Modos: Descubrir, Monitor y Proteger

Por defecto, SUSE® Security comienza en modo Descubrir. En este modo, SUSE® Security:

En modo Monitor, SUSE® Security monitorea las conversaciones y detecta violaciones en tiempo de ejecución de tu directiva de seguridad. En este modo, no se crean nuevas reglas por SUSE® Security, pero las reglas pueden ser añadidas manualmente en cualquier momento.

Cuando se detectan violaciones, son visibles en el mapa de Actividad de Red visualmente por una línea roja. Las violaciones también se registran y se muestran en la pestaña de Notificaciones. Las violaciones de reglas de perfil de proceso y acceso a archivos se registran en Notificaciones → Eventos de Seguridad.

En el mapa de Red puedes hacer clic en cualquier conversación (línea verde, amarilla, roja) para mostrar más detalles sobre el tipo de conexión y el protocolo monitoreado por última vez. También puedes usar los botones de Buscar y Filtrar por Grupo en la parte inferior derecha para reducir la visualización de tus contenedores.

En modo Proteger, SUSE® Security los ejecutores bloquearán (negarán) cualquier violación de red y ataques detectados. Las violaciones se muestran en el mapa de Red con un ‘x’ rojo en ellas, lo que significa que han sido bloqueadas. Los procesos no autorizados y el acceso a archivos también serán bloqueados en modo Proteger. Los sensores DLP que coincidan bloquearán las conexiones de red.

Si se descubren nuevos servicios por SUSE® Security, por ejemplo, si un contenedor previamente desconocido comienza a ejecutarse, se puede establecer en un modo predeterminado. En modo Descubrir, SUSE® Security comenzará a aprender su comportamiento y a construir Reglas. En Monitor, se generará una violación cuando se detecten conexiones al nuevo servicio. En Proteger, todas las conexiones al nuevo servicio serán bloqueadas a menos que las reglas se hayan creado previamente.

Hay una configuración global disponible en Configuración → para establecer por separado el modo de protección de red para la aplicación de reglas de red de la directiva. Activar esto (el valor predeterminado es desactivado) provoca que todas las reglas de red estén en el modo de protección seleccionado (Descubrir, Monitor, Proteger), mientras que las reglas de proceso/archivo permanecen en el modo de protección para ese Grupo, como se muestra en la pantalla de Grupos de Directiva →. De esta manera, las reglas de red pueden establecerse en Proteger (bloqueo), mientras que las reglas de proceso/archivo pueden establecerse en Monitor, o viceversa.

Promociona el Modo de protección de un Grupo basado en el tiempo transcurrido y criterios. Esta automatización no se aplica a Grupos creados por CRD. Esta función permite que una nueva aplicación se ejecute en Descubrir durante un período de tiempo, aprendiendo el comportamiento y SUSE® Security creando reglas de lista blanca para Red y Proceso, luego moviéndose automáticamente a Monitor, y luego a modo Proteger.

El criterio para pasar de modo Descubrir a Monitor es: tiempo transcurrido para aprender toda la actividad de red y proceso de al menos un pod activo en el Grupo. Por ejemplo, si esto se establece en 7 días, entonces 7 días después de que se detecte un pod en ejecución para el grupo, el modo se promocionará automáticamente a Monitor.

El criterio para pasar de modo Monitor a Proteger es: no hay eventos de seguridad (red, proceso, etc.) durante el período de tiempo establecido para el Grupo. Por ejemplo, si esto se establece en 14 días, entonces si no se desencadenan violaciones (red, proceso, archivo) durante 14 días (por ejemplo, el período de calma), entonces el modo se promociona automáticamente a Proteger. Si no hay pods en ejecución en el grupo, la promoción no se llevará a cabo.