Aracılığıyla paylaş

İkili kayma algılama ve engelleme

Bir konteyner, orijinal imajdan gelmeyen bir yürütülebilir dosya çalıştırdığında, ikili sapma gerçekleşir. Bu kayma kasıtlı ve meşru olabileceği gibi bir saldırı olduğunu da gösterebilir. Kapsayıcı görüntülerinin değişmez olması gerektiğinden, özgün görüntüde yer almayan ikili dosyalardan başlayan işlemleri şüpheli etkinlik olarak değerlendirmeli ve bunları olası güvenlik tehditlerini önlemek için engellemelisiniz.

İkili kayma algılama özelliği, görüntüden gelen iş yükü ile kapsayıcıda çalışan iş yükü arasında bir fark olduğunda sizi uyarır. Kapsayıcılar içindeki yetkisiz dış işlemleri algılayarak olası güvenlik tehditleri hakkında sizi uyarır. Hangi koşullar altında uyarıların oluşturulması gerektiğini belirtmek için kayma ilkeleri tanımlayabilir ve yasal etkinliklerle olası tehditler arasında ayrım yapmaya yardımcı olabilirsiniz.

İkili sürüklenme engelleme, kapsayıcılar içinde yetkisiz dış işlemlerin yürütülmesini engeller. Etkinleştirildiğinde, bu özellik tanımladığınız ilkeleri zorlayarak yalnızca onaylanan işlemlerin çalıştırılabilmesini sağlar. Bu proaktif yaklaşım kapsayıcılı uygulamalarınızın bütünlüğünü korumaya yardımcı olur ve güvenlik ihlali riskini azaltır.

İkili kayma ve engellemenin kullanılabilirliğini kontrol edin.

Uyarı

İkili kayma engelleme şu anda önizlemede

Önkoşullar

  • Kapsayıcı için Defender algılayıcısını çalıştırın.
  • Yalnızca ikili kayma engelleme (Önizleme):
    • AKS: Sensör sürümü 0.10.1 ile Helm ile kurulum.
    • Çoklu bulut: Algılayıcı sürümü 0.10.1 veya ARC uzantısını kullanarak Helm provisioning ile release train=preview.
  • Aboneliklerde ve bağlayıcılarda Kapsayıcı için Defender algılayıcısını etkinleştirin.
  • Aşağıdaki roller ve izinler:
    • Sürüklenme ilkelerini oluşturmak ve değiştirmek için: Kiracı yönetim biriminde Güvenlik Yöneticisi veya daha yüksek izinler.
    • Sürüklenme politikalarını görüntülemek için: Kiracı üzerinde Güvenlik Okuyucusu veya daha yüksek izinler.

Kayma ve engelleme ilkelerini yapılandırın

Uyarıların ne zaman oluşturulacağını tanımlamak için kayma ve engelleme ilkeleri oluşturun. Her ilke, uyarı oluşturma koşullarını tanımlayan kurallardan oluşur. Bu yapı özelliği özel ihtiyaçlarınıza göre uyarlamanıza ve hatalı pozitif sonuçları azaltmanıza olanak tanır. Belirli kapsamlar veya kümeler, görüntüler, podlar, Kubernetes etiketleri veya ad alanları için daha yüksek öncelikli kurallar ayarlayarak dışlamalar oluşturabilirsiniz.

  1. Azure portalınaoturum açın.

  2. Bulut için Microsoft Defender>Ortam ayarlarıgidin.

  3. Kapsayıcılar kayma ilkesi'ni seçin.

    Ortam ayarlarında Kapsayıcıları Seç kayma ilkesinin ekran görüntüsü.

  4. Geçerli kuralı seçin:

    • Kube-System ad alanında uyarı - diğer herhangi bir kural gibi değiştirilebilir.

    • Varsayılan ikili kayma - başka kural eşleşmezse her şeye uygulanır. Eylemleri yalnızca Kayma algılama uyarısı, Kayma algılama engelleme veya Kayma algılamayı yoksay (varsayılan) olarak değiştirebilirsiniz.

      Kural listesinin en altında Varsayılan kuralın ekran görüntüsü görüntülenir.

Yeni kural ekleme

İkili kayma kuralları hangi davranışın şüpheli olarak kabul edileceğini, neyin uyarılılacağını ve nelerin engellenmek üzere olduğunu tanımlar. Belirli iş yükleri için daha iyi denetim, farklı zorlama düzeyleri veya daha ayrıntılı güvenlik davranışı uygulamak için yeni bir kural ekleyin. Ayrıca, kapsayıcılarınızda yetkisiz işlemlerin çalışmasını önlemek için engelleme kuralları ayarlayabilirsiniz.

  1. Azure portalınaoturum açın.

  2. Bulut için Microsoft Defender>Ortam ayarlarıgidin.

  3. Kapsayıcılar kayma ilkesi'ni seçin.

  4. Kural ekle'yi seçin.

    Yeni kural oluşturmak ve yapılandırmak için Kural ekle seçeneğinin ekran görüntüsü.

  5. Aşağıdaki alanları tanımlayın:

    • Kural adı: Kural için açıklayıcı bir ad.

    • Eylem:

      • Kuralın bir uyarı oluşturması gerekiyorsa kayma algılama uyarısı.
      • Kayma algılama engelleme kuralın sürüklenen işlemi engellemesi gerekiyorsa.
      • Uyarı oluşturmanın dışında tutmak için kayma algılamayı yoksayın.

    • Kapsam açıklaması: Kuralın uygulandığı kapsamın açıklaması.

    • Bulut kapsamı: Kuralın geçerli olduğu bulut sağlayıcısı. Azure, Amazon Web Services (AWS) veya Google Cloud Platform 'un (GCP) herhangi bir bileşimini seçebilirsiniz. Bir bulut sağlayıcısını genişletirseniz belirli bir aboneliği seçebilirsiniz. Bulut sağlayıcısının tamamını seçmezseniz, bulut sağlayıcısına eklenen yeni abonelikler kurala dahil değildir.

    • Kaynak kapsamı: Aşağıdaki kategorilere göre koşullar ekleyin: Kapsayıcı adı, Görüntü adı, Ad Alanı, Pod etiketleri, Pod adı veya Küme adı. Ardından bir işleç seçin: Şununla başlar, şununla biter, Eşittir veya İçerir. Son olarak, eşleşecek değeri girin. +Koşul ekle'yi seçerek gerektiği kadar koşul ekleyebilirsiniz.

    • İşlemler için izin verilenler listesi: Kapsayıcıda çalışmasına izin verilen işlemlerin listesi. Bu listede olmayan herhangi bir işlem tespit edilirse bir uyarı oluşturur.

      Azure bulut kapsamındaki, görüntü adları Test123 veya env123 ile başlayan kapsayıcılarda dev1.exe işleminin çalışmasına izin veren örnek kural:

      Tüm alanların tanımlandığı bir kural yapılandırması örneği.

  6. seçin, sonra daUygula'yı seçin.

  7. Kuralı listede yukarı veya aşağı taşıyarak kurala öncelik atayın. En yüksek önceliğe sahip kural önce değerlendirilir. Eşleşme varsa değerlendirme durdurulur. Eşleşme bulunmazsa, sonraki kural değerlendirilir. Hiçbir kural için eşleşme yoksa, varsayılan kural uygulanır.

  8. Kaydetseçeneğini seçin.

Korunan kümelerdeki algılayıcılar 30 dakika içinde yeni ilkeyi kullanarak güncelleştirilir.

Kuralı yönetme

İkili sapma politikaları esnek ve özelleştirilebilirdir ve bunları gerektiği gibi yönetmenize ve ayarlamanıza olanak sağlar. Koşulları veya eylemleri daraltmak için kuralları düzenleyebilir, küçük değişikliklerle benzer kurallar oluşturmak için kuralları çoğaltabilir veya artık gerekli olmayan kuralları silebilirsiniz. Kurallarınızı düzenli olarak gözden geçirmek ve yönetmek, ikili kayması algılama ve engelleme ilkelerinizin etkin ve güvenlik gereksinimlerinizle uyumlu kalmasını sağlar.

Kurallar, koşullarını veya eylemlerini iyileştirmek için düzenlenebilir. Bu esneklik, ilkelerinizi aldığınız uyarılara ve bunları gözden geçirmenize göre ayarlamanıza olanak tanır ve güvenlik gereksinimlerini operasyonel verimlilikle etkili bir şekilde dengelemelerini sağlar.

  1. Azure portalınaoturum açın.

  2. Bulut için Microsoft Defender>Ortam ayarlarıgidin.

  3. Kapsayıcılar kayma ilkesi'ni seçin.

  4. Bir kural seçin.

  5. Düzenle'yi seçin.

  6. Kaydetseçeneğini seçin.

Korunan kümelerdeki algılayıcılar 30 dakika içinde yeni ilkeyi kullanarak güncelleştirilir.

Ek bilgiler

Bulut için Defender uyarıları, kapsayıcı görüntülerinizin bütünlüğünü koruyabilmeniz için ikili kaymaları size bildirir. Sistem, tanımlı ilke koşullarınızla eşleşen yetkisiz bir dış işlem algılarsa gözden geçirmeniz için yüksek önem derecesine sahip bir uyarı oluşturur. Engelleme kurallarını yapılandırdığınızda, sistem bu yetkisiz işlemlerin yürütülmesini engeller.

Oluşturulan uyarılara ve bunları gözden geçirmenize bağlı olarak, ikili kayma veya engelleme ilkesindeki kurallarınızı ayarlamanız gerekebilir. Bu ayarlama koşulları iyileştirmeyi, yeni kurallar eklemeyi veya çok fazla hatalı pozitif sonuç üretenleri kaldırmayı içerebilir. Amaç, tanımlanan ikili kayma ve engelleme ilkelerinin kurallarıyla güvenlik gereksinimlerini operasyonel verimlilikle etkili bir şekilde dengelemesini sağlamaktır.

İkili kayma algılama ve engellemenin etkinliği, ilkeleri ortamınızın benzersiz gereksinimlerine uyacak şekilde yapılandırma, izleme ve ayarlama konusunda etkin katılımınıza bağlıdır.

İlgili içerik

  • Last updated on