完整性監控透過將容器的當前狀態與預先建立的基準進行比較,檢測關鍵區域的文件變更。它掃描文件以檢測意外變更,並在發現偏差時記錄事件,提供對潛在安全威脅的可見性。
檔案完整性監控規則使掃瞄引擎能夠確定要監控的資料夾以及要排除的檔案名稱。您可以使用預定義的趨勢管理規則,或建立您自己的自訂規則以更好地適應您的環境。
啟用檔案完整性監控
-
Amazon ECS:建立具有檔案完整性監控規則的 ECS 政策,並將其應用於您想要保護的叢集。
注意
檔案完整性監控是一個運行時功能。在啟用檔案完整性監控之前,請確保在叢集層級已啟動運行時安全切換。 - Kubernetes:您可以在 Container Security 中新增叢集時啟用檔案完整性監控,或者通過在
overrides.yaml檔案中新增以下內容來 升級 Helm chart 以更新現有叢集:fileIntegrityMonitoring: enabled: true
在檔案完整性監控已啟動並且規則已新增至政策後,當檔案發生變更時,您可以在中查看事件。
建立自訂的使用者管理規則
-
移至。
-
點擊「Object management」並前往檔案完整性監控規則頁面。
-
點擊「+Add」。
-
輸入規則名稱和說明。
-
透過選擇掃瞄容器檔案系統或主機檔案系統來定義檔案範圍。
注意
AWS Fargate 環境無法存取主機檔案系統。選擇「主機」將排除此規則在 AWS Fargate 環境中應用。規則範圍決定監控哪些檔案。-
Base directory(ies):輸入要監控的目錄。您可以在一個規則中指定多個目錄。
-
Filenames to include:指定要在掃瞄中包含的檔案名稱模式。
-
Filenames to exclude:指定要從掃瞄中排除的檔案名稱模式。
-
|
注意Trend 管理的規則無法修改或刪除,但可以複製以建立新的自訂規則,然後進行編輯。
|
在建立自訂規則後,您可以從檔案完整性監控規則頁面管理這些規則。
為政策定義檔案完整性監控規則
將檔案完整性監控規則新增至新的或現有的政策,以定義政策目標範圍。了解更多關於Container Security政策。
-
移至。
-
在政策頁面上,選擇現有政策或點擊「+Add」。
-
在執行期間,選擇「File integrity monitoring」。
-
點擊「+Add Rule」以將檔案完整性監控規則新增至您的政策。
-
定義目標範圍,然後按一下「提交」。
-
針對 Kubernetes:包含命名空間模式、容器名稱模式和 Pod 標籤。
-
適用於 Amazon ECS:包含容器名稱模式和任務定義模式。
-
-
根據您的需求配置掃瞄排程。