Die Laufzeit-Malware-Überprüfung erkennt Malware in Containern, die in Ihren Kubernetes-Clustern
ausgeführt werden. Im Gegensatz zur Bildüberprüfung vor der Bereitstellung arbeitet
die Laufzeit-Malware-Überprüfung auf dem Dateisystem laufender Container und ermöglicht
die Erkennung von Malware, die zur Laufzeit heruntergeladen oder nach der Bereitstellung
durch Kompromittierungen der Lieferkette eingeführt wird.
Suchtypen
Die Laufzeit-Malware-Durchsuchung unterstützt zwei ergänzende Durchsuchungstypen.
-
Zeitgesteuerte Suche: Scannt regelmäßig alle Container-Images, die im Cluster bereitgestellt werden, basierend auf einem konfigurierbaren Zeitplan (Cron-Ausdruck), der in der Container Security-Richtlinie festgelegt ist. Bietet umfassende Abdeckung aller Images gegen die neuesten Malware-Muster. Zeitgesteuerte Suchläufe aktivieren.
-
Echtzeitsuche: Überwacht die Dateisystemaktivität in laufenden Containern und scannt sofort neu geschriebene oder geänderte Dateien, wenn ein Datei-Schreibereignis erkannt wird. Bietet sofortige Erkennung von Malware, die nach der Bereitstellung eingeführt wurde, wie z. B. Nutzlasten, die von einem kompromittierten Prozess abgerufen werden. Sie können Echtzeitsuchen aktivieren, indem Sie das Helm-Chart mit
malwareScanning: enabledbereitstellen. Siehe Laufzeitsicherheit und Scan-Funktionen aktivieren für weitere Informationen.
Zeitgesteuerte Suchläufe aktivieren
Die zeitgesteuerten Suchläufe werden über die Container Security-Richtlinie konfiguriert,
die dem Cluster zugewiesen ist. Der Scan-Manager erstellt einen Suchlaufauftrag für
jedes einzigartige Image im Cluster, und jeder Auftrag extrahiert das Image
filesystem und sendet Dateien zur Analyse an den lokalen Malware-Scanner. Images werden durch
ihre einzigartige Image-ID identifiziert. Wenn dasselbe Image in mehreren Pods ausgeführt
wird, wird es pro Zyklus nur einmal gescannt.-
Navigieren Sie zu .
-
Wählen Sie die Ihrem Cluster zugewiesene Richtlinie aus.
-
Im Abschnitt zur Malware-Suche, aktivieren Sie die zeitgesteuerte Suche und legen Sie den gewünschten Zeitplan fest.
 |
HinweisUm die Scanlast gleichmäßig zu verteilen, wendet der Scan-Manager einen zufälligen
Jitter (bis zu 90 Sekunden) an, bevor er jeden Scanauftrag startet. Dies verhindert,
dass alle Scanaufträge gleichzeitig starten und den Scanner überlasten.
|
Scan-Logik
-
Automatische Nachsuche: Nachdem eine Suche abgeschlossen ist, wartet der Arbeitslast-Operator auf ein konfigurierbares Nachsuchintervall (standardmäßig 24 Stunden), bevor der Suchmanager einen neuen Suchauftrag erstellt. Eine Nachsuche wird auch ausgelöst, wenn eine zeitgesteuerte Suche durchgeführt wird oder wenn die Malware-Suchrichtlinie aktualisiert wird.
-
Bild-Durchsuchungs-Cache: Um redundante Durchsuchungen zu vermeiden, führt der Durchsuchungsmanager einen Bild-Durchsuchungs-Cache mit einer Ablaufzeit von 24 Stunden. Bilder, die in den letzten 24 Stunden durchsucht wurden, werden übersprungen.
-
Musteraktualisierungen: Der Malware-Scanner lädt automatisch neue Malware-Musteraktualisierungen vom TrendAI™ Active Update (AU) Server herunter und wendet sie an. Aktualisierungen werden im Speicher angewendet und erfordern keinen Neustart des Scanners.
Durchsuchungsbereich und ausgeschlossene Pfade
Standardmäßig scannt der Malware-Scanner alle Dateien im Dateisystem des Container-Images,
mit Ausnahme der folgenden Pfade:
-
/proc -
/dev -
/sys
Sie können zusätzliche ausgeschlossene Pfade in der Container Security-Richtlinie
konfigurieren. Ausgeschlossene Pfade werden anhand des Präfixes abgeglichen – jede
Datei, deren Pfad mit einem ausgeschlossenen Pfad beginnt, wird während des Scannens
übersprungen.
Minderungsmaßnahmen
Konfigurieren Sie eine automatische Abhilfemaßnahme im Malware-Scan-Bereich Ihrer
Container Security-Richtlinie. Die folgenden Maßnahmen stehen zur Verfügung.
-
Protokoll: Zeichnet das Erkennungsereignis auf, ohne weitere Maßnahmen zu ergreifen. Dies ist die Standardeinstellung.
-
Beenden: Beendet automatisch den betroffenen Pod.
-
Isolieren: Isoliert automatisch den betroffenen Pod von jeglichem Netzwerkverkehr.
Wichtig
Die Isolieren-Aktion erfordert ein Kubernetes-Netzwerkrichtlinien-Plugin (zum Beispiel Calico), das im Cluster installiert ist.
Sie können auch manuell aus den Erkennungsdetails in der Konsole reagieren, indem
Sie den betroffenen Pod in Workbench isolieren, beenden oder untersuchen. Erfahren
Sie mehr über Arbeitsbereich.
Scan-Ergebnisse anzeigen
Malware-Funde werden in der Container Security-Konsole angezeigt. Gehen Sie zu , um die Funde anzuzeigen. Verwenden Sie die Filteroptionen, um die Ergebnisse nach
Cluster, Namespace, Schweregrad oder Zeitraum einzugrenzen.
Jede Erkennung enthält folgende Informationen.
|
Feld
|
Beschreibung
|
|
Malware-Name
|
Name der entdeckten Malware
|
|
Dateiname
|
Name der entdeckten Datei
|
|
Objektdateiname
|
Vollständiger Pfad der Datei innerhalb des Containers
|
|
SHA-256-Datei
|
SHA-256-Hash der erkannten Datei
|
|
Container
|
Betroffener Containername und ID
|
|
Pod
|
Pod-Name und Namespace
|
|
Cluster
|
Cluster, in dem die Erkennung erfolgte
|
|
Zeitpunkt der Erkennung
|
Zeitstempel der Erkennung
|
Testlaufzeit-Malware-Suche
Testen Sie die Laufzeit-Malware-Überprüfung in Ihrem Cluster mit der EICAR-Testdatei,
einer standardisierten und sicheren Anti-Malware-Testsignatur.
-
Bereitstellen eines Test-Pods, der die EICAR-Testdatei herunterlädt.
kubectl run malware-test --image=busybox --restart=Never -- \ sh -c "wget -q -O /tmp/eicar.com 'https://secure.eicar.org/eicar.com' && sleep 3600"
-
Warten Sie, bis die Suche ausgelöst wird. Wenn Sie eine zeitgesteuerte Suche konfiguriert haben, warten Sie auf den nächsten Suchzyklus. Die Echtzeitsuche erkennt die neue Datei und löst automatisch eine Suche aus.
-
Gehen Sie zu . Suchen Sie nach einer Erkennung mit dem Malware-Namen
Eicar_test_fileund überprüfen Sie, ob der Dateipfad/tmp/eicar.comimmalware-test-Container angezeigt wird. -
Bereinigen Sie das Test-Pod.
kubectl delete pod malware-test
XDR-Integration
Wenn XDR-Telemetrie in der Richtlinie aktiviert ist, werden Malware-Erkennungsereignisse
an den TrendAI Vision One™-Datenpool gesendet, wodurch eine Quellübergreifende Korrelation in Workbench und
Abfragen in der Suchanwendung ermöglicht werden.
Architektur und Ressourcen
Die Laufzeit-Malware-Überprüfung besteht aus den folgenden Komponenten, die in Ihrem
Cluster bereitgestellt werden.
|
Komponente
|
Beschreibung
|
|
Workload-Operator
|
Überwacht Pod-Bereitstellungen und erstellt eine benutzerdefinierte Ressource für
jedes einzigartige Container-Image im Cluster.
|
|
Scan-Manager
|
Verwaltet den Zeitplan für die zeitgesteuerte Suche, erstellt Malware-Suche-Aufträge,
überwacht den Abschluss der Suche und pflegt den Bildsuch-Cache.
|
|
Malware-Suche-Auftrag
|
Kurzlebiger Auftrag, der das Dateisystem des Container-Images extrahiert und Dateien
an den Scanner sendet. Pro einzigartigem Image wird ein Auftrag erstellt, der von
zeitgesteuerten Suchläufen verwendet wird.
|
|
Scout
|
Läuft auf jedem Worker-Knoten als DaemonSet. Überwacht Dateisystemereignisse in laufenden
Containern in Echtzeit und sendet erkannte Dateien zur sofortigen Analyse an den Malware-Scanner.
|
|
Malware-Scanner
|
Der lokale Scanner, der in Ihrem Cluster bereitgestellt ist, empfängt Dateien sowohl
von Suchaufträgen (zeitgesteuerte Suchläufe) als auch von Scout (Echtzeitscans), führt
eine Malware-Analyse durch und liefert die Erkennungsergebnisse. Dateien verlassen
Ihre Umgebung während des Scannens niemals.
|
Der Malware-Scanner und die Scan-Aufträge haben die folgenden standardmäßigen Ressourcenallokationen.
|
Komponente
|
Anfragen
|
Grenzen
|
|
Malware-Scanner
|
CPU: 100m, Speicher: 1Gi
|
CPU: 1, Speicher: 2Gi
|
|
Malware-Suche-Auftrag
|
CPU: 50m, Speicher: 64Mi
|
Speicher: 512Mi
|
Der Malware-Scanner benötigt ausgehenden HTTPS-Zugriff auf die folgenden Endpunkte.
Kein eingehender Netzwerkzugriff ist erforderlich.
|
FQDN
|
Port
|
Zweck
|
|
activeupdate.trendmicro.com
|
443
|
Malware-Musteraktualisierungen
|
|
TrendAI Vision One™ regionaler Endpunkt
|
443
|
Berichterstattung über Suchergebnisse, Richtliniensynchronisierung und XDR-Telemetrie
|