الكشف عن الانجراف الثنائي
يحدث الانحراف الثنائي عند تشغيل حاوية قابلة للتنفيذ لم تأتي من الصورة الأصلية. يمكن أن يكون هذا إما مقصودا ومشروعا، أو يمكن أن يشير إلى هجوم. نظرا لأن صور الحاوية يجب أن تكون غير قابلة للتغيير، يجب تقييم أي عمليات يتم تشغيلها من ثنائيات غير مضمنة في الصورة الأصلية على أنها نشاط مشبوه.
ميزة الكشف عن الانجراف الثنائي تنبهك عندما يكون هناك فرق بين حمل العمل الذي جاء من الصورة، وعبء العمل قيد التشغيل في الحاوية. فهو ينبهك إلى التهديدات الأمنية المحتملة عن طريق الكشف عن العمليات الخارجية غير المصرح بها داخل الحاويات. يمكنك تحديد نهج الانجراف لتحديد الشروط التي يجب إنشاء التنبيهات بموجبها، مما يساعدك على التمييز بين الأنشطة المشروعة والتهديدات المحتملة.
يتم دمج الكشف عن الانجراف الثنائي في خطة Defender for Containers وهو متاح للسحب Azure (AKS) وAmazon (EKS) وGoogle (GKE).
المتطلبات الأساسية
- لاستخدام الكشف عن الانجراف الثنائي، تحتاج إلى تشغيل أداة استشعار Defender for Container، المتوفرة لسحب AWS وGCP وAKS.
- يجب تمكين مستشعر Defender for Container على الاشتراكات والموصلات.
- لإنشاء وتعديل نهج الانحراف، تحتاج إلى مسؤول الأمان أو أذونات أعلى على المستأجر. لعرض نهج الانحراف، تحتاج إلى قارئ الأمان أو أذونات أعلى على المستأجر.
المكونات
المكونات التالية هي جزء من الكشف عن الانجراف الثنائي:
- مستشعر محسن قادر على اكتشاف الانجراف الثنائي
- خيارات تكوين النهج
- تنبيه انحراف ثنائي جديد
تكوين نهج الانحراف
إنشاء نهج انحراف لتحديد متى يجب إنشاء التنبيهات. يتكون كل نهج من قواعد تحدد الشروط التي يجب إنشاء التنبيهات بموجبها. يسمح لك هذا بتخصيص الميزة وفقا لاحتياجاتك المحددة، ما يقلل من النتائج الإيجابية الخاطئة. يمكنك إنشاء استثناءات عن طريق تعيين قواعد ذات أولوية أعلى لنطاقات أو مجموعات معينة أو صور أو pods أو تسميات Kubernetes أو مساحات الأسماء.
لإنشاء النهج وتكوينها، اتبع الخطوات التالية:
في Microsoft Defender for Cloud، انتقل إلى إعدادات البيئة. حدد نهج انحراف الحاويات.
تتلقى قاعدتين خارج المربع: قاعدة Alert on Kube-System namespace وقاعدة الانحراف الثنائي الافتراضي. القاعدة الافتراضية هي قاعدة خاصة تنطبق على كل شيء إذا لم تكن هناك قاعدة أخرى قبل مطابقتها. يمكنك فقط تعديل الإجراء الخاص به، إما إلى تنبيه الكشف عن الانجراف أو إرجاعه إلى تجاهل الكشف عن الانجراف الافتراضي. قاعدة مساحة الاسم Alert on Kube-System عبارة عن اقتراح غير متوفر ويمكن تعديله مثل أي قاعدة أخرى.
لإضافة قاعدة جديدة، حدد إضافة قاعدة. تظهر لوحة جانبية حيث يمكنك تكوين القاعدة.
لتكوين القاعدة، حدد الحقول التالية:
- اسم القاعدة: اسم وصفي للقاعدة.
- الإجراء: حدد تنبيه الكشف عن الانجراف إذا كان يجب أن تنشئ القاعدة تنبيها أو تجاهل الكشف عن الانحراف لاستبعاده من إنشاء التنبيه.
- وصف النطاق: وصف للنطاق الذي تنطبق عليه القاعدة.
- نطاق السحابة: موفر السحابة الذي تنطبق عليه القاعدة. يمكنك اختيار أي مجموعة من Azure أو AWS أو GCP. إذا قمت بتوسيع موفر سحابة، يمكنك تحديد اشتراك معين. إذا لم تحدد موفر السحابة بأكمله، فلن يتم تضمين الاشتراكات الجديدة المضافة إلى موفر السحابة في القاعدة.
- نطاق المورد: يمكنك هنا إضافة شروط استنادا إلى الفئات التالية: اسم الحاوية أو اسم الصورة أو مساحة الاسم أو تسميات Pod أو اسم الحاوية أو اسم نظام المجموعة. ثم اختر عامل تشغيل: يبدأ ب أو ينتهي ب أو يساوي أو يحتوي. وأخيرا، أدخل القيمة المراد مطابقتها. يمكنك إضافة العديد من الشروط حسب الحاجة عن طريق تحديد +إضافة شرط.
- السماح بقائمة العمليات: قائمة بالعملية المسموح بتشغيلها في الحاوية. إذا تم الكشف عن عملية غير موجودة في هذه القائمة، يتم إنشاء تنبيه.
فيما يلي مثال على قاعدة تسمح
dev1.exe
للعملية بالعملية في حاويات في نطاق سحابة Azure، والتي تبدأ أسماء صورها إما ب Test123 أو env123:حدد تطبيق لحفظ القاعدة.
بمجرد تكوين القاعدة، حدد القاعدة واسحبها لأعلى أو لأسفل في القائمة لتغيير أولويتها. يتم تقييم القاعدة ذات الأولوية القصوى أولا. إذا كان هناك تطابق، فإنه إما ينشئ تنبيها أو يتجاهله (استنادا إلى ما تم اختياره لتلك القاعدة) ويتوقف التقييم. إذا لم يتم العثور على تطابق، يتم تقييم القاعدة التالية. إذا لم يكن هناك تطابق لأي قاعدة، يتم تطبيق القاعدة الافتراضية.
لتحرير قاعدة موجودة، اختر القاعدة وحدد تحرير. يؤدي ذلك إلى فتح اللوحة الجانبية حيث يمكنك إجراء تغييرات على القاعدة.
يمكنك تحديد قاعدة مكررة لإنشاء نسخة من قاعدة. يمكن أن يكون هذا مفيدا إذا كنت تريد إنشاء قاعدة مماثلة مع تغييرات طفيفة فقط.
لحذف قاعدة، حدد حذف قاعدة.
بعد تكوين القواعد، حدد حفظ لتطبيق التغييرات وإنشاء النهج.
في غضون 30 دقيقة، يتم تحديث أجهزة الاستشعار على المجموعات المحمية بالنهج الجديد.
مراقبة التنبيهات وإدارتها
تم تصميم نظام التنبيه لإعلامك بأي انجرافات ثنائية، مما يساعدك على الحفاظ على سلامة صور الحاوية الخاصة بك. إذا تم الكشف عن عملية خارجية غير مصرح بها تطابق شروط النهج المحددة، يتم إنشاء تنبيه ذو خطورة عالية لمراجعته.
ضبط النهج حسب الحاجة
استنادا إلى التنبيهات التي تتلقاها ومراجعتك لها، قد تجد أنه من الضروري ضبط القواعد الخاصة بك في نهج الانحراف الثنائي. قد يتضمن ذلك تحسين الشروط أو إضافة قواعد جديدة أو إزالة القواعد التي تولد عددا كبيرا جدا من الإيجابيات الخاطئة. والهدف هو التأكد من أن سياسات الانجراف الثنائي المحددة مع قواعدها توازن بشكل فعال بين الاحتياجات الأمنية والكفاءة التشغيلية.
تعتمد فعالية الكشف عن الانحراف الثنائي على مشاركتك النشطة في تكوين النهج ومراقبتها وتعديلها لتناسب المتطلبات الفريدة للبيئة الخاصة بك.