Monitoramento de segurança aprimorado

Este artigo descreve o recurso de monitoramento de segurança aprimorado e como configurá-lo em seu Databricks workspace ou account.

Visão geral do monitoramento de segurança aprimorado

Databricks O monitoramento de segurança aprimorado fornece uma imagem de disco reforçada e agentes de monitoramento de segurança adicionais que geram linhas log que o senhor pode analisar usando a auditoria logs.

Os aprimoramentos de segurança se aplicam apenas a compute recursos no plano compute clássico, como clusters e nãoserverless SQL warehouse.

serverless O depósito de SQL não tem monitoramento extra quando o monitoramento de segurança aprimorado está ativado.

O monitoramento de segurança aprimorado inclui:

  • Uma imagem de sistema operacional reforçada e aprimorada baseada no Ubuntu Advantage.

    O Ubuntu Advantage é um pacote de segurança empresarial e suporte para infraestrutura e aplicativos de código aberto que inclui o seguinte:

  • Agente de monitoramento antivírus que gera logs que você pode revisar.

  • Agente de monitoramento de integridade de arquivo que gera logs que você pode revisar.

Agentes de monitoramento em imagens do plano de computação do Databricks

Enquanto o monitoramento de segurança aprimorado estiver ativado, há agentes de monitoramento de segurança adicionais, incluindo dois agentes pré-instalados na imagem do plano compute aprimorado. O senhor não pode desativar os agentes de monitoramento que estão na imagem de disco do plano compute aprimorado.

Agente de monitoramento

Localização

Descrição

Como obter a saída

Monitoramento de integridade de arquivos

Imagem aprimorada do plano compute

Monitora a integridade de arquivos e violações de limites de segurança. Este monitora a execução do agente na VM worker em seus clusters.

Ative a tabela do sistema de log de auditoria e revise os logs em busca de novas linhas.

Detecção de antivírus e malware

Imagem aprimorada do plano compute

Verifica o sistema de arquivos em busca de vírus diariamente. Este agente monitora a execução nas VMs em seus recursos compute , como clusters e pro ou classic SQL warehouse. O agente de detecção de antivírus e malware verifica todo o sistema de arquivos do sistema operacional host e o sistema de arquivos do contêiner Databricks Runtime. Qualquer coisa fora das VMs clusters está fora de seu escopo de verificação.

Ative a tabela do sistema de log de auditoria e revise os logs em busca de novas linhas.

Varredura de vulnerabilidade

A varredura ocorre em imagens representativas nos ambientes Databricks.

Examina o host do contêiner (VM) em busca de determinadas vulnerabilidades e CVEs conhecidos.

Solicite relatórios de verificação da imagem à sua equipe account do Databricks.

Para obter as versões mais recentes dos agentes de monitoramento, o senhor pode reiniciar os clusters. Se o seu workspace usa a atualização automática de clusters, o default reiniciará os clusters, se necessário, durante as janelas de manutenção programadas. Se o perfil de segurançacompliance estiver ativado em um workspace, a atualização automática de clusters estará permanentemente ativada nesse workspace.

Monitoramento de integridade de arquivos

A imagem aprimorada do plano compute inclui um serviço de monitoramento de integridade de arquivos que fornece visibilidade em tempo de execução e detecção de ameaças para compute recurso (clusters worker) no plano compute clássico em seu workspace.

A saída do monitor de integridade de arquivos é gerada nos logs de auditoria, que o senhor pode acessar com as tabelas do sistema. Consulte Monitorar o uso com tabelas do sistema. Para obter o esquema JSON de novos eventos auditáveis específicos do monitoramento de integridade de arquivos, consulte Eventos de monitoramento de integridade de arquivos.

Importante

É de sua responsabilidade revisar este site logs. A Databricks pode, a seu exclusivo critério, revisar o site logs, mas não se compromete a fazê-lo. Se o agente detectar uma atividade maliciosa, é sua responsabilidade fazer a triagem desses eventos e abrir um tíquete de suporte com a Databricks se a resolução ou correção exigir uma ação da Databricks. A Databricks poderá tomar medidas com base nesses logs, inclusive suspender ou encerrar o recurso, mas não se compromete a fazê-lo.

Detecção de antivírus e malware

A imagem aprimorada do plano compute inclui um mecanismo antivírus para detectar trojans, vírus, malware e outras ameaças maliciosas. O monitor antivírus verifica todo o sistema de arquivos do sistema operacional host e o sistema de arquivos do contêiner Databricks Runtime. Qualquer coisa fora das VMs clusters está fora do escopo de verificação.

A saída do monitor antivírus é gerada nos logs de auditoria, que você pode acessar com tabelas do sistema (Visualização Pública). Para obter o esquema JSON para novos eventos auditáveis específicos do monitoramento de antivírus, consulte Eventos de monitoramento de antivírus.

Quando uma nova imagem de máquina virtual é criada, os arquivos de assinatura atualizados são incluídos nela.

Importante

É de sua responsabilidade revisar este site logs. A Databricks pode, a seu exclusivo critério, revisar o site logs, mas não se compromete a fazê-lo. Se o agente detectar uma atividade maliciosa, é sua responsabilidade fazer a triagem desses eventos e abrir um tíquete de suporte com a Databricks se a resolução ou correção exigir uma ação da Databricks. A Databricks poderá tomar medidas com base nesses logs, inclusive suspender ou encerrar o recurso, mas não se compromete a fazê-lo.

Quando uma nova imagem AMI é criada, os arquivos de assinatura atualizados são incluídos na nova imagem AMI.

Varredura de vulnerabilidade

Um agente de monitoramento de vulnerabilidade realiza varreduras de vulnerabilidade do host do contêiner (VM) para determinados CVEs conhecidos. A varredura ocorre em imagens representativas nos ambientes Databricks. O senhor pode solicitar os relatórios de varredura de vulnerabilidade à equipe Databricks account .

Quando vulnerabilidades são encontradas com esse agente, a Databricks as rastreia em relação ao seu SLA de gerenciamento de vulnerabilidades e libera uma imagem atualizada quando disponível.

Gerenciamento e atualização de agentes de monitoramento

Os agentes de monitoramento adicionais que estão nas imagens de disco usadas para o recurso compute no plano compute clássico fazem parte do processo padrão do Databricks para atualização de sistemas:

  • A imagem de disco base (AMI) clássica do plano compute pertence, é gerenciada e corrigida pelo Databricks.

  • Databricks entrega e aplica patches de segurança lançando novas imagens de disco AMI. O programar de entrega depende de novas funcionalidades e do SLA para vulnerabilidades descobertas. A entrega típica é a cada duas a quatro semanas.

  • O sistema operacional básico para o plano de compute é o Ubuntu Advantage.

  • clusters Databricks e SQL warehouse profissional ou clássico são efêmeros por default. Após a inicialização, os clusters e SQL warehouse profissional ou clássico usam a imagem base mais recente disponível. Versões mais antigas que podem ter vulnerabilidades de segurança não estão disponíveis para novos clusters.

    • Você é responsável por reiniciar clusters (usando a UI ou API) regularmente para garantir que eles usem as imagens de VM do host corrigidas mais recentes.

Monitorar a rescisão do agente

Se um agente de monitoramento na VM do worker não estiver em execução devido a uma falha ou outro encerramento, o sistema tentará reiniciar o agente.

Política de retenção de dados para monitorar dados do agente

Os logs de monitoramento serão enviados para a tabela do sistema de logs de auditoria ou para seu próprio bucket do Amazon S3 se você tiver configurado a entrega de logs de auditoria. A retenção, ingestão e análise desses logs é de sua responsabilidade.

Os relatórios e logs de verificação de vulnerabilidades são retidos durante pelo menos um ano pela Databricks. Você pode solicitar os relatórios de vulnerabilidade da equipe da sua account do Databricks.

Habilite o monitoramento de segurança aprimorado do Databricks

  • Seu Databricks workspace deve estar na camada Enterprise preços.

  • Sua account do Databricks deve incluir o complemento de Segurança Aprimorada e compliance . Para obter detalhes, consulte a página de preços.

Para ativar o monitoramento de segurança aprimorada diretamente em um workspace, consulte Ativar segurança aprimorada e compliance recurso em um workspace.

O senhor também pode definir um account-level default para o novo espaço de trabalho a fim de ativar inicialmente o monitoramento de segurança aprimorado. Como alternativa, o senhor pode definir um account-level default para ativar o perfil de segurança compliance, que ativa automaticamente o monitoramento de segurança aprimorado. Consulte Definir padrão em nível de conta para o novo espaço de trabalho.

As atualizações podem levar até seis horas para serem propagadas para todos os ambientes e para sistemas posteriores, como o de faturamento. As cargas de trabalho que estão sendo executadas ativamente continuam com as configurações que estavam ativas no momento da inicialização do cluster ou de outro compute recurso, e novas configurações começarão a ser aplicadas na próxima vez que essas cargas de trabalho forem iniciadas.