Benutzerdefinierte Regeln, die für Trend Vision One Container Security verwendet werden, unterscheiden sich von den benutzerdefinierten
Regeln, die von Falco verwendet werden. Die bestehenden Felder müssen nicht geändert
werden, aber neue Felder müssen hinzugefügt werden, um die Regeln mit Trend Vision One kompatibel zu machen.
- Trend Vision One benutzerdefinierte Regelbeschreibungen
- Falco-Regeln ändern
- Unterstützte Falco-Ausgabefelder
- Optionale Regel-Felder
Trend Vision One benutzerdefinierte Regel-Feldbeschreibungen
Für benutzerdefinierte Regeln von Trend Vision One müssen einige neue Felder enthalten sein, damit die Regeldatei gültig ist:
| Feldname | Feldbeschreibung | Beispiel |
id |
Die Regel-ID muss mit "CR-" beginnen und sollte eindeutig über benutzerdefinierte
Regeln hinweg sein. Die Regel-ID darf außerdem maximal 20 Zeichen lang sein, einschließlich
des obligatorischen "CR-" Präfixes.
|
id: CR-00000001 |
benutzerdefinierte_felder |
Dieses Feld muss ein YAML-Objekt sein.
Container Security-Ereignisse werden mit Falco
output_fields erzeugt, wodurch Sie zusätzliche Ausgaben festlegen können.Benutzerdefinierte Felder können beliebige Zeichenfolgen-Schlüssel und Zeichenfolgen-Werte
sein, wobei die Werte Falco-Ausgabefelder enthalten können. Alle in
custom_fields enthaltenen Falco-Ausgabefelder müssen auch im Ausgabefeld vorhanden sein. |
custom_fields:
myField: "Sensitive file read access"
custom_fields:
myField: "Sensitive file read access"
cmdline: "%proc.cmdline"
custom3: "a string"
customField: "%user.name"
custom5: "%proc.pid"
|
Aktion |
Die durchgeführte Aktion zur Minderung, wenn diese Regel erkannt wird. Erlaubte Werte:
log, isolate und terminate. |
Aktion: protokollieren |
Falco-Regeln ändern
Das folgende ist ein Beispiel für eine Falco-Regel, die den Zugriff auf sensible Dateien
überwacht:
- rule: Monitor Sensitive File Access
desc: Detect any read access to sensitive files
condition: >
(syscall.type = openat and fd.name startswith "/etc/" and
evt.arg.flags contains "O_RDONLY")
output: "Sensitive file read access (user=%user.name command=%proc.cmdline
file=%fd.name)"
priority: info
Um diese Regel mit Trend Vision One kompatibel zu machen, ändern Sie die Regel, sodass sie der folgenden ähnelt:
- rule: Monitor Sensitive File Access
id: CR-00000001
desc: Detect any read access to sensitive files
condition: >
(syscall.type = openat and fd.name startswith "/etc/" and
evt.arg.flags contains "O_RDONLY")
output: "Sensitive file read access (user=%user.name command=%proc.cmdline
file=%fd.name)"
custom_fields:
myField: "Sensitive file read access"
priority: info
action: log
In Trend Vision One wird das
output-Feld nicht direkt verwendet. Stattdessen werden die Felder aus dem Output extrahiert,
um ein Ereignisformat zu erstellen, das mit Trend Vision One kompatibel ist. Das bedeutet, dass die vorherige Regel funktional identisch mit der
folgenden Regel ist, da die Felder innerhalb des „output“-Feldes gleich sind:- rule: Monitor Sensitive File Access
id: CR-00000001
desc: Detect any read access to sensitive files
condition: >
(syscall.type = openat and fd.name startswith "/etc/" and
evt.arg.flags contains "O_RDONLY")
output: %user.name %proc.cmdline %fd.name
custom_fields:
myField: "Sensitive file read access"
priority: info
action: log
Unterstützte Falco-Ausgabefelder
Nicht alle Falco-Ausgabefelder werden von Trend Vision One unterstützt. Die folgende Tabelle listet die unterstützten Falco-Felder und den Namen
des Feldes in Trend Vision One auf.
 |
HinweisUm Felder zu verwenden, die von Container Security nicht unterstützt werden, verwenden
Sie
custom_fields, wie in Trend Vision One benutzerdefinierte Regel-Feldbeschreibungen beschrieben. |
|
Unterstützte Falco-Felder
|
Name in Trend Vision One
|
k8s.ns.name |
k8sNamespace |
k8s.pod.name |
k8sPodName |
k8s.pod.id |
k8sPodId |
container.name |
containerName |
container.id |
containerId |
container.image.repository |
containerImgRepo |
container.image.tag |
containerImgTag |
container.image.digest |
containerImageDigest |
proc.name |
Prozessname |
proc.pid |
processPid |
proc.exeline |
processCmd |
proc.pname |
parentName |
proc.ppid |
parentPid |
proc.pcmdline |
parentCmd |
fd.filename |
objectDateiname |
fd.verzeichnis |
objectFileDir |
fd.sip |
dst |
fd.sport |
dpt |
fd.cip |
src |
fd.cport |
spt |
fd.proto |
App |
fd.l4proto |
proto |
fd.name |
fileDesc |
Optionale Regel-Felder
Die folgenden Regel-Felder sind optional für benutzerdefinierte Container Security-Regeln
und können gemäß den normalen Falco-Regelrichtlinien geschrieben werden.
Verwenden Sie das Feld "Tags", um generische Tags zu einer Regel hinzuzufügen:
tags: - container - filesystem
|
HinweisDas Feld für Tags erscheint als
customTags in Trend Vision One. |
Verwenden Sie das Ausnahmenfeld, um Ereignisse zu filtern. Trend Micro-Dienste können
einige Ereignisse auslösen, die in der Regel minimal sind und sicher ignoriert werden
können. Fügen Sie die folgende Ausnahme zu Ihrer Regeldefinition hinzu, um diese innerhalb
des angegebenen Kubernetes-Namespace herauszufiltern:
exceptions: - name: trend_namespace fields: [k8s.ns.name] comps: [=] values: - [trendmicro-system]