Monitoramento de segurança aprimorado
Este artigo descreve o recurso de monitoramento de segurança aprimorado e como configurá-lo em seu Databricks workspace ou account.
Visão geral do monitoramento de segurança aprimorado
Databricks O monitoramento de segurança aprimorado fornece uma imagem de disco reforçada e agentes de monitoramento de segurança adicionais que geram linhas log que o senhor pode analisar usando a auditoria logs.
Os aprimoramentos de segurança se aplicam apenas a compute recursos no plano compute clássico, como clusters e nãoserverless SQL warehouse.
serverless compute recurso plano, como o serverless SQL warehouse, não tem monitoramento extra quando o monitoramento de segurança aprimorado está ativado.
O monitoramento de segurança aprimorado inclui:
Uma imagem de sistema operacional reforçada e aprimorada baseada no Ubuntu Advantage.
O Ubuntu Advantage é um pacote de segurança empresarial e suporte para infraestrutura e aplicativos de código aberto que inclui o seguinte:
Uma imagem endurecida CIS Nível 1 .
Agente de monitoramento antivírus que gera logs que você pode revisar.
Agente de monitoramento de integridade de arquivo que gera logs que você pode revisar.
Agentes de monitoramento em imagens do plano de computação do Databricks
Enquanto o monitoramento de segurança aprimorado estiver ativado, há agentes de monitoramento de segurança adicionais, incluindo dois agentes pré-instalados na imagem do plano compute aprimorado. O senhor não pode desativar os agentes de monitoramento que estão na imagem de disco do plano compute aprimorado.
Agente de monitoramento |
Localização |
Descrição |
Como obter a saída |
---|---|---|---|
Monitoramento de integridade de arquivos |
Imagem aprimorada do plano compute |
Monitora a integridade de arquivos e violações de limites de segurança. Este monitora a execução do agente na VM worker em seus clusters. |
Habilite a auditoria da log tabela do sistema e analise o site em busca logs de novas linhas. |
Detecção de antivírus e malware |
Imagem aprimorada do plano compute |
Verifica o sistema de arquivos em busca de vírus diariamente. Este agente monitora a execução nas VMs em seus recursos compute , como clusters e pro ou classic SQL warehouse. O agente de detecção de antivírus e malware verifica todo o sistema de arquivos do sistema operacional host e o sistema de arquivos do contêiner Databricks Runtime. Qualquer coisa fora das VMs clusters está fora de seu escopo de verificação. |
Habilite a auditoria da log tabela do sistema e analise o site em busca logs de novas linhas. |
Varredura de vulnerabilidade |
A varredura ocorre em imagens representativas nos ambientes Databricks. |
Examina o host do contêiner (VM) em busca de determinadas vulnerabilidades conhecidas e vulnerabilidades e exposições comuns (CVEs). |
Envie um e-mail para Databricks workspace admins. |
Para obter as versões mais recentes dos agentes de monitoramento, o senhor pode reiniciar os clusters. Se o seu workspace usa a atualização automática cluster , por default clusters reinicie se necessário durante as janelas de manutenção programadas. Se o perfil de segurançacompliance estiver ativado em um workspace, a atualização automática cluster estará permanentemente ativada nesse workspace.
Monitoramento de integridade de arquivos
A imagem aprimorada do plano compute inclui um serviço de monitoramento de integridade de arquivos que fornece visibilidade em tempo de execução e detecção de ameaças para compute recurso (clusters worker) no plano compute clássico em seu workspace.
A saída do monitor de integridade de arquivos é gerada nos logs de auditoria, que o senhor pode acessar com as tabelas do sistema. Consulte Monitorar o uso com tabelas do sistema. Para obter o esquema JSON de novos eventos auditáveis específicos do monitoramento de integridade de arquivos, consulte Eventos de monitoramento de integridade de arquivos.
Importante
É de sua responsabilidade revisar este site logs. A Databricks pode, a seu exclusivo critério, revisar o site logs, mas não se compromete a fazê-lo. Se o agente detectar uma atividade maliciosa, é sua responsabilidade fazer a triagem desses eventos e abrir um tíquete de suporte com a Databricks se a resolução ou correção exigir uma ação da Databricks. A Databricks poderá tomar medidas com base nesses logs, inclusive suspender ou encerrar o recurso, mas não se compromete a fazê-lo.
Detecção de antivírus e malware
A imagem aprimorada do plano compute inclui um mecanismo antivírus para detectar trojans, vírus, malware e outras ameaças maliciosas. O monitor antivírus verifica todo o sistema de arquivos do sistema operacional host e o sistema de arquivos do contêiner Databricks Runtime. Qualquer coisa fora das VMs clusters está fora do escopo de verificação.
A saída do monitor antivírus é gerada nos logs de auditoria, que o senhor pode acessar com as tabelas do sistema (Public Preview). Para obter o esquema JSON de novos eventos auditáveis específicos do monitoramento de antivírus, consulte Eventos de monitoramento de antivírus.
Quando uma nova imagem de máquina virtual é criada, os arquivos de assinatura atualizados são incluídos nela.
Importante
É de sua responsabilidade revisar este site logs. A Databricks pode, a seu exclusivo critério, revisar o site logs, mas não se compromete a fazê-lo. Se o agente detectar uma atividade maliciosa, é sua responsabilidade fazer a triagem desses eventos e abrir um tíquete de suporte com a Databricks se a resolução ou correção exigir uma ação da Databricks. A Databricks poderá tomar medidas com base nesses logs, inclusive suspender ou encerrar o recurso, mas não se compromete a fazê-lo.
Quando uma nova imagem AMI é criada, os arquivos de assinatura atualizados são incluídos na nova imagem AMI.
Varredura de vulnerabilidade
Um agente de monitoramento de vulnerabilidade realiza varreduras de vulnerabilidade do host do contêiner (VM) para determinados CVEs conhecidos. A varredura ocorre em imagens representativas nos ambientes Databricks. Os relatórios de varredura de vulnerabilidades são enviados por e-mail a todos os administradores do workspace quando o Databricks lança novas imagens de disco AMI.
Quando vulnerabilidades são encontradas com esse agente, a Databricks as rastreia em relação ao seu SLA de gerenciamento de vulnerabilidades e libera uma imagem atualizada quando disponível.
Gerenciamento e atualização de agentes de monitoramento
Os agentes de monitoramento adicionais que estão nas imagens de disco usadas para o recurso compute no plano compute clássico fazem parte do processo padrão do Databricks para atualização de sistemas:
A imagem de disco base (AMI) clássica do plano compute pertence, é gerenciada e corrigida pelo Databricks.
Databricks entrega e aplica patches de segurança lançando novas imagens de disco AMI. O programar de entrega depende de novas funcionalidades e do SLA para vulnerabilidades descobertas. A entrega típica é a cada duas a quatro semanas.
O sistema operacional básico para o plano de compute é o Ubuntu Advantage.
clusters Databricks e SQL warehouse profissional ou clássico são efêmeros por default. Após a inicialização, os clusters e SQL warehouse profissional ou clássico usam a imagem base mais recente disponível. Versões mais antigas que podem ter vulnerabilidades de segurança não estão disponíveis para novos clusters.
Você é responsável por reiniciar clusters (usando a UI ou API) regularmente para garantir que eles usem as imagens de VM do host corrigidas mais recentes.
Monitorar a rescisão do agente
Se um agente de monitoramento na VM do worker não estiver em execução devido a uma falha ou outro encerramento, o sistema tentará reiniciar o agente.
Política de retenção de dados para monitorar dados do agente
O monitoramento logs é enviado para a tabela do sistema de auditoria log ou para o seu próprio bucket Amazon S3 se o senhor tiver configurado a entrega de auditoria log . A retenção, a ingestão e a análise desses logs são de responsabilidade do senhor.
Os relatórios de varredura de vulnerabilidades e o site logs são retidos por pelo menos um ano pelo site Databricks.
Habilite o monitoramento de segurança aprimorado do Databricks
Seu Databricks workspace deve estar na camada Enterprise preços.
Sua account do Databricks deve incluir o complemento de Segurança Aprimorada e compliance . Para obter detalhes, consulte a página de preços.
Para ativar o monitoramento de segurança aprimorada diretamente em um workspace, consulte Ativar segurança aprimorada e compliance recurso em um workspaceexistente.
O senhor também pode definir um account-level default para o novo espaço de trabalho para ativar inicialmente o monitoramento de segurança aprimorado. Como alternativa, o senhor pode definir um account-level default para ativar o perfil de segurança compliance, que ativa automaticamente o monitoramento de segurança aprimorado. Consulte Definir account-level default para todos os novos espaços de trabalho.
As atualizações podem levar até seis horas para serem propagadas para todos os ambientes e para sistemas posteriores, como o de faturamento. As cargas de trabalho que estão sendo executadas ativamente continuam com as configurações que estavam ativas no momento da inicialização do cluster ou de outro compute recurso, e novas configurações começarão a ser aplicadas na próxima vez que essas cargas de trabalho forem iniciadas.