Identifiering och blockering av binär drift

Binär drift inträffar när en container kör en körbar fil som inte kom från den ursprungliga bilden. Den här avvikelsen kan vara avsiktlig och legitim, eller så kan det tyda på en attack. Containeravbildningar bör vara oföränderliga, så behandla processer som börjar från binärfiler utanför den ursprungliga avbildningen som misstänkt aktivitet.

Identifiering av binär avdrift varnar dig när den containerarbetsbelastning som körs skiljer sig från avbildningsarbetsbelastningen. Den identifierar obehöriga externa processer i containrar och aviseringar om potentiella hot. Du kan definiera driftprinciper för att kontrollera aviseringsvillkor och skilja legitim aktivitet från misstänkt beteende.

Blockering av binär drift förhindrar att obehöriga externa processer körs i containrar. När den är aktiverad framtvingar den dina principer så att endast godkända processer körs. Den här metoden hjälper till att upprätthålla programintegriteten och minskar säkerhetsrisken.

Granska binär drift och blockera tillgänglighet.

Anmärkning

Blockering av binär drift är för närvarande i förhandsversion.

Förutsättningar

  • Kör Defender för containersensorn.
  • Blockering av binär drift (förhandsversion) endast:
    • AKS: Helm-etablering med sensorversion 0.10.2.
    • Multicloud: Helm-installation med sensorversion 0.10.2 eller ARC-tillägget med release train=preview.
  • Aktivera Defender for Container-sensorn för prenumerationer och kopplingar.
  • Följande roller och behörigheter:
    • För att skapa och ändra hanteringsprinciper: Säkerhetsadministratör eller högre behörigheter på hyresgästen.
    • Så här visar du driftpolicyer: Säkerhetsläsare eller högre behörigheter på klienten.

Konfigurera principer för drift och blockering

Skapa drift- och blockeringsprinciper för att definiera när aviseringar ska genereras. Varje princip består av regler som definierar villkoren för att generera aviseringar. Med den här strukturen kan du skräddarsy funktionen efter dina specifika behov och minska falska positiva identifieringar. Du kan skapa undantag genom att ange regler med högre prioritet för specifika omfång eller kluster, bilder, poddar, Kubernetes-etiketter eller namnområden.

  1. Logga in på Azure-portalen.

  2. Gå till Inställningar för Microsoft Defender för molnmiljö>.

  3. Välj Driftpolicy för containrar.

    Skärmbild av select containers drift policy in Environment settings (Välj containrars avdriftsprincip) i Miljöinställningar.

  4. Välj tillämplig regel:

    • Avisering på Kube-System namnområde – kan ändras som vilken annan regel som helst.

    • Standard binär drift – gäller för allt om ingen annan regel matchar. Du kan bara ändra åtgärderna till antingen Avisering om driftidentifiering, Blockering av driftidentifiering eller Ignorera avdriftidentifiering (standard).

      Skärmbild av standardregeln visas längst ned i listan med regler.

Lägga till en ny regel

Regler för binär avdrift definierar vilket beteende som anses misstänkt, vad som ska aviseras och vad som ska blockeras. Lägg till en ny regel för att framtvinga bättre kontroll, olika tvingande nivåer eller mer detaljerat säkerhetsbeteende för specifika arbetsbelastningar. Du kan också ange blockeringsregler för att förhindra att obehöriga processer körs i dina containrar.

  1. Logga in på Azure-portalen.

  2. Gå till Inställningar för Microsoft Defender för molnmiljö>.

  3. Välj Driftpolicy för containrar.

  4. Välj Lägg till regel.

    Skärmbild av Välj Lägg till regel för att skapa och konfigurera en ny regel.

  5. Definiera följande fält:

    • Regelnamn: Ett beskrivande namn för regeln.

    • åtgärd:

      • Avisering om driftidentifiering om regeln ska generera en avisering.
      • Driftidentifieringsblockering om regeln ska blockera driftprocessen.
      • Ignorera driftavkänning för att utesluta det från att generera aviseringar.

    • Omfångsbeskrivning: En beskrivning av det omfång som regeln gäller för.

    • Molnomfång: Molnleverantören som regeln gäller för. Du kan välja valfri kombination av Azure, Amazon Web Services (AWS) eller Google Cloud Platform (GCP). Om du expanderar en molnleverantör kan du välja en specifik prenumeration. Om du inte väljer hela molnleverantören ingår inte nya prenumerationer som läggs till i molnleverantören i regeln.

    • Resursomfång: Lägg till villkor baserat på följande kategorier: Containernamn, Avbildningsnamn, Namnområde, Pod-etiketter, Poddnamn eller Klusternamn. Välj sedan en operator: Börjar med, Slutar med, Lika med eller Innehåller. Ange slutligen det värde som ska matchas. Du kan lägga till så många villkor som behövs genom att välja +Lägg till villkor.

    • Tillåt lista över processer: En lista över processer som tillåts köras i containern. Alla processer som inte har identifierats i den här listan genererar en avisering.

      Exempelregel som gör att dev1.exe-processen kan köras i containrar i Azure-molnomfånget, vars avbildningsnamn börjar med antingen Test123 eller env123:

      Exempel på en regelkonfiguration med alla definierade fält.

  6. Välj Tillämpa.

  7. Tilldela prioritet till regeln genom att flytta regeln uppåt eller nedåt i listan. Regeln med högsta prioritet utvärderas först. Om det finns en matchning stoppas utvärderingen. Om ingen matchning hittas utvärderas nästa regel. Om det inte finns någon matchning för någon regel tillämpas standardregeln.

  8. Välj Spara.

Inom 30 minuter uppdateras sensorerna i de skyddade klustren med hjälp av den nya principen.

Hantera en regel

Principer för binär drift är flexibla och anpassningsbara, så att du kan hantera och justera dem efter behov. Du kan redigera regler för att förfina deras villkor eller åtgärder, duplicera regler för att skapa liknande med mindre ändringar eller ta bort regler som inte längre behövs. Genom att regelbundet granska och hantera dina regler ser du till att dina principer för identifiering och blockering av binära avdrifter förblir effektiva och anpassade till dina säkerhetsbehov.

Regler kan redigeras för att förfina deras villkor eller åtgärder. Med den här flexibiliteten kan du justera dina principer baserat på de aviseringar du får och din granskning av dem, vilket säkerställer att de effektivt balanserar säkerhetsbehoven med driftseffektivitet.

  1. Logga in på Azure-portalen.

  2. Gå till Inställningar för Microsoft Defender för molnmiljö>.

  3. Välj Driftpolicy för containrar.

  4. Välj en regel.

  5. Välj Redigera.

  6. Välj Spara.

Inom 30 minuter uppdateras sensorerna i de skyddade klustren med hjälp av den nya principen.

Ytterligare information

Defender för molnet-aviseringar meddelar dig om binära drifter, så att du kan behålla integriteten för dina containeravbildningar. Om systemet identifierar en obehörig extern process som matchar dina definierade principvillkor genererar det en varning med hög allvarlighetsgrad som du kan granska. Om du konfigurerar blockeringsregler blockerar systemet körningen av dessa obehöriga processer.

Baserat på de aviseringar som genereras och din granskning av dem kan du behöva justera dina regler i principen för binär drift eller blockering. Den här justeringen kan innebära att förfina villkor, lägga till nya regler eller ta bort de som genererar för många falska positiva identifieringar. Målet är att säkerställa att de definierade binära avdrifts- och blockeringsprinciperna med sina regler effektivt balanserar säkerhetsbehoven med driftseffektivitet.

Effektiviteten för identifiering och blockering av binära avdrifter är beroende av ditt aktiva engagemang när det gäller att konfigurera, övervaka och justera principer som passar din miljös unika krav.

Relaterat innehåll

  • Last updated on