在建立有效的Trend Vision One自訂規則後,您可以使用本地檔案或OCI註冊表將您的自訂規則啟用並匯入至Container Security。
使用 ConfigMap 匯入
-
使用下列命令建立 ConfigMap。
kubectl create configmap custom-rules-config --from-file=customRulesFile.yaml -n trendmicro-system
-
透過在覆蓋檔案中指向 ConfigMap 來啟用自訂規則功能:
visionOne runtimeSecurity: enabled: true customRules: configmap: name: custom-rules-config -
通過政策即代碼完成政策配置。自訂規則集是政策的一部分。為確保使用共享政策時不會有偏差,自訂規則功能要求使用者使用以程式碼為基礎的政策與叢集管理政策。了解更多 叢集管理的政策。
使用 OCI 註冊表匯入
-
如果使用 OCI 儲存庫配置自訂規則,請建立一個 Kubernetes 機密,其中包含 OCI 儲存庫的基本驗證參數。秘密值的格式與
FALCOCTL_REGISTRY_AUTH_BASICfalcoctl環境變數相同。 -
使用如下的秘密值配置多個 OCI 儲存庫的憑證:
OCI registry,basic auth username,basic auth password;OCI registry1, basic auth username1, basic auth password
-
使用以下命令來建立 Kubernetes 機密,以儲存 OCI 儲存庫驗證參數:
kubectl create secret generic <oci-basic-auth-secret-name> --from-literal=falcoctl=<OCI registry,basic auth username,basic auth password;OCI registry1, basic auth username1, basic auth password1> --namespace trendmicro-system -
配置
overrides.yaml檔案,並透過本地配置或OCI註冊表匯入您自訂的規則。-
使用以下命令將規則檔案上傳至 OCI 登錄:
sudo falcoctl registry push <OCI-repository>:<tag> <rulesFilePath> --type rulesfile --version "<version>" -
透過設定
visionOne.customRules.enabled=true、visionOne.customRules.output.visionOne.enabled=true、visionOne.ociRepository.enabled=true並指定artifactUrls、rulesFile(s)和basicAuthTokenSecretName來啟用自訂規則功能:visionOne: runtimeSecurity: enabled: true customRules: ociRepository: enabled: true artifactUrls: - docker.io/sampleRules:latest rulesFiles: - customRulesFile.yaml basicAuthTokenSecretName: <oci-basic-auth-secret-name>
-
-
通過政策即代碼完成政策配置。自訂規則集是政策的一部分。為確保使用共享政策時不會有偏差,自訂規則功能要求使用者使用以程式碼為基礎的政策與叢集管理政策。了解更多 叢集管理的政策。