Erkennung und Blockierung binärer Drift

Eine binäre Abweichung findet statt, wenn ein Container eine ausführbare Datei ausführt, die nicht aus dem ursprünglichen Image stammt. Diese Abweichung kann absichtlich und legitim sein oder auf einen Angriff hinweisen. Da Containerimages unveränderlich sein sollten, sollten Sie alle Prozesse auswerten, die mit Binärdateien beginnen, die nicht im ursprünglichen Image enthalten sind, als verdächtige Aktivitäten enthalten und blockieren, um potenzielle Sicherheitsbedrohungen zu verhindern.

Das Feature „Erkennen binärer Abweichungen“ gibt eine Warnung aus, wenn die aus dem Image stammende Workload und die im Container ausgeführte Workload nicht miteinander übereinstimmen. Es benachrichtigt Sie über potenzielle Sicherheitsbedrohungen, indem nicht autorisierte externe Prozesse innerhalb von Containern erkannt werden. Sie können Driftrichtlinien definieren, um Bedingungen anzugeben, unter denen Warnungen generiert werden sollen, wodurch Sie zwischen legitimen Aktivitäten und potenziellen Bedrohungen unterscheiden können.

Die Blockierung binärer Drift blockiert die Ausführung nicht autorisierter externer Prozesse innerhalb von Containern. Wenn diese Funktion aktiviert ist, erzwingt dieses Feature die von Ihnen definierten Richtlinien, um sicherzustellen, dass nur genehmigte Prozesse ausgeführt werden können. Dieser proaktive Ansatz trägt dazu bei, die Integrität Ihrer containerisierten Anwendungen aufrechtzuerhalten und das Risiko von Sicherheitsverletzungen zu verringern.

Sehen Sie sich die Verfügbarkeit von binärem Drift und Blockierung an.

Voraussetzungen

• Führen Sie den Defender for Containers-Sensor aus.
• Nur Binärabweichungsblockierung (Vorschau):
  • AKS: Helmbereitstellung mit Sensorversion 0.10.1.
  • Multicloud: Helm-Bereitstellung mit Sensorversion 0.10.1 oder der ARC-Erweiterung mit release train=preview.
• Aktivieren Sie den Defender for Container-Sensor für die Abonnements und Konnektoren.
• Die folgenden Rollen und Berechtigungen:
  • Erstellen und Ändern der Abweichungsrichtlinien: Sicherheitsadministrator oder höhere Berechtigungen für den Mandanten.
  • Anzeigen von Abweichungsrichtlinien: Sicherheitsleseberechtigter oder höhere Berechtigungen für den Mandanten.

Konfigurieren von Drift- und Blockrichtlinien

Erstellen Sie Drift- und Blockrichtlinien, um zu definieren, wann Warnungen generiert werden sollen. Jede Richtlinie besteht aus Regeln, die die Bedingungen zum Generieren von Warnungen definieren. Mit dieser Struktur können Sie das Feature an Ihre spezifischen Anforderungen anpassen und falsch positive Ergebnisse reduzieren. Sie können Ausschlüsse erstellen, indem Sie Regeln mit höherer Priorität für bestimmte Bereiche oder Cluster, Images, Pods, Kubernetes-Bezeichnungen oder Namespaces festlegen.

1. Melden Sie sich beim Azure-Portal an.

2. Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.

3. Wählen Sie Container-Driftrichtlinie aus.

   

4. Wählen Sie die zutreffende Regel aus:

   • Alarm im Kube-System-Namespace – kann wie jede andere Regel geändert werden.

   • Standardmäßige binäre Abweichung – gilt für alles, wenn keine anderen Regeln übereinstimmen. Sie können die Aktionen nur auf Drifterkennungswarnung, Drifterkennungsblockierung oder Die Drifterkennung ignorieren (Standardeinstellung) ändern.

     

Hinzufügen einer neuen Regel

Binäre Driftregeln definieren, welches Verhalten als verdächtig betrachtet wird, was sie benachrichtigen und was blockiert werden soll. Fügen Sie eine neue Regel hinzu, um eine bessere Kontrolle, verschiedene Erzwingungsstufen oder ein genaueres Sicherheitsverhalten für bestimmte Workloads zu erzwingen. Sie können auch Blockierungsregeln festlegen, um zu verhindern, dass nicht autorisierte Prozesse in Ihren Containern ausgeführt werden.

1. Melden Sie sich beim Azure-Portal an.

2. Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.

3. Wählen Sie Container-Drift-Richtlinie aus.

4. Wählen Sie "Regel hinzufügen" aus.

   

5. Definieren Sie die folgenden Felder:

   • Regelname: ein aussagekräftiger Name für die Regel

   • Aktion:

     • Abweichungserkennungswarnung , wenn die Regel eine Warnung generieren soll.
     • Blockierung der Drifterkennung, wenn die Regel den abgedrifteten Prozess blockieren soll.
     • Ignorieren Sie die Drifterkennung , um sie von der Warnungsgenerierung auszuschließen.

   • Bereichsbeschreibung: eine Beschreibung des Bereichs, auf den die Regel angewandt wird.

   • Cloudbereich: der Cloudanbieter, für den die Regel gilt. Sie können eine beliebige Kombination aus Azure, Amazon Web Services (AWS) oder Google Cloud Platform (GCP) auswählen. Wenn Sie einen Cloudanbieter erweitern, können Sie ein bestimmtes Abonnement auswählen. Wenn Sie nicht den gesamten Cloudanbieter auswählen, sind neue Abonnements, die dem Cloudanbieter hinzugefügt wurden, nicht in der Regel enthalten.

   • Ressourcenbereich: Fügen Sie Bedingungen basierend auf den folgenden Kategorien hinzu: Containername, Imagename, Namespace, Pod-Bezeichnungen, Pod-Name oder Clustername. Wählen Sie dann einen Operator aus: Beginnt mit, Endet mit, entspricht oder Enthält. Geben Sie schließlich den passenden Wert ein. Sie können beliebig viele Bedingungen hinzufügen, indem Sie +Bedingung hinzufügen auswählen.

   • Zulassungsliste für Prozesse: eine Liste der Prozesse, die im Container ausgeführt werden dürfen. Jeder Prozess, der nicht in dieser Liste erkannt wurde, generiert eine Warnung.

     Beispielregel, mit der der dev1.exe Prozess in Containern im Azure-Cloudbereich ausgeführt werden kann, deren Imagenamen entweder mit Test123 oder env123 beginnen:

     

6. Wählen Sie Apply aus.

7. Weisen Sie der Regel Priorität zu, indem Sie die Regel in der Liste nach oben oder unten verschieben. Die Regel mit der höchsten Priorität wird zuerst ausgewertet. Wenn eine Übereinstimmung vorliegt, wird die Auswertung beendet. Wenn keine Übereinstimmung vorliegt, wird die nächste Regel ausgewertet. Wenn keine Übereinstimmung für irgendeine Regel vorhanden ist, wird die Standardregel angewandt.

8. Wählen Sie Speichern aus.

Innerhalb von 30 Minuten aktualisieren die Sensoren auf den geschützten Clustern mithilfe der neuen Richtlinie.

Verwalten einer Regel

Binäre Driftrichtlinien sind flexibel und anpassbar, sodass Sie sie nach Bedarf verwalten und anpassen können. Sie können Regeln bearbeiten, um ihre Bedingungen oder Aktionen zu verfeinern, doppelte Regeln zu erstellen, um ähnliche Regeln mit geringfügigen Änderungen zu erstellen oder Regeln zu löschen, die nicht mehr erforderlich sind. Durch regelmäßige Überprüfung und Verwaltung Ihrer Regeln wird sichergestellt, dass Ihre Richtlinien für die Binäre Drifterkennung und -blockierung wirksam bleiben und ihren Sicherheitsanforderungen entsprechen.

Weitere Informationen

Defender for Cloud-Benachrichtigungen benachrichtigen Sie über binäre Abweichungen, sodass Sie die Integrität Ihrer Containerimages beibehalten können. Wenn das System einen nicht autorisierten externen Prozess erkennt, der Ihren definierten Richtlinienbedingungen entspricht, generiert es eine Warnung mit hohem Schweregrad, die Sie überprüfen möchten. Wenn Sie Blockierungsregeln konfigurieren, blockiert das System die Ausführung dieser nicht autorisierten Prozesse.

Basierend auf den generierten Warnmeldungen und Ihrer Überprüfung müssen Sie möglicherweise Ihre Regeln in der Binärdrift- oder Blockierrichtlinie anpassen. Diese Anpassung kann das Verfeinern von Bedingungen, das Hinzufügen neuer Regeln oder das Entfernen von Bedingungen umfassen, die zu viele falsch positive Ergebnisse generieren. Ziel ist es, sicherzustellen, dass die definierten binären Drift- und Blockierungsrichtlinien mit ihren Regeln effektiv die Sicherheitsanforderungen mit betrieblicher Effizienz ausgleichen.

Die Effektivität der Erkennung und Blockierung von binären Drifts basiert auf Ihrem aktiven Engagement bei der Konfiguration, Überwachung und Anpassung von Richtlinien an die einzigartigen Anforderungen Ihrer Umgebung.

Zugehöriger Inhalt

• Übersicht: Containersicherheit in Microsoft Defender for Containers