Bagikan melalui

Deteksi penyimpangan biner

  • Artikel

Penyimpangan biner terjadi ketika kontainer menjalankan executable yang tidak berasal dari gambar asli. Ini bisa disengaja dan sah, atau dapat menunjukkan serangan. Karena gambar kontainer harus tidak dapat diubah, proses apa pun yang diluncurkan dari biner yang tidak termasuk dalam gambar asli harus dievaluasi sebagai aktivitas yang mencurigakan.

Fitur deteksi penyimpangan biner memperingatkan Anda ketika ada perbedaan antara beban kerja yang berasal dari gambar, dan beban kerja yang berjalan di kontainer. Ini memberi tahu Anda tentang potensi ancaman keamanan dengan mendeteksi proses eksternal yang tidak sah dalam kontainer. Anda dapat menentukan kebijakan penyimpangan untuk menentukan kondisi di mana pemberitahuan harus dibuat, membantu Anda membedakan antara aktivitas yang sah dan potensi ancaman.

Deteksi penyimpangan biner diintegrasikan ke dalam paket Defender for Containers dan tersedia untuk cloud Azure (AKS), Amazon (EKS), dan Google (GKE).

Prasyarat

  • Untuk menggunakan deteksi penyimpangan biner, Anda perlu menjalankan sensor Defender for Container, yang tersedia untuk cloud AWS, GCP, dan AKS.
  • Sensor Defender for Container harus diaktifkan pada langganan dan konektor.
  • Untuk membuat dan mengubah kebijakan penyimpangan, Anda memerlukan Admin Keamanan atau izin yang lebih tinggi pada penyewa. Untuk melihat kebijakan penyimpangan, Anda memerlukan Pembaca Keamanan atau izin yang lebih tinggi pada penyewa.

Komponen

Komponen berikut adalah bagian dari deteksi penyimpangan biner:

  • sensor yang ditingkatkan yang mampu mendeteksi penyimpangan biner
  • opsi konfigurasi kebijakan
  • pemberitahuan penyimpangan biner baru

Mengonfigurasi kebijakan penyimpangan

Buat kebijakan penyimpangan untuk menentukan kapan pemberitahuan harus dibuat. Setiap kebijakan terdiri dari aturan yang menentukan kondisi di mana pemberitahuan harus dibuat. Ini memungkinkan Anda untuk menyesuaikan fitur dengan kebutuhan spesifik Anda, mengurangi positif palsu. Anda dapat membuat pengecualian dengan menetapkan aturan prioritas yang lebih tinggi untuk cakupan atau kluster, gambar, pod, label Kubernetes, atau namespace tertentu.

Untuk membuat dan mengonfigurasi kebijakan, ikuti langkah-langkah berikut:

  1. Di Microsoft Defender untuk Cloud, buka Pengaturan lingkungan. Pilih Kebijakan penyimpangan kontainer.

    Cuplikan layar Kebijakan penyimpangan Pilih Kontainer di Pengaturan lingkungan.

  2. Anda menerima dua aturan di luar kotak: Pemberitahuan pada aturan namespace layanan Kube-System dan aturan penyimpangan biner default. Aturan default adalah aturan khusus yang berlaku untuk semuanya jika tidak ada aturan lain sebelum dicocokkan. Anda hanya dapat mengubah tindakannya, baik ke Pemberitahuan deteksi penyimpangan atau mengembalikannya ke default Abaikan deteksi penyimpangan. Pemberitahuan tentang aturan namespace Layanan Sistem Kube adalah saran di luar kotak dan dapat dimodifikasi seperti aturan lainnya.

    Cuplikan layar Aturan default muncul di bagian bawah daftar aturan.

  3. Untuk menambahkan aturan baru, pilih Tambahkan aturan. Panel samping muncul di mana Anda dapat mengonfigurasi aturan.

    Cuplikan layar Pilih Tambahkan aturan untuk membuat dan mengonfigurasi aturan baru.

  4. Untuk mengonfigurasi aturan, tentukan bidang berikut:

    • Nama aturan: Nama deskriptif untuk aturan.
    • Tindakan: Pilih Pemberitahuan deteksi penyimpangan jika aturan harus menghasilkan pemberitahuan atau Mengabaikan deteksi penyimpangan untuk mengecualikannya dari pembuatan pemberitahuan.
    • Deskripsi cakupan: Deskripsi cakupan yang diterapkan aturan.
    • Cakupan cloud: Penyedia cloud tempat aturan berlaku. Anda dapat memilih kombinasi Azure, AWS, atau GCP apa pun. Jika Memperluas penyedia cloud, Anda dapat memilih langganan tertentu. Jika Anda tidak memilih seluruh penyedia cloud, langganan baru yang ditambahkan ke penyedia cloud tidak akan disertakan dalam aturan.
    • Cakupan sumber daya: Di sini Anda dapat menambahkan kondisi berdasarkan kategori berikut: Nama kontainer, Nama gambar, Namespace, label Pod, Nama pod, atau Nama kluster. Kemudian pilih operator: Dimulai dengan, Berakhir dengan, Sama dengan, atau Berisi. Terakhir, masukkan nilai yang akan dicocokkan. Anda dapat menambahkan kondisi sebanyak yang diperlukan dengan memilih +Tambahkan kondisi.
    • Izinkan daftar untuk proses: Daftar proses yang diizinkan untuk dijalankan dalam kontainer. Jika proses yang tidak ada dalam daftar ini terdeteksi, pemberitahuan akan dihasilkan.

    Berikut adalah contoh aturan yang memungkinkan dev1.exe proses berjalan dalam kontainer di cakupan cloud Azure, yang nama gambarnya dimulai dengan Test123 atau env123:

    Contoh konfigurasi aturan dengan semua bidang yang ditentukan.

  5. Pilih Terapkan untuk menyimpan aturan.

  6. Setelah Mengonfigurasi aturan, pilih dan seret aturan ke atas atau ke bawah pada daftar untuk mengubah prioritasnya. Aturan dengan prioritas tertinggi dievaluasi terlebih dahulu. Jika ada kecocokan, itu menghasilkan pemberitahuan atau mengabaikannya (berdasarkan apa yang dipilih untuk aturan tersebut) dan evaluasi berhenti. Jika tidak ada kecocokan yang ditemukan, aturan berikutnya dievaluasi. Jika tidak ada kecocokan untuk aturan apa pun, aturan default diterapkan.

  7. Untuk mengedit aturan yang sudah ada, pilih aturan dan pilih Edit. Ini membuka panel samping tempat Anda dapat membuat perubahan pada aturan.

  8. Anda dapat memilih Aturan duplikat untuk membuat salinan aturan. Ini dapat berguna jika Anda ingin membuat aturan serupa hanya dengan perubahan kecil.

  9. Untuk menghapus aturan, pilih Hapus aturan.

  10. Setelah Mengonfigurasi aturan, pilih Simpan untuk menerapkan perubahan dan membuat kebijakan.

  11. Dalam waktu 30 menit, sensor pada kluster yang dilindungi diperbarui dengan kebijakan baru.

Memantau dan mengelola pemberitahuan

Sistem pemberitahuan dirancang untuk memberi tahu Anda tentang drift biner apa pun, membantu Anda mempertahankan integritas gambar kontainer Anda. Jika proses eksternal yang tidak sah terdeteksi yang cocok dengan kondisi kebijakan yang Anda tentukan, pemberitahuan dengan tingkat keparahan tinggi akan dibuat untuk Anda tinjau.

Menyesuaikan kebijakan sesuai kebutuhan

Berdasarkan pemberitahuan yang Anda terima dan ulasan Anda tentangnya, Anda mungkin merasa perlu untuk menyesuaikan aturan Anda dalam kebijakan penyimpangan biner. Ini dapat melibatkan kondisi penyempurnaan, menambahkan aturan baru, atau menghapus yang menghasilkan terlalu banyak positif palsu. Tujuannya adalah untuk memastikan bahwa kebijakan penyimpangan biner yang ditentukan dengan aturan mereka secara efektif menyeimbangkan kebutuhan keamanan dengan efisiensi operasional.

Efektivitas deteksi penyimpangan biner bergantung pada keterlibatan aktif Anda dalam mengonfigurasi, memantau, dan menyesuaikan kebijakan agar sesuai dengan persyaratan unik lingkungan Anda.

Konten terkait