Prozessprofilregeln

Dies ist der Standardmodus für Prozess- und Dateischutz. Zero-Drift erlaubt automatisch nur Prozesse, die vom übergeordneten Prozess stammen, der im ursprünglichen Container-Image enthalten ist, und erlaubt keine Dateiaktualisierungen oder die Installation neuer Dateien. Im Entdeckungs- oder Überwachungsmodus wird Zero-Drift bei verdächtigen Prozess- oder Dateiaktivitäten Alarm schlagen. Im Schutzmodus wird solche Aktivität blockiert. Zero-Drift erfordert nicht, dass Prozesse gelernt oder zu einer Erlaubenliste hinzugefügt werden. Das Deaktivieren von Zero-Drift für eine Gruppe bewirkt, dass die für die Gruppe aufgeführten Prozess- und Dateiregeln stattdessen wirksam werden.

Die Möglichkeit, den Zero-Drift-Modus zu aktivieren/deaktivieren, befindet sich in der Konsole in Richtlinie → Gruppen. Mehrere Gruppen können ausgewählt werden, um diese Einstellung für alle ausgewählten Gruppen umzuschalten.

Zero-Drift kann deaktiviert werden, wodurch auf den Basisprozessschutz umgeschaltet wird. Der Basisprozessschutz erzwingt die Prozess-/Dateiaktivität basierend auf den aufgeführten Prozess- und/oder Dateiregeln für jede Gruppe. Das bedeutet, dass eine Liste von Prozessregeln und/oder Dateiregeln vorhanden sein muss, damit der Schutz stattfinden kann. Regeln können während des Entdeckungsmodus durch Verhaltenslernen automatisch erstellt, manuell über die Konsole oder die REST-API erstellt oder programmgesteuert durch die Anwendung eines CRD erstellt werden. Mit aktiviertem Basismodus wird, wenn keine Regeln vorhanden sind, alle Aktivitäten im Überwachungs- oder Schutzmodus alarmiert/blockiert.

Prozessprofilregeln verwenden Baseline-Lernen, um die Prozesse zu profilieren, die in einer Gruppe von Containern (d.h. einer Gruppe) ausgeführt werden dürfen. Unter normalen Bedingungen in einer Microservices-Umgebung würden für Container mit einem bestimmten Image nur eine begrenzte Anzahl von Prozessen durch spezifische Benutzer ausgeführt. Wenn der Container angegriffen wird, würde der böswillige Angreifer wahrscheinlich einige neue Programme initiieren, die in diesem Container normalerweise nicht zu sehen sind. Diese nicht ordnungsgemäßen Ereignisse können durch SUSE® Security erkannt werden und es werden Warnungen und Maßnahmen generiert (siehe auch Reaktionsregeln).

Prozess-Baselineinformationen werden gelernt und aufgezeichnet, wenn die Dienstgruppe im Entdeckungsmodus (Lernmodus) ist. Im Überwachungs- oder Schutzmodus führt der Start eines bisher unbekannten Prozesses oder der Neustart eines bekannten Prozesses durch einen anderen Benutzer dazu, dass das Ereignis als verdächtiger Prozess erkannt und alarmiert (im Überwachungsmodus) beziehungsweise blockiert und alarmiert (im Schutzmodus) wird. Benutzer können das gelernte Profil manuell ändern, um Prozesse zuzulassen oder abzulehnen (Whitelist oder Blacklist), falls erforderlich.

Beachten Sie, dass zusätzlich zu den Basisprozessen SUSE® Security über eine integrierte Erkennung gängiger verdächtiger Prozesse wie nmap, Reverse-Shell usw. verfügt. Diese werden erkannt und alarmiert/blockiert, es sei denn, sie wurden ausdrücklich für jeden Containerdienst auf die Whitelist gesetzt.

Die spezielle reservierte Gruppe 'Knoten' kann konfiguriert werden, um Prozessprofilregeln für jeden Knoten (Host) im Cluster durchzusetzen. Wählen Sie die Gruppe 'Knoten' aus und überprüfen Sie die Prozessregeln und bearbeiten Sie diese bei Bedarf. Wechseln Sie dann den Schutzmodus auf Überwachen oder Schützen. Die 'lokale' (erlernte) Liste der Prozessregeln ist eine Kombination aller Prozesse von allen Knoten im Cluster während des Entdeckungsmodus.

Für benutzerdefinierte Gruppen müssen die Prozessregeln, falls gewünscht, manuell hinzugefügt werden. Benutzerdefinierte Gruppen lernen Prozessregeln nicht automatisch.

Prozessregeln können sowohl für benutzerdefinierte Gruppen als auch für automatisch erlernte Gruppen existieren. Regeln, die für benutzerdefinierte Gruppen erstellt wurden, haben Vorrang vor Regeln für automatisch erlernte Gruppen.

Für die Liste der Prozessregeln innerhalb einer Gruppe bestimmt die Reihenfolge der Regeln in der Konsole deren Vorrang. Die oben aufgeführten Regeln werden zuerst abgeglichen, bevor die darunter liegenden.

Prozessregeln mit Namen und Pfad, die beide Platzhalter enthalten, haben Vorrang vor anderen Regeln für die Erlauben-Aktion. Eine Verweigern-Aktion ist nicht erlaubt, wenn beide Platzhalter vorhanden sind, um zu vermeiden, dass alle Prozesse blockiert werden.

Prozessregeln mit einer Verweigern-Aktion und einem Platzhalter im Namen haben Vorrang vor Erlauben-Aktionen mit Platzhaltern im Namen.

Wenn a) der Prozess einer Verweigerungsregel entspricht oder b) der Prozess nicht in der Liste der Erlaubungsregeln enthalten ist, dann:

Mehrere Regeln können für denselben Prozess erstellt werden. Die Regeln werden nacheinander ausgeführt und die erste übereinstimmende Regel wird ausgeführt.

Beispiel: Um den Ping-Prozess aus jedem Verzeichnis auszuführen.

Verstöße werden in Benachrichtigungen → Sicherheitsereignisse protokolliert.

Die folgenden integrierten Erkennungen sind automatisch in SUSE® Security aktiviert.

Zusätzlich sind die folgenden Erkennungen aktiviert.

Verdächtige Prozesse werden im Entdeckungs- oder Überwachungsmodus gemeldet und im Schutzmodus blockiert. Die Erkennung gilt sowohl für Container als auch für Hosts, mit der Ausnahme von 'sshd', das auf Hosts nicht als verdächtig angesehen wird. Die oben aufgeführten Prozesse können zur Allowlist für Container (Gruppen) einschließlich Hosts hinzugefügt werden, wenn sie erlaubt sein sollen.