完整性監控透過將容器的當前狀態與預先建立的基準進行比較,檢測關鍵區域的文件變更。它掃描文件以檢測意外變更,並在發現偏差時記錄事件,提供對潛在安全威脅的可見性。
檔案完整性監控規則使掃瞄引擎能夠確定要監控的資料夾以及要排除的檔案名稱。您可以使用預定義的趨勢管理規則,或建立您自己的自訂規則以更好地適應您的環境。
您可以在 Container Security 中新增叢集時啟用檔案完整性監控,或者您可以透過在現有叢集中將以下內容新增至
overrides.yaml 檔案來 升級 Helm chart:
fileIntegrityMonitoring:
enabled: true
在檔案完整性監控已啟動並且規則已新增至政策後,當檔案發生變更時,您可以在中查看事件。
建立自訂的使用者管理規則
-
移至。
-
點擊「Object management」並前往檔案完整性監控規則頁面。
-
點擊「+Add」。
-
在輸入規則名稱和描述後,請定義範圍。規則範圍決定監控哪些檔案。
-
Base directory(ies):輸入要監控的目錄。您可以在一個規則中允許多個目錄。
-
Scan sub-directories:選擇以掃瞄指定子目錄中的檔案。
-
Scan host files:選擇以掃瞄位於主機檔案系統中的檔案。
注意
啟用掃瞄主機檔案有時可能會影響掃瞄效能。 -
Filenames to include/exclude:指定要包含或排除的特定檔案名稱。排除的檔案名稱優先於包含的檔案名稱。
-
|
注意Trend 管理的規則無法修改或刪除,但可以複製以建立新的自訂規則,然後進行編輯。
|
在建立自訂規則後,您可以從檔案完整性監控規則頁面管理這些規則。
為政策定義檔案完整性監控規則
將檔案完整性監控規則新增至新的或現有的政策,以定義政策目標範圍。了解更多關於Container Security政策。
-
移至。
-
在政策頁面上,選擇現有政策或點擊「+Add」。
-
在執行期間,選擇「File integrity monitoring」。
-
點擊「+Add Rule」以將檔案完整性監控規則新增至您的政策。
-
定義目標範圍,包括命名空間、Pod 標籤和容器名稱,然後點擊「提交」。
-
根據您的需求配置掃瞄排程。