Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O descompasso binário ocorre quando um contêiner executa um executável que não veio da imagem original. Esse desvio pode ser intencional e legítimo, ou pode indicar um ataque. Como as imagens de contêiner devem ser imutáveis, você deve avaliar todos os processos iniciados de binários não incluídos na imagem original como atividade suspeita e bloqueá-las para evitar possíveis ameaças à segurança.
O recurso de detecção de descompasso binário alerta quando há uma diferença entre a carga de trabalho proveniente da imagem e a carga de trabalho em execução no contêiner. Ele alerta você sobre possíveis ameaças à segurança detectando processos externos não autorizados em contêineres. Você pode definir políticas de descompasso para especificar as condições sob as quais os alertas devem ser gerados, ajudando a distinguir entre atividades legítimas e possíveis ameaças.
O bloqueio de descompasso binário bloqueia a execução de processos externos não autorizados em contêineres. Quando habilitado, esse recurso impõe as políticas que você define, garantindo que somente os processos aprovados possam ser executados. Essa abordagem proativa ajuda a manter a integridade de seus aplicativos em contêineres e reduz o risco de violações de segurança.
Confira a disponibilidade de deriva binária e bloqueio.
Observação
O bloqueio de deriva binária está atualmente em versão prévia
Pré-requisitos
- Execute o sensor do Defender para Contêiner.
-
Somente bloqueio de descompasso binário (versão prévia):
- AKS: provisionamento do Helm com sensor versão 0.10.1.
- Multicloud: provisionamento do Helm com a versão do sensor 0.10.1 ou a extensão ARC usando
release train=preview.
- Habilite o sensor do Defender para Contêiner nas assinaturas e conectores.
- As seguintes funções e permissões:
- Para criar e modificar políticas de descompasso: administrador de segurança ou permissões superiores no locatário.
- Para exibir políticas de descompasso: leitor de segurança ou permissões mais altas no locatário.
Configurar políticas de deriva e bloqueio
Crie políticas de desvio e bloqueio para definir quando os alertas devem ser gerados. Cada política consiste em regras que definem as condições para gerar alertas. Essa estrutura permite adaptar o recurso às suas necessidades específicas e reduzir falsos positivos. Você pode criar exclusões definindo regras de prioridade mais alta para escopos ou clusters específicos, imagens, pods, rótulos do Kubernetes ou namespaces.
Entre no portal do Azure.
Navegue até Microsoft Defender para Nuvem>Configurações de ambiente.
Selecione Política de desvio de contêineres.
Selecione a regra aplicável:
O alerta no namespace Kube-System - pode ser modificado como qualquer outra regra.
Desvio binário padrão – aplica-se a tudo se nenhuma outra regra corresponder. Você só pode modificar as ações para alerta de detecção de descompasso, bloqueio de detecção de descompasso ou ignorar detecção de descompasso (padrão).
Adicionar uma nova regra
As regras de descompasso binário definem qual comportamento é considerado suspeito, o que alertar e o que bloquear. Adicione uma nova regra para impor um controle melhor, diferentes níveis de imposição ou um comportamento de segurança mais granular para cargas de trabalho específicas. Você também pode definir regras de bloqueio para impedir que processos não autorizados sejam executados em seus contêineres.
Entre no portal do Azure.
Navegue até Microsoft Defender para Nuvem>Configurações de ambiente.
Selecione Política de desvio de contêineres.
Selecione Adicionar regra.
Defina os seguintes campos:
Nome da regra um nome descritivo para a regra.
Ação:
- Alerta de detecção de desvio se a regra deve gerar um alerta.
- Bloqueio de detecção de descompasso se a regra deve bloquear o processo que sofreu o descompasso.
- Ignorar a detecção de descompasso para excluí-la da geração de alertas.
Descrição do escopo: uma descrição do escopo ao qual a regra se aplica.
Escopo da nuvem: o provedor de nuvem ao qual a regra se aplica. Você pode escolher qualquer combinação de Azure, AWS (Amazon Web Services) ou GCP (Google Cloud Platform). Se você expandir um provedor de nuvem, poderá selecionar uma assinatura específica. Se você não selecionar todo o provedor de nuvem, novas assinaturas adicionadas ao provedor de nuvem não serão incluídas na regra.
Escopo do recurso: adicionar condições com base nas seguintes categorias: Nome do contêiner, nome da imagem, namespace, rótulos de pod, nome do pod ou nome do cluster. Em seguida, escolha um operador: Inicia com, Termina com, Igual a ou Contém. Por fim, insira o valor que deseja corresponder. Você pode adicionar quantas condições forem necessárias selecionando +Adicionar condição.
Permitir lista de processos: uma lista de processos que têm permissão para execução no contêiner. Qualquer processo não detectado nesta lista gera um alerta.
Regra de exemplo que permite que o
dev1.exeprocesso seja executado em contêineres no escopo de nuvem do Azure, cujos nomes de imagem começam com Test123 ou env123:
Selecione Aplicar.
Atribua prioridade à regra movendo a regra para cima ou para baixo na lista. A regra com a prioridade mais alta é avaliada primeiro. Se houver uma correspondência, a avaliação será interrompida. Se nenhuma correspondência for encontrada, a próxima regra será avaliada. Se não houver correspondência para nenhuma regra, a regra padrão será aplicada.
Clique em Salvar.
Em 30 minutos, os sensores nos clusters protegidos são atualizados usando a nova política.
Gerenciar uma regra
As políticas de descompasso binário são flexíveis e personalizáveis, permitindo que você as gerencie e ajuste conforme necessário. Você pode editar regras para refinar suas condições ou ações, duplicar regras para criar regras semelhantes com pequenas alterações ou excluir regras que não são mais necessárias. Revisar e gerenciar regularmente suas regras garante que as políticas de detecção e bloqueio de descompasso binário permaneçam eficazes e alinhadas às suas necessidades de segurança.
As regras podem ser editadas para refinar suas condições ou ações. Essa flexibilidade permite ajustar suas políticas com base nos alertas recebidos e na revisão delas, garantindo que elas balanceiem efetivamente as necessidades de segurança com eficiência operacional.
Entre no portal do Azure.
Navegue até Microsoft Defender para Nuvem>Configurações de ambiente.
Selecione Política de desvio de contêineres.
Selecione uma regra.
Selecione Editar.
Clique em Salvar.
Em 30 minutos, os sensores nos clusters protegidos são atualizados usando a nova política.
Informações adicionais
Os alertas do Defender para Nuvem notificam você sobre quaisquer descompassos binários, para que você possa manter a integridade de suas imagens de contêiner. Se o sistema detectar um processo externo não autorizado que corresponda às condições de política definidas, ele gerará um alerta de alta gravidade para você examinar. Se você configurar regras de bloqueio, o sistema bloqueará a execução desses processos não autorizados.
Com base nos alertas gerados e na sua análise, talvez seja necessário ajustar as regras na política de descompasso binário ou de bloqueio. Esse ajuste pode envolver refinar condições, adicionar novas regras ou remover as que geram muitos falsos positivos. O objetivo é garantir que as políticas definidas de variação binária e bloqueio, dentro de suas regras, equilibrem efetivamente as necessidades de segurança com a eficiência operacional.
A eficácia da detecção e do bloqueio de descompasso binário depende do envolvimento ativo na configuração, monitoramento e ajuste de políticas para atender aos requisitos exclusivos do seu ambiente.