Überwachung der Dateiintegrität

Ansichten:

Die Überwachung der Dateiintegrität erkennt Änderungen an kritischen Bereichen von Containern, indem sie ihren aktuellen Zustand mit einem vorab festgelegten Basiswert vergleicht. Sie scannt Dateien auf unerwartete Änderungen und protokolliert ein Ereignis, wenn eine Abweichung festgestellt wird, wodurch potenzielle Sicherheitsbedrohungen sichtbar werden.

Mit den Regeln des Dateiintegritätsmonitors kann die Scan-Engine bestimmen, welche Ordner überwacht und welche Dateinamen ausgeschlossen werden sollen. Sie können vordefinierte, von Trend verwaltete Regeln verwenden oder eigene benutzerdefinierte Regeln erstellen, die besser zu Ihrer Umgebung passen.

Datei-Integritätsüberwachung aktivieren

Amazon ECS: Erstellen Sie eine ECS-Richtlinie mit Regeln zur Überwachung der Dateiintegrität und wenden Sie sie auf die Cluster an, die Sie schützen möchten.

Hinweis

Die Überwachung der Dateiintegrität ist eine Laufzeitfunktion. Stellen Sie sicher, dass der Schalter für Laufzeitsicherheit auf Clusterebene aktiviert ist, bevor Sie die Überwachung der Dateiintegrität aktivieren.

Kubernetes: Sie können die Überwachung der Dateiintegrität aktivieren, wenn Sie einen neuen Cluster in Container Security hinzufügen, oder Sie können das Helm-Chart aktualisieren für bestehende Cluster, indem Sie Folgendes zur overrides.yaml-Datei hinzufügen:
```
    fileIntegrityMonitoring:
        enabled: true
```

Nachdem die Überwachung der Dateiintegrität aktiviert und Regeln zu einer Richtlinie hinzugefügt wurden, können Sie Ereignisse in Cloud Security → Container Security → Protokoll → File Integrity Monitoring anzeigen, wenn Dateiveränderungen auftreten.

Erstellen Sie benutzerdefinierte, vom Benutzer verwaltete Regeln

Navigieren Sie zu Cloud Security → Container Security → Konfiguration.
Klicken Sie auf Object management und gehen Sie zur Seite mit den Regeln zur Überwachung der Dateiintegrität.
Klicken Sie auf +Add.
Geben Sie den Regelname und die Beschreibung ein.

Definieren Sie den Dateibereich, indem Sie wählen, ob das Container-Dateisystem oder das Host-Dateisystem DURCHSUCHT werden soll.

Hinweis

AWS Fargate-Umgebungen haben keinen Zugriff auf Host-Dateisysteme. Wenn Sie "Host" auswählen, wird diese Regel von der Anwendung auf AWS Fargate-Umgebungen ausgeschlossen.

Der Regelbereich bestimmt, welche Dateien überwacht werden.

Base directory(ies): Geben Sie Verzeichnisse zur Überwachung ein. Sie können in einer Regel mehrere Verzeichnisse angeben.
Filenames to include: Geben Sie Dateinamensmuster an, die in die DURCHSUCHEN einbezogen werden sollen.
Filenames to exclude: Geben Sie Dateinamensmuster an, die von der Durchsuchung ausgeschlossen werden sollen.

Hinweis

Von Trend verwaltete Regeln können nicht geändert oder gelöscht werden, aber sie können dupliziert werden, um eine neue benutzerdefinierte Regel zu erstellen, die dann bearbeitet werden kann.

Nachdem Sie benutzerdefinierte Regeln erstellt haben, können Sie diese Regeln auf der Seite für die Überwachung der Dateiintegrität verwalten.

Datei-Integritätsüberwachungsregeln für Richtlinien definieren

Fügen Sie Regeln zur Überwachung der Dateiintegrität zu neuen oder bestehenden Richtlinien hinzu, um den Zielbereich der Richtlinie zu definieren. Erfahren Sie mehr über Container Security-Richtlinien.

Navigieren Sie zu Cloud Security → Container Security → Konfiguration.
Auf der Richtlinienseite wählen Sie eine bestehende Richtlinie aus oder klicken Sie auf +Add.
Unter Laufzeit wählen Sie File integrity monitoring.
Klicken Sie auf +Add Rule, um Regeln zur Überwachung der Dateiintegrität zu Ihrer Richtlinie hinzuzufügen.
Definieren Sie den Zielbereich, und klicken Sie anschließend auf Absenden.
- Für Kubernetes: Beinhaltet ein Namensraum-Muster, ein Container-Namensmuster und Pod-Labels.
- Für Amazon ECS: Beinhaltet ein Container-Namensmuster und Aufgabendefinitionsmuster.
Konfigurieren Sie den DURCHSUCHEN-Zeitplan entsprechend Ihren Anforderungen.