kuralı seçin ve Düzenle'yi seçin. Bu, kuralda değişiklik yapabileceğiniz yan paneli açar.
Kuralın kopyasını oluşturmak için Kuralı çoğalt'ı seçebilirsiniz. Bu, yalnızca küçük değişikliklerle benzer bir kural oluşturmak istiyorsanız yararlı olabilir.
Kuralı silmek için Kuralı sil'i seçin.
Kurallarınızı yapılandırdıktan sonra, değişiklikleri uygulamak ve ilkeyi oluşturmak için Kaydet'i seçin.
30 dakika içinde korunan kümelerdeki algılayıcılar yeni ilkeyle güncelleştirilir.
Uyarıları izleme ve yönetme
Uyarı sistemi, kapsayıcı görüntülerinizin bütünlüğünü korumanıza yardımcı olan ikili kaymaları size bildirecek şekilde tasarlanmıştır. Tanımlı ilke koşullarınızla eşleşen yetkisiz bir dış işlem algılanırsa, gözden geçirmeniz için yüksek önem derecesine sahip bir uyarı oluşturulur.
İlkeleri gerektiği gibi ayarlama
Aldığınız uyarılara ve bunları gözden geçirmenize bağlı olarak, ikili kayma ilkesinde kurallarınızı ayarlamayı gerekli bulabilirsiniz. Bu, koşulları iyileştirmeyi, yeni kurallar eklemeyi veya çok fazla hatalı pozitif oluşturanları kaldırmayı içerebilir. Amaç, kurallarıyla tanımlanan ikili kayma ilkelerinin güvenlik gereksinimlerini operasyonel verimlilikle etkili bir şekilde dengelemesini sağlamaktır.
İkili kayma algılamanın etkinliği, ilkeleri ortamınızın benzersiz gereksinimlerine uyacak şekilde yapılandırma, izleme ve ayarlama konusunda etkin katılımınıza bağlıdır.