Modi: Entdecken, Überwachen, Schützen

Standardmäßig startet SUSE® Security im Entdeckungsmodus. In diesem Modus SUSE® Security:

Im Überwachungsmodus SUSE® Security überwacht Gespräche und erkennt Laufzeitverstöße Ihrer Sicherheitsrichtlinie. In diesem Modus werden keine neuen Regeln von SUSE® Security erstellt, aber Regeln können jederzeit manuell hinzugefügt werden.

Wenn Verstöße erkannt werden, sind sie im Netzwerkaktivitätsdiagramm visuell durch eine rote Linie sichtbar. Verstöße werden auch protokolliert und im Benachrichtigungsbereich angezeigt. Verstöße gegen Prozessprofilregeln und Dateizugriffe werden in den Benachrichtigungen → Sicherheitsereignisse protokolliert.

Im Netzwerkdiagramm können Sie auf jedes Gespräch (grüne, gelbe, rote Linie) klicken, um weitere Details über die Art der Verbindung und das zuletzt überwachte Protokoll anzuzeigen. Sie können auch die Schaltflächen Suchen und Filtern nach Gruppen in der unteren rechten Ecke verwenden, um die Anzeige Ihrer Container einzugrenzen.

Im Schutzmodus blockiert SUSE® Security Verstöße und Angriffe, die erkannt werden. Verstöße werden im Netzwerkdiagramm mit einer roten ‘x’ angezeigt, was bedeutet, dass sie blockiert wurden. Unbefugte Prozesse und Dateizugriffe werden ebenfalls im Schutzmodus blockiert. DLP-Sensoren, die übereinstimmen, blockieren Netzwerkverbindungen.

Wenn neue Dienste von SUSE® Security entdeckt werden, zum Beispiel wenn ein zuvor unbekannter Container zu laufen beginnt, kann er auf einen Standardmodus eingestellt werden. Im Entdeckungsmodus wird SUSE® Security beginnen, sein Verhalten zu lernen und Regeln zu erstellen. Im Überwachungsmodus wird ein Verstoß erzeugt, wenn Verbindungen zum neuen Dienst erkannt werden. Im Schutzmodus werden alle Verbindungen zum neuen Dienst blockiert, es sei denn, die Regeln wurden zuvor erstellt.

Es gibt eine globale Einstellung in den Einstellungen → Konfiguration, um den Netzwerk-Schutzmodus separat für die Durchsetzung von Netzwerkregeln festzulegen. Wenn dies aktiviert ist (Standard ist deaktiviert), werden alle Netzwerkregeln in den ausgewählten Schutzmodus (Entdecken, Überwachen, Schützen) versetzt, während Prozess-/Dateiregeln im Schutzmodus für diese Gruppe bleiben, wie in der Registerkarte Richtlinie → Gruppen angezeigt. Auf diese Weise können Netzwerkregeln auf den Schutzmodus (Blockierung) eingestellt werden, während die Prozess-/Dateirichtlinie auf den Überwachungsmodus eingestellt werden kann, oder umgekehrt.

Befördert den Schutzmodus einer Gruppe basierend auf der verstrichenen Zeit und Kriterien. Diese Automatisierung gilt nicht für CRD-erstellte Gruppen. Dieses Feature ermöglicht es einer neuen Anwendung, eine Zeit lang im Entdeckungsmodus zu laufen, das Verhalten zu erlernen und SUSE® Security Whitelist-Regeln für Netzwerk und Prozess zu erstellen, und anschließend automatisch in den Überwachungs- und dann in den Schutzmodus zu wechseln.

Das Kriterium für den Wechsel vom Entdeckungs- in den Überwachungsmodus ist: verstrichene Zeit zum Lernen aller Netzwerk- und Prozessaktivitäten von mindestens einem aktiven Pod in der Gruppe. Wenn dies beispielsweise auf 7 Tage eingestellt ist, wird der Modus 7 Tage nach der Erkennung eines laufenden Pods für die Gruppe automatisch auf den Überwachungsmodus befördert.

Das Kriterium für den Wechsel vom Überwachungs- in den Schutzmodus ist: Es gibt keine Sicherheitsereignisse (Netzwerk, Prozess usw.) für den für die Gruppe festgelegten Zeitraum. Wenn dies beispielsweise auf 14 Tage eingestellt ist, wird der Modus automatisch auf den Schutzmodus befördert, wenn innerhalb von 14 Tagen keine Verstöße (Netzwerk, Prozess, Datei) ausgelöst werden (z. B. die ruhige Periode). Wenn keine laufenden Pods in der Gruppe vorhanden sind, erfolgt die Beförderung nicht.