Modes : Découvrir, Surveiller, Protéger

Par défaut, SUSE® Security commence en mode Découverte. Dans ce mode, SUSE® Security :

En mode Surveillance, SUSE® Security surveille les conversations et détecte les violations de votre Stratégie de Sécurité en temps réel. Dans ce mode, aucune nouvelle règle n’est créée par SUSE® Security, mais des règles peuvent être ajoutées manuellement à tout moment.

Lorsque des violations sont détectées, elles sont visibles sur la carte d’Activité Réseau par une ligne rouge. Les violations sont également enregistrées et affichées dans l’onglet Notifications. Les violations de règles de profil de processus et d’accès aux fichiers sont enregistrées dans les Notifications → Événements de Sécurité.

Dans la carte Réseau, vous pouvez cliquer sur n’importe quelle conversation (ligne verte, jaune, rouge) pour afficher plus de détails sur le type de connexion et le protocole surveillé en dernier. Vous pouvez également utiliser les boutons Rechercher et Filtrer par Groupe en bas à droite pour affiner l’affichage de vos conteneurs.

En mode Protection, SUSE® Security les agents bloqueront (refuseront) toutes les violations et attaques réseau détectées. Les violations sont affichées sur la carte Réseau avec un ‘x’ rouge, ce qui signifie qu’elles ont été bloquées. Les processus non autorisés et l’accès aux fichiers seront également bloqués en mode Protection. Les capteurs DLP qui correspondent bloqueront les connexions réseau.

Si de nouveaux services sont découverts par SUSE® Security, par exemple, si un conteneur précédemment inconnu commence à fonctionner, il peut être défini sur un mode par défaut. En mode Découverte, SUSE® Security commencera à apprendre son comportement et à établir des règles. En mode Surveillance, une violation sera générée lorsque des connexions au nouveau service seront détectées. En mode Protection, toutes les connexions au nouveau service seront bloquées à moins que les règles n’aient été créées au préalable.

Il existe un paramètre global disponible dans Paramètres → Configuration pour définir séparément le mode de protection du réseau pour l’application des règles réseau. L’activation de cette option (par défaut désactivée) entraîne que toutes les règles réseau se voient appliquer le mode de protection sélectionné (Découverte, Surveillance, Protection), tandis que les règles de processus/fichier restent dans le mode de protection pour ce groupe, comme affiché dans l’onglet Groupes de la stratégie →. De cette manière, les règles réseau peuvent être définies sur Protection (blocage), tandis que la stratégie de processus/fichier peut être définie sur Surveillance, ou vice versa.

Promeut le mode de protection d’un groupe en fonction du temps écoulé et des critères. Cette automatisation ne s’applique pas aux groupes créés par CRD. Cette fonctionnalité permet à une nouvelle application de fonctionner en mode Découverte pendant une certaine période, apprenant le comportement et SUSE® Security créant des règles de liste blanche pour le réseau et le processus, puis passant automatiquement en mode Surveillance, puis en mode Protection.

Le critère pour passer du mode Découverte au mode Surveillance est : le temps écoulé pour apprendre toute l’activité réseau et de processus d’au moins un pod actif dans le groupe. Par exemple, si cela est réglé sur 7 jours, alors 7 jours après qu’un pod en cours d’exécution pour le groupe soit détecté, le mode sera automatiquement promu à Surveillance.

Le critère pour passer du mode Surveillance au mode Protection est : il n’y a aucun événement de sécurité (réseau, processus, etc.) pour la période de temps définie pour le groupe. Par exemple, si cela est réglé sur 14 jours, alors si aucune violation (réseau, processus, fichier) n’est déclenchée pendant 14 jours (par exemple, la période de calme), alors le mode est automatiquement promu à Protection. S’il n’y a pas de pods en cours d’exécution dans le groupe, la promotion ne se produira pas.