Reglas del Perfil de Proceso

Este es el modo predeterminado para las protecciones de procesos y archivos. Zero-drift permite automáticamente solo los procesos que se originan del proceso padre que está en la imagen original del contenedor, y no permite actualizaciones de archivos ni la instalación de nuevos archivos. Cuando esté en modo Descubrimiento o Monitorización, zero-drift alertará sobre cualquier actividad sospechosa de procesos o archivos. En modo de Protección, bloqueará dicha actividad. Zero-drift no requiere que los procesos sean aprendidos o añadidos a una lista de permitidos. Desactivar zero-drift para un grupo hará que las reglas de proceso y archivo listadas para el grupo entren en efecto en su lugar.

La capacidad de habilitar/deshabilitar el modo cero-drift se encuentra en la consola en Grupos de Políticas →. Se pueden seleccionar múltiples grupos para alternar esta configuración para todos los grupos seleccionados.

El cero-drift se puede deshabilitar, cambiando a la protección de proceso básica. La protección básica aplica la actividad de procesos/archivos basada en las reglas de procesos y/o archivos listadas para cada Grupo. Esto significa que debe haber una lista de reglas de procesos y/o reglas de archivos en su lugar para que ocurra la protección. Las reglas pueden crearse automáticamente mediante el Aprendizaje Comportamental mientras se encuentra en modo Descubrimiento, crearse manualmente a través de la consola o la API REST, o crearse programáticamente al aplicar un CRD. Con la protección básica habilitada, si no hay reglas en su lugar, toda actividad será alertada o bloqueada mientras se encuentre en los modos Monitorización o Protección.

Las reglas del perfil de proceso utilizan el aprendizaje base para determinar qué procesos deben estar permitidos para ejecutarse en un grupo de contenedores (es decir, un Grupo). En condiciones normales, en un entorno de microservicios para contenedores con una imagen determinada, solo se ejecutarían un conjunto limitado de procesos de usuarios específicos. Si el contenedor es atacado, el atacante malicioso probablemente iniciaría algunos nuevos programas que comúnmente no se ven en este contenedor. Estos eventos anormales pueden ser detectados por SUSE® Security y se generarán alertas y acciones (ver también Reglas de Respuesta).

La información de referencia del proceso se aprenderá y registrará cuando el grupo de servicio esté en modo Descubrimiento (modo de aprendizaje). Cuando se encuentre en modo Monitorización o Protección, si se inicia un proceso que no se ha visto antes, o si un proceso antiguo es iniciado por un usuario distinto al anterior, se detectará el evento y se alertará como un proceso sospechoso en modo Monitorización o se alertará y bloqueará en modo Protección. Los usuarios pueden modificar el perfil aprendido para permitir o denegar (lista blanca o lista negra) procesos manualmente si es necesario.

Tenga en cuenta que, además de los procesos de referencia, SUSE® Security tiene detección integrada de procesos sospechosos comunes como nmap, shell inverso, etc. Estos serán detectados y alertados/bloqueados a menos que se incluyan explícitamente en la lista blanca para cada servicio de contenedor.

El grupo reservado especial 'nodos' puede configurarse para hacer cumplir las reglas del perfil de proceso en cada nodo (host) del clúster. Selecciona el grupo 'nodos' y revisa las reglas de proceso, editando si es necesario. Luego cambia el modo de protección a Monitorización o Protección. La lista de reglas de proceso 'local' (aprendida) es una combinación de todos los procesos de todos los nodos en el clúster mientras está en modo Descubrimiento.

Para los Grupos personalizados definidos por el usuario, las reglas de proceso, si se desea, deben añadirse manualmente. Los Grupos personalizados no aprenden reglas de proceso automáticamente.

Las reglas de proceso pueden existir para Grupos personalizados definidos por el usuario así como para Grupos aprendidos automáticamente. Las reglas creadas para Grupos personalizados tienen precedencia sobre las reglas para Grupos aprendidos automáticamente.

Para la lista de reglas de proceso dentro de cualquier Grupo, el orden de las reglas en la consola determina su precedencia. Las reglas superiores listadas se comparan primero antes que las que están por debajo.

Las reglas de proceso con nombre y vía que contienen comodines tienen precedencia sobre otras reglas para la acción Permitir. No se permite una acción Denegar con ambos comodines para evitar bloquear todos los procesos.

Las reglas de proceso con una acción Denegar y comodín en el nombre tendrán precedencia sobre las acciones Permitir con comodín en el nombre.

Si a) el proceso coincide con una regla de denegar, o b) el proceso no está en la lista de reglas de permitir, entonces:

Se pueden crear múltiples reglas para el mismo proceso. Las reglas se ejecutan secuencialmente y la primera regla que coincida será ejecutada.

Ejemplo: Para permitir que el proceso ping se ejecute desde cualquier directorio

Las violaciones se registrarán en Notificaciones → Eventos de Seguridad.

Las siguientes detecciones integradas están habilitadas automáticamente en SUSE® Security.

Además, las siguientes detecciones están habilitadas:

Los procesos sospechosos generan alertas cuando se encuentran en modo Descubrimiento o Monitorización, y se bloquean en modo Protección. La detección se aplica a contenedores así como a hosts, con la excepción de 'sshd' que no se considera sospechoso en hosts. Los procesos listados anteriormente pueden añadirse a la lista de permisos para contenedores (grupos), incluyendo los hosts, si se deben permitir.