你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

二进制偏移检测（预览版）

项目
08/08/2024

当容器运行不是来自原始映像的可执行文件时，就会发生二进制偏移。这可以是有意和合法的，也可以表示存在攻击。由于容器镜像应该是不可变的，因此从原始镜像中未包含的二进制文件启动的任何进程都应被评估为可疑活动。

当来自映像的工作负载与容器中运行的工作负载之间存在差异时，二进制偏移检测功能会发出警报。它通过检测容器内未经授权的外部进程来提醒你存在潜在的安全威胁。可以定义偏移策略来指定生成警报的条件，从而帮助你区分合法活动和潜在威胁。

二进制偏移检测已集成到 Defender for Containers 计划中，可在公共预览版中使用。它适用于 Azure (AKS)、Amazon (EKS) 和 Google (GKE) 云。

先决条件

若要使用二进制偏移检测，需要运行 Defender for Container 传感器，该传感器已在 AWS、GCP 和 AKS 1.29 或更高版本中推出。
必须在订阅和连接器上启用 Defender for Container 传感器。
若要创建和修改偏移策略，需要对租户拥有全局管理员权限。

组件

以下组件是二进制偏移检测的一部分：

能够检测二进制偏移的增强版传感器
策略配置选项
新的二进制偏移警报

配置偏移策略

创建偏移策略以定义应生成警报的时机。每个策略都由定义应根据哪些条件生成警报的规则组成。这使你可以根据特定需求定制该功能，减少误报。可以通过为特定范围或群集、映像、Pod、Kubernetes 标签或命名空间设置更高的优先级规则来创建排除项。

若要创建和配置策略，请执行以下步骤：

在 Microsoft Defender for Cloud 中前往“环境设置”。选择“容器偏移策略”。
你将收到两个开箱即用的规则：Kube-System 命名空间的警报规则和默认二进制偏移规则。默认规则是一个特殊规则，如果匹配之前没有其他规则，则适用于所有规则。只能修改其操作，要么修改为偏移检测警报，要么将其还原为默认的忽略偏移检测。 Kube-System 命名空间警报规则是一个开箱即用的建议，可以像任何其他规则一样进行修改。
若要新增规则，请选择“添加规则”。此时会显示一个侧面板，可在其中配置规则。
若要配置规则，请定义以下字段：
- 规则名称：规则的说明性名称。
- 操作：如果规则应生成警报，请选择“偏移检测警报”，或者选择“忽略偏移检测”以将其排除在警报生成之外。
- 范围说明：规则适用范围的描述。
- 云范围：适用该规则的云提供商。可以选择 Azure、AWS 或 GCP 的任意组合。如果扩展云提供商，可以选择特定的订阅。如果未选择整个云提供商，则添加到该云提供商的新订阅将不会包含在规则中。
- 资源范围：可以在此处根据以下类别添加条件：容器名称、映像名称、命名空间、Pod 标签、Pod 名称或群集名称。然后选择运算符：开头为、结尾为、等于或包含。最后，输入要匹配的值。你可以通过选择“+添加条件”来添加所需数量的条件。
- 进程允许列表：允许在容器中运行的进程列表。如果未检测到此列表上的进程，则会生成警报。
下面是一个规则示例，该规则允许 dev1.exe 进程在 Azure 云范围内的容器中运行，其映像名称的开头为 Test123 或 env123：
选择“应用”以保存规则。
配置规则后，选择规则并在列表中上下拖动以更改其优先级。首先评估优先级最高的规则。如果存在匹配项，系统会生成警报或予以忽略（根据为该规则选择的内容），然后评估将停止。如果未找到匹配项，则会评估下一个规则。如果任何规则均不匹配，则应用默认规则。
若要编辑现有规则，请选择该规则，然后选择“编辑”。这将打开侧面板，你可以在其中更改规则。
你可以选择“复制规则”来创建规则的副本。若想创建仅需进行微小改动的类似规则，这将非常有用。
若要删除规则，请选择“删除规则”。
配置规则后，选择“保存”以应用更改并创建策略。
在 30 分钟内，系统会使用新策略更新受保护的群集上的传感器。