Deteção e bloqueio de antimalware

O antimalware em tempo de execução de contentores deteta e bloqueia malware quando um contentor executa um executável que o sistema identifica como software malicioso.

Esta funcionalidade envia alertas quando identifica malware e permite bloquear malware.

Pode definir políticas antimalware que definam condições para alertas e bloqueio. Estas apólices ajudam-no a distinguir atividade legítima de potenciais ameaças.

A deteção e bloqueio de antimalware em tempo de execução de contentores faz parte do plano Defender for Containers. Esta funcionalidade está disponível para Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS) e Google Kubernetes Engine (GKE).

Pré-requisitos

  • Para usar a deteção e bloqueio de antimalware em tempo de execução de containers, é necessário executar o sensor Defender for Container, que está disponível para as clouds AWS, GCP e AKS. Esta funcionalidade é suportada para:

    • AKS: Provisão de Helm com sensor versão 0.10.X GA, última versão.
    • Multicloud:

      • Ativar o provisionamento automático ARC na página de ativação

        Captura de ecrã que mostra as alternâncias de ativação para ARC.

      • Provisão do Helm com sensor na versão 0.10.X GA mais recente ou a extensão ARC, utilizando o comando --configuration-settings collectors.antimalwareCollector.enable='true'.

        Por exemplo:

        az k8s-extension create --name  microsoft.azuredefender.kubernetes --extension-type  microsoft.azuredefender.kubernetes --cluster-name <name> --resource-group <rg> --cluster-type connectedClusters --configuration-settings collectors.antimalwareCollector.enable='true'

  • Deve ativar o sensor Defender for Container nas subscrições e conectores. 

  • Para criar e modificar políticas antimalware, precisa de permissões de Administrador de Segurança ou superiores no inquilino. Para visualizar políticas antimalware, precisa de permissões de Security Reader ou superiores no locatário. 

  • Para além dos requisitos principais de memória dos sensores e CPU, precisa de:

    Componente Solicitação Limite
    CPU 50 metros 300 m
    Memory 128Mi 500Mi

Saiba mais sobre a deteção de antimalware e a disponibilidade de bloqueios.

Componentes

Os seguintes componentes fazem parte da deteção e bloqueio de antimalware:

  • Um sensor melhorado que deteta e previne malware.

  • Opções de configuração da política antimalware.

  • Alertas antimalware.

Ativar a deteção e bloqueio de antimalware

O antimalware não está ativado por defeito porque consome recursos extra do cluster.

Para instalar o sensor com antimalware ativado, siga as instruções para instalar Defender para o sensor Containers usando Helm e inclua a flag --antimalware.

Adicionar regras antimalware

Quando instala o sensor com o antimalware ativado, ele configura três regras antimalware por padrão. Estas regras incluem:

  • Malware alert on binaries not originated from original image: uma regra sugerida para situações em que o sistema deteta um binário desviado.
  • Default antimalware workload rule.
  • Default anitmalware host rule.

As duas regras padrão antimalware (carga de trabalho e host) aplicam-se a todas as situações potenciais se nenhuma outra regra corresponder primeiro. Só podes modificar as ações da regra padrão e defini-la para alertar, bloquear ou ignorar.

Pode criar novas regras antimalware para definir quando os alertas devem ser gerados, bloqueados ou ignorados. Cada regra pode definir as condições para gerar alertas. Esta estrutura permite-lhe adaptar o sistema às suas necessidades específicas e reduzir falsos positivos. Pode criar exclusões definindo regras de prioridade mais elevada para escopos ou clusters específicos, imagens, pods, rótulos Kubernetes ou namespaces. 

  1. Inicie sessão no portal Azure.

  2. Vá para Defender para a Cloud>Configurações do Ambiente.

  3. Selecione as regras de segurança

    Captura de ecrã do Microsoft Defender para Cloud mostrando a página da política anti-malware com três regras: Alerta sobre Malware, Padrão para carga de trabalho e Padrão para o host.

  4. Selecione Antimalware>+ Adicionar regra

    Captura de ecrã do painel lateral Adicionar Regra mostrando campos para nome da regra, condições e ações com opções para alertar, bloquear ou ignorar.

  5. Insira um nome de regra.

  6. Selecione uma ação disponível:

    • Ignorar Malware: Ignorar o malware selecionado.
    • Alerta sobre Malware: Gerar um alerta. Por exemplo, se uma regra detetar um binário desviado.
    • Bloquear Malware: Bloquear o malware de executar.

  7. Insira um nome do telescópio.

  8. Selecione um âmbito de cloud e uma subscrição específica (opcional).

  9. (Opcional) Selecione um âmbito de recurso.

  10. (Opcional) Adicione condições ao âmbito do recurso com base nas seguintes categorias: Nome do contentor, nome da imagem, espaço de nomes, rótulos de pod, nome do pod ou nome do cluster. Depois escolhe um operador: Começa com, Termina com, É igual ou Contém. Finalmente, introduza o valor correspondente. Pode adicionar tantas condições quanto necessário selecionando +Adicionar condição.

  11. (Opcional) Selecione a caixa para excluir binários da imagem do contentor.

  12. (Opcional) Adicionar lista de permissão para processos, uma lista de processos que podem ser executados no contentor. Se um processo não estiver nesta lista, é gerado um alerta.

  13. Selecione Aplicar.

  14. Selecione Guardar.

Após 30 minutos, os sensores nos clusters protegidos são atualizados com a nova regra.

Gerir regras antimalware

Com base nos alertas que recebe e analisa, pode ser necessário ajustar as regras da política antimalware. Este ajuste pode incluir refinamento de condições, adição de regras ou remoção de regras que gerem muitos falsos positivos. O objetivo é equilibrar as necessidades de segurança com a eficiência operacional, utilizando políticas e regras antimalware eficazes.

Uma deteção eficaz de antimalware depende do seu papel ativo na configuração, monitorização e ajuste das políticas para o seu ambiente.

Pode organizar as regras por prioridade selecionando a seta para cima ou para baixo. A regra com a prioridade mais alta (o número mais baixo) começa primeiro. Se uma regra coincidir, a ação da regra decorre e a avaliação termina. Se não houver correspondência, o sistema avalia a regra seguinte. Se nenhuma regra corresponder, o sistema aplica as regras padrão.

Podes gerir cada regra usando os controlos da barra de ferramentas.

Captura de ecrã que mostra a barra de ferramentas que pode ser usada para gerir as regras.

A barra de ferramentas permite-te editar, duplicar, eliminar, ativar e desativar regras. Selecione uma regra e uma ação.

Desativar uma regra permite-te manter a regra e a sua configuração sem a aplicar. Esta opção é útil se quiseres parar uma regra temporariamente sem perder a sua configuração.

Depois de configurares as tuas regras, seleciona Guardar para aplicar as alterações e cria a política. Em 30 minutos, os sensores dos clusters protegidos atualizam-se com a nova política.

Próximo passo

Visão geral da segurança de contêineres no Microsoft Defender for Containers

  • Last updated on