啟用自訂規則

步驟

1. 如果使用 OCI 儲存庫配置自訂規則，請建立一個 Kubernetes 機密，其中包含 OCI 儲存庫的基本驗證參數。
   秘密值的格式與 FALCOCTL_REGISTRY_AUTH_BASIC falcoctl 環境變數相同。
2. 使用如下的秘密值配置多個 OCI 儲存庫的憑證：

   OCI registry,basic auth username,basic auth password;OCI registry1, basic auth username1, basic auth password

3. 使用以下命令來建立 Kubernetes 機密，以儲存 OCI 儲存庫驗證參數：

   kubectl create secret generic <oci-basic-auth-secret-name> --from-literal=falcoctl=<OCI registry,basic auth username,basic auth 
   password;OCI registry1, basic auth username1, basic auth password1> --namespace trendmicro-system

4. 配置 overrides.yaml 檔案，並透過本地配置或 OCI 註冊表匯入您的自訂規則：
   • 通過本地配置導入自定義規則。
     1. 建立自訂規則檔案：

        - rule: Detect Custom Event 1
          id: CR-00000001
          desc: A custom rule to detect a program called detectThisCmd
          condition: proc.cmdline icontains "detectThisCmd"
          output: custom2= "%proc.cmdline", custom4= "%user.name", custom5= "%proc.pid"
          priority: NOTICE
          tags:
              - container
          custom_fields:
              myField: "Sensitive file read access"
              cmdline: "%proc.cmdline"
              custom3: "a string"
              customField: "%user.name"
              custom5: "%proc.pid"
        
        - rule: Shell in container
          id: CR-00000002
          desc: Detect shell activity within a container
          condition: >
              evt.type=execve and evt.dir=< and 
              container.id!=host and (proc.name=bash or proc.name=ksh)
          output: custom2= "%proc.cmdline", custom4= "%user.name", custom5= "%proc.pid"
          priority: INFO
          tags:
              - container
              - mitre_discovery
          custom_fields:
              myField: "Sensitive file read access"
              cmdline: "%proc.cmdline"
              custom3: "a string"
              customField: "%user.name"
              custom5: "%proc.pid"

     2. 從 https://github.com/trendmicro/visionone-container-security-helm 複製 Helm 儲存庫。
     3. 將規則檔案複製到目錄 visionone-container-security-helm/config/customrules 中。
     4. 透過設定visionOne.customRules.enabled=true和visionOne.customRules.output.visionOne.enabled=true來啟用自訂規則功能：

        visionOne
            runtimeSecurity:
                enabled: true
                customRules:
                    enabled: true
                    output: 
                        visionOne:
                            enabled: true

   • 通過 OCI 註冊表匯入自訂規則。
     1. 將規則檔案上傳至 OCI 登錄。通常使用以下命令來完成：sudo falcoctl registry push <OCI-repository>:<tag> <rulesFilePath> --type rulesfile --version "<version>"
     2. 透過設定 visionOne.customRules.enabled=true、visionOne.customRules.output.visionOne.enabled=true、visionOne.ociRepository.enabled=true 來啟用自訂規則功能，並指定 artifactUrls、rulesFile(s) 和 basicAuthTokenSecretName：

        visionOne:
            runtimeSecurity:
                enabled: true
                customRules:
                    enabled: true
                    output:
                        visionOne:
                            enabled: true
                    ociRepository:
                        enabled: true
                        artifactUrls:
                            - docker.io/sampleRules:latest
                        rulesFiles:
                            - sampleRulesFile.yaml
                    basicAuthTokenSecretName: <oci-basic-auth-secret-name>

5. 通過政策即代碼完成政策配置。
   自訂規則集是政策的一部分。為確保在使用共用政策時不會有偏差，自訂規則功能要求使用者使用以程式碼為基礎的政策與叢集管理的政策。了解更多 叢集管理的政策。