Nachdem Sie gültige Trend Vision One benutzerdefinierte Regeln erstellt haben, aktivieren und importieren Sie Ihre benutzerdefinierten Regeln in die Container Security.
Prozedur
- Wenn die benutzerdefinierten Regeln mit OCI-Repositories konfiguriert sind, erstellen
Sie ein Kubernetes-Secret, das die grundlegenden Authentifizierungsparameter der OCI-Repositories
enthält.Das Format für den geheimen Wert ist dasselbe wie die FALCOCTL_REGISTRY_AUTH_BASIC falcoctl-Umgebungsvariable.
- Konfigurieren Sie Anmeldeinformationen für mehrere OCI-Repositories mit einem geheimen
Wert wie dem folgenden:
OCI registry,basic auth username,basic auth password;OCI registry1, basic auth username1, basic auth password
- Verwenden Sie den folgenden Befehl, um das Kubernetes-Secret zum Speichern der Authentifizierungsparameter
des OCI-Repositorys zu erstellen:
kubectl create secret generic <oci-basic-auth-secret-name> --from-literal=falcoctl=<OCI registry,basic auth username,basic auth password;OCI registry1, basic auth username1, basic auth password1> --namespace trendmicro-system
- Konfigurieren Sie die Datei
overrides.yamlund importieren Sie Ihre benutzerdefinierten Regeln über die lokale Konfiguration oder das OCI-Register:-
Importieren Sie benutzerdefinierte Regeln über die lokale Konfiguration.
-
Erstellen Sie eine benutzerdefinierte Regeldatei:
- rule: Detect Custom Event 1 id: CR-00000001 desc: A custom rule to detect a program called detectThisCmd condition: proc.cmdline icontains "detectThisCmd" output: custom2= "%proc.cmdline", custom4= "%user.name", custom5= "%proc.pid" priority: NOTICE tags: - container custom_fields: myField: "Sensitive file read access" cmdline: "%proc.cmdline" custom3: "a string" customField: "%user.name" custom5: "%proc.pid" - rule: Shell in container id: CR-00000002 desc: Detect shell activity within a container condition: > evt.type=execve and evt.dir=< and container.id!=host and (proc.name=bash or proc.name=ksh) output: custom2= "%proc.cmdline", custom4= "%user.name", custom5= "%proc.pid" priority: INFO tags: - container - mitre_discovery custom_fields: myField: "Sensitive file read access" cmdline: "%proc.cmdline" custom3: "a string" customField: "%user.name" custom5: "%proc.pid" -
Klonen Sie das Helm-Repository von https://github.com/trendmicro/visionone-container-security-helm.
-
Kopieren Sie die Regeldateien in das Verzeichnis
visionone-container-security-helm/config/customrules. -
Aktivieren Sie die benutzerdefinierte Regel-Funktion, indem Sie
visionOne.customRules.enabled=trueundvisionOne.customRules.output.visionOne.enabled=truesetzen:visionOne runtimeSecurity: enabled: true customRules: enabled: true output: visionOne: enabled: true
-
-
Benutzerdefinierte Regeln über das OCI-Register importieren.
-
Laden Sie die Regeldatei in das OCI-Register hoch. Dies wird normalerweise mit dem folgenden Befehl durchgeführt:
sudo falcoctl registry push <OCI-repository>:<tag> <rulesFilePath> --type rulesfile --version "<version>" -
Aktivieren Sie die Funktion für benutzerdefinierte Regeln, indem Sie
visionOne.customRules.enabled=true,visionOne.customRules.output.visionOne.enabled=true,visionOne.ociRepository.enabled=truefestlegen und dieartifactUrls,rulesFile(s)undbasicAuthTokenSecretNameangeben:visionOne: runtimeSecurity: enabled: true customRules: enabled: true output: visionOne: enabled: true ociRepository: enabled: true artifactUrls: - docker.io/sampleRules:latest rulesFiles: - sampleRulesFile.yaml basicAuthTokenSecretName: <oci-basic-auth-secret-name>
-
-
- Vollständige Konfiguration der Richtlinie durch Richtlinie als Code.Benutzerdefinierte Regelsätze sind Teil der Richtlinie. Um sicherzustellen, dass es bei der Verwendung einer gemeinsamen Richtlinie keine Abweichungen gibt, erfordert die Funktion für benutzerdefinierte Regeln, dass Benutzer Richtlinien als Code mit einer clusterverwalteten Richtlinie verwenden. Erfahren Sie mehr über Clusterverwaltete Richtlinien.