Identifiering och blockering av program mot skadlig kod

Program mot skadlig kod för containerkörning identifierar och blockerar skadlig kod när en container kör en körbar fil som systemet identifierar som skadlig programvara.

Den här funktionen skickar aviseringar när den identifierar skadlig kod och låter dig blockera skadlig kod.

Du kan definiera principer för program mot skadlig kod som anger villkor för aviseringar och blockering. Dessa principer hjälper dig att skilja legitim aktivitet från potentiella hot.

Identifiering och blockering av skadlig kod vid containerkörning är en del av Defender för containrar-planen. Den här funktionen är tillgänglig för Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS) och Google Kubernetes Engine (GKE).

Förutsättningar

  • Om du vill använda identifiering och blockering av program mot skadlig kod för containerkörning måste du köra Defender för containersensorn, som är tillgänglig för AWS-, GCP- och AKS-molnen. Den här funktionen stöds för:

    • AKS: Helm-etablering med sensorversion 0.10.X GA senaste version.
    • Multicloud:

      • Aktivera automatisk etablering av ARC på aktiveringssidan

        Skärmbild som visar aktiveringsväxlingsknapparna för ARC.

      • Helm-etablering med sensorversionen 0.10.X GA senaste versionen eller ARC-tillägget med kommandot --configuration-settings collectors.antimalwareCollector.enable='true'.

        Till exempel:

        az k8s-extension create --name  microsoft.azuredefender.kubernetes --extension-type  microsoft.azuredefender.kubernetes --cluster-name <name> --resource-group <rg> --cluster-type connectedClusters --configuration-settings collectors.antimalwareCollector.enable='true'

  • Du måste aktivera Defender for Container-sensorn för prenumerationer och kontakter. 

  • Om du vill skapa och ändra antimalwarepolicys behöver du säkerhetsadministratör eller högre behörighet i klientorganisationen. Om du vill visa principer för program mot skadlig kod behöver du säkerhetsgranskarens åtkomstnivå eller högre behörigheter för hyresgästen. 

  • Förutom kärnsensorminnet och cpu-kraven behöver du:

    Komponent Förfrågan Limit
    CPU 50 meter 300 m
    Memory 128Mi 500Mi

Läs mer om upptäckt och blockering av skadlig kod.

Komponenter

Följande komponenter är en del av identifiering och blockering av program mot skadlig kod:

  • En förbättrad sensor som identifierar och förhindrar skadlig kod.

  • Konfigurationsalternativ för antimalwareprinciper.

  • Aviseringar mot skadlig kod.

Aktivera identifiering och blockering av program mot skadlig kod

Program mot skadlig kod är inte aktiverat som standard eftersom det förbrukar extra klusterresurser.

Om du vill installera sensorn med program mot skadlig kod aktiverad följer du anvisningarna för att installera Defender för containrar med hjälp av Helm och inkludera flaggan --antimalware.

Lägga till regler för program mot skadlig kod

När du installerar sensorn med program mot skadlig kod aktiverad konfigureras tre regler för program mot skadlig kod som standard. Dessa regler omfattar:

  • Malware alert on binaries not originated from original image: en föreslagen regel för situationer där systemet identifierar en glidande binär fil.
  • Default antimalware workload rule.
  • Default anitmalware host rule.

De två standardreglerna för program mot skadlig kod (arbetsbelastning och värd) gäller för varje potentiell situation om ingen annan regel matchar först. Du kan bara ändra standardregelns åtgärder och ställa in den på avisering, blockering eller ignorera.

Du kan skapa nya regler för program mot skadlig kod för att definiera när aviseringar ska genereras, blockeras eller ignoreras. Varje regel kan definiera villkoren för att generera aviseringar. Med den här strukturen kan du skräddarsy systemet efter dina specifika behov och minska falska positiva identifieringar. Du kan skapa undantag genom att ange regler med högre prioritet för specifika omfång eller kluster, bilder, poddar, Kubernetes-etiketter eller namnområden. 

  1. Logga in på Azure-portalen.

  2. Gå till Defender för molnet> Miljöinställningar.

  3. Välj Säkerhetsregler

    Skärmbild av Microsoft Defender för molnet som visar principsidan för skydd mot skadlig kod med tre regler: Avisering om skadlig kod, Standard för arbetsbelastning och Standard för värd.

  4. Välj Program mot skadlig kod>+ Lägg till regel

    Skärmbild av panelen Lägg till regelsida som visar fält för regelnamn, villkor och åtgärder med alternativ för att avisera, blockera eller ignorera.

  5. Ange ett regelnamn.

  6. Välj en tillgänglig åtgärd:

    • Ignorera skadlig kod: Ignorera den valda skadliga koden.
    • Avisering om skadlig kod: Generera en avisering. Om en regel till exempel identifierar en glidande binär fil.
    • Blockera skadlig kod: Blockera skadlig kod från att köras.

  7. Ange ett omfångsnamn.

  8. Välj ett molnomfång och en (valfri) specifik prenumeration.

  9. (Valfritt) Välj ett resursomfång.

  10. (Valfritt) Lägg till villkor i resursomfånget baserat på följande kategorier: Containernamn, Avbildningsnamn, Namnområde, Poddetiketter, Poddnamn eller Klusternamn. Välj sedan en operator: Börjar med, Slutar med, Lika med eller Innehåller. Ange slutligen det värde som ska matchas. Du kan lägga till så många villkor som behövs genom att välja +Lägg till villkor.

  11. (Valfritt) Markera kryssrutan för att undanta binärfiler från containeravbildningen.

  12. (Valfritt) Lägg till Listan Tillåt för processer, en lista över processer som tillåts köras i containern. Om en process inte finns med i den här listan genereras en avisering.

  13. Välj Tillämpa.

  14. Välj Spara.

Efter 30 minuter uppdateras sensorerna i de skyddade klustren med den nya regeln.

Hantera regler för program mot skadlig kod

Baserat på aviseringarna du tar emot och granskar kan du behöva justera reglerna i antiskadlig program policy. Den här justeringen kan omfatta förfining av villkor, tillägg av regler eller borttagning av regler som genererar många falska positiva. Målet är att balansera säkerhetsbehoven med drifteffektivitet genom att använda effektiva principer och regler för program mot skadlig kod.

Effektiv identifiering av program mot skadlig kod är beroende av din aktiva roll när det gäller att konfigurera, övervaka och justera principer för din miljö.

Du kan ordna regler efter prioritet genom att välja uppåt- eller nedåtpilen. Regeln med högsta prioritet (det lägsta talet) körs först. Om en regel stämmer överens körs regelåtgärden och utvärderingen avslutas. Om ingen matchning, utvärderar systemet nästa regel. Om ingen regel matchar tillämpar systemet standardreglerna.

Du kan hantera varje regel med hjälp av verktygsfältskontrollerna.

Skärmbild som visar verktygsfältet som kan användas för att hantera reglerna.

Med verktygsfältet kan du redigera, duplicera, ta bort, aktivera och inaktivera regler. Välj en regel och en åtgärd.

Om du inaktiverar en regel kan du behålla regeln och dess konfiguration utan att tillämpa regeln. Det här alternativet är användbart om du vill stoppa en regel tillfälligt utan att förlora konfigurationen.

När du har konfigurerat dina regler väljer du Spara för att tillämpa ändringarna och skapa principen. Inom 30 minuter uppdateras sensorerna i de skyddade klustren med den nya principen.

Nästa steg

Översikt över containersäkerhet i Microsoft Defender för containrar

  • Last updated on