Deteção e bloqueio de deriva binária

Deriva binária acontece quando um contentor executa um executável que não veio da imagem original. Este desvio pode ser intencional e legítimo, ou pode indicar um ataque. Como as imagens do contentor devem ser imutáveis, deve avaliar quaisquer processos que partam de binários não incluídos na imagem original como atividade suspeita e bloqueá-los para evitar potenciais ameaças à segurança.

A funcionalidade de deteção binária de deriva alerta-te quando há uma diferença entre a carga de trabalho proveniente da imagem e a carga de trabalho a correr no contentor. Ele alerta sobre possíveis ameaças à segurança, detetando processos externos não autorizados dentro de contêineres. Você pode definir políticas de desvio para especificar as condições sob as quais os alertas devem ser gerados, ajudando a distinguir entre atividades legítimas e ameaças potenciais.

O bloqueio binário por deriva bloqueia a execução de processos externos não autorizados dentro dos contentores. Quando ativada, esta funcionalidade aplica as políticas que define, garantindo que apenas processos aprovados possam ser executados. Esta abordagem proativa ajuda a manter a integridade das suas aplicações containerizadas e reduz o risco de violações de segurança.

Verifique a disponibilidade de desvio binário e bloqueio.

Observação

O bloqueio de deriva binária está atualmente em prévia

Pré-requisitos

Executa o Defender para o sensor de contentor.
Apenas bloqueio de deriva binária (Pré-visualização)
- AKS: Provisionamento do Helm com a versão 0.10.1 do sensor.
- Multicloud: Provisionamento com Helm utilizando a versão do sensor 0.10.1 ou usando a extensão ARC com release train=preview.
Ative o sensor Defender for Container nas subscrições e conectores.
Os seguintes papéis e permissões:
- Para criar e modificar políticas de drift: permissões de Administrador de Segurança ou superiores no tenant.
- Para ver políticas de desvio: Leitor de Segurança ou permissões superiores no tenant.

Configurar políticas de desvio e bloqueio

Crie políticas de deriva e bloqueio para definir quando os alertas devem ser gerados. Cada política consiste em regras que definem as condições para gerar alertas. Esta estrutura permite-lhe adaptar a funcionalidade às suas necessidades específicas e reduzir falsos positivos. Você pode criar exclusões definindo regras de prioridade mais alta para escopos ou clusters específicos, imagens, pods, rótulos do Kubernetes ou namespaces.

Inicie sessão no portal Azure.
Vá para Configurações do Microsoft Defender for Cloud>Environment.
Selecione Política de desvio de contêineres.
Selecione a regra aplicável:
- Alerta no Kube-System namespace - pode ser modificado como qualquer outra regra.
- Deriva binária padrão - aplica-se a tudo se nenhuma outra regra corresponder. Só podes modificar as ações para Alerta de deteção de deriva, bloqueio de deteção de deriva ou Ignorar deteção de deriva (predefinido).

Adicionar uma nova regra

As regras binárias de deriva definem que comportamento é considerado suspeito, sobre o que alertar e o que bloquear. Adicionar uma nova regra para impor melhor controlo, diferentes níveis de aplicação ou um comportamento de segurança mais detalhado para cargas de trabalho específicas. Também pode definir regras de bloqueio para evitar que processos não autorizados sejam executados nos seus contentores.

Inicie sessão no portal Azure.
Vá para Configurações do Microsoft Defender for Cloud>Environment.
Selecione Política de desvio de contêineres.
Selecione Adicionar regra.
Defina os seguintes campos:
- Nome da regra: um nome descritivo para a regra.
- Ação:
  - Alerta de deteção de desvio se a regra deve gerar um aviso.
  - Bloqueio de deteção de deriva se a regra dever bloquear o processo desviado.
  - Ignorar a deteção de deriva para excluí-la da geração de alertas.
- Descrição do âmbito: uma descrição do âmbito ao qual a regra se aplica.
- Escopo da nuvem: o provedor de nuvem ao qual a regra se aplica. Pode escolher qualquer combinação de Azure, Amazon Web Services (AWS) ou Google Cloud Platform (GCP). Se você expandir um provedor de nuvem, poderá selecionar uma assinatura específica. Se não selecionares todo o fornecedor de cloud, as novas subscrições adicionadas ao fornecedor de cloud não estão incluídas na regra.
- Âmbito de recurso: Adicionar condições com base nas seguintes categorias: Nome do contentor, nome da imagem, espaço de nomes, rótulos dos pods, nome do pod ou nome do cluster. Em seguida, escolha um operador: Começa com, Termina com, Igual ou Contém. Por fim, insira o valor que deseja corresponder. Você pode adicionar quantas condições forem necessárias selecionando +Adicionar condição.
- Lista de permissões para processos: uma lista de processos que podem ser executados no contêiner. Qualquer processo que não esteja nesta lista detetado gera um alerta.
  
  Regra de exemplo que permite ao processo dev1.exe ser executado em contentores no âmbito da cloud Azure, cujos nomes de imagem começam por Test123 ou env123:
Selecione Aplicar.
Atribua prioridade à regra movendo-a para cima ou para baixo na lista. A regra com a prioridade mais alta é avaliada primeiro. Se houver uma correspondência, a avaliação pára. Se nenhuma correspondência for encontrada, a próxima regra será avaliada. Se não houver correspondência para nenhuma regra, a regra padrão será aplicada.
Selecione Guardar.

Em 30 minutos, os sensores nos clusters protegidos atualizam-se usando a nova política.

Gerir uma regra

As políticas binárias de drift são flexíveis e personalizáveis, permitindo-lhe geri-las e ajustá-las conforme necessário. Podes editar regras para refinar as suas condições ou ações, duplicar regras para criar outras semelhantes com pequenas alterações, ou eliminar regras que já não são necessárias. Rever e gerir regularmente as suas regras garante que as suas políticas binárias de deteção e bloqueio de deriva permaneçam eficazes e alinhadas com as suas necessidades de segurança.

As regras podem ser editadas para refinar as suas condições ou ações. Esta flexibilidade permite-lhe ajustar as suas políticas com base nos alertas que recebe e na sua análise dos mesmos, garantindo que equilibram eficazmente as necessidades de segurança com a eficiência operacional.

Inicie sessão no portal Azure.
Vá para Configurações do Microsoft Defender for Cloud>Environment.
Selecione Política de deriva de contêineres.
Selecione uma regra.
Selecione Editar.
Selecione Guardar.

Em 30 minutos, os sensores nos clusters protegidos atualizam-se usando a nova política.

Informações adicionais

Os alertas do Defender for Cloud notificam-no de quaisquer desvios binários, para que possa manter a integridade das suas imagens de contentores. Se o sistema detetar um processo externo não autorizado que corresponda às condições da sua apólice definidas, gera um alerta de alta gravidade para rever. Se configurares regras de bloqueio, o sistema bloqueia a execução desses processos não autorizados.

Com base nos alertas gerados e na sua análise dos mesmos, pode ser necessário ajustar as suas regras na política binária de deriva ou bloqueio. Este ajuste pode envolver o refinamento das condições, a adição de novas regras ou a remoção daquelas que gerem demasiados falsos positivos. O objetivo é garantir que as políticas binárias de deriva e bloqueio definidas com as suas regras equilibram eficazmente as necessidades de segurança com a eficiência operacional.

A eficácia da deteção e bloqueio de deriva binária depende do seu envolvimento ativo na configuração, monitorização e ajuste das políticas para se adequarem às necessidades únicas do seu ambiente.

Visão geral da segurança de contêineres no Microsoft Defender for Containers

Comentários

Esta página foi útil?

Last updated on 2026-02-23