Règles de profil de processus

C’est le mode par défaut pour les protections de processus et de fichiers. Le Zero-drift autorise automatiquement uniquement les processus qui proviennent du processus parent qui se trouve dans l’image de conteneur d’origine, et n’autorise pas les mises à jour de fichiers ou l’installation de nouveaux fichiers. En mode Découverte ou Surveillance, le Zero-drift alertera sur toute activité de processus ou de fichier suspecte. En mode Protect, il bloquera une telle activité. Le Zero-drift ne nécessite pas que les processus soient appris ou ajoutés à une liste d’autorisation. Désactiver le Zero-drift pour un groupe entraînera l’application des règles de processus et de fichiers énumérées pour ce groupe.

La possibilité d’activer/désactiver le mode Zero-drift se trouve dans la console dans les groupes de stratégie →. Plusieurs groupes peuvent être sélectionnés pour activer ou désactiver ce paramètre pour tous les groupes sélectionnés.

Le Zero-drift peut être désactivé, passant à la protection de processus de base. La protection de base impose une activité de processus/fichier basée sur les règles de processus et/ou de fichiers énumérées pour chaque groupe. Cela signifie qu’il doit y avoir une liste de règles de processus et/ou de règles de fichiers en place pour que la protection ait lieu. Les règles peuvent être créées automatiquement grâce à l’apprentissage comportemental en mode Découverte, créées manuellement via la console ou l’API REST, ou créées par programmation en appliquant un CRD. Avec la protection de base activée, s’il n’y a pas de règles en place, toute activité sera alertée/bloquée en mode Surveillance ou Protection.

Les règles de profil de processus utilisent l’apprentissage de référence pour profiler les processus qui devraient être autorisés à s’exécuter dans un groupe de conteneurs (c’est-à-dire un groupe). Dans des conditions normales dans un environnement de microservices, pour les conteneurs avec une image particulière, seuls un ensemble limité de processus par des utilisateurs spécifiques s’exécuteraient. Si le conteneur est attaqué, l’attaquant malveillant initiera probablement de nouveaux programmes rarement vus dans ce conteneur. Ces événements anormaux peuvent être détectés par SUSE® Security et des alertes et actions générées (voir aussi Règles de réponse).

Les informations de référence des processus seront apprises et enregistrées lorsque le groupe de services est en mode Découverte (apprentissage). Lorsqu’il est en mode Surveillance ou Protection, si un processus qui n’a pas été vu auparavant est nouvellement démarré, ou si un ancien processus est démarré par un utilisateur différent de celui d’avant, l’événement sera détecté et alerté comme un processus suspect en mode Surveillance ou alerté et bloqué en mode Protection. Les utilisateurs peuvent modifier le profil appris pour autoriser ou refuser (liste blanche ou liste noire) des processus manuellement si nécessaire.

Notez qu’en plus des processus de référence, SUSE® Security dispose d’une détection intégrée des processus suspects courants tels que nmap, shell inversé, etc. Ces derniers seront détectés et alertés/bloqués à moins d’être explicitement mis sur liste blanche pour chaque service de conteneur.

Le groupe spécial réservé 'nœuds' peut être configuré pour appliquer des règles de profil de processus sur chaque nœud (hôte) dans le cluster. Sélectionnez le groupe 'nœuds' et examinez les règles de processus, en les modifiant si nécessaire. Ensuite, passez en mode Surveillance ou Protection. La liste des règles de processus 'locales' (apprises) est une combinaison de tous les processus de tous les nœuds dans le cluster en mode Découverte.

Pour les groupes personnalisés définis par l’utilisateur, les règles de processus, si désirées, doivent être ajoutées manuellement. Les groupes personnalisés n’apprennent pas automatiquement les règles de processus.

Des règles de processus peuvent exister pour les groupes personnalisés définis par l’utilisateur ainsi que pour les groupes appris automatiquement. Les règles créées pour les groupes personnalisés ont la priorité sur les règles des groupes appris automatiquement.

Pour la liste des règles de processus au sein de tout groupe, l’ordre des règles dans la console détermine leur priorité. Les règles les plus hautes listées sont vérifiées en premier avant celles qui se trouvent en dessous.

Les règles de processus avec un nom et un chemin contenant tous deux des caractères génériques ont la priorité sur d’autres règles pour l’action Autoriser. Une action Refuser n’est pas autorisée avec des caractères génériques pour éviter de bloquer tous les processus.

Les règles de processus avec une action Refuser et un caractère générique dans le nom auront la priorité sur les actions Autoriser avec un caractère générique dans le nom.

Si a) le processus correspond à une règle de refus, ou b) le processus n’est pas dans la liste des règles autorisées, alors :

Plusieurs règles peuvent être créées pour le même processus. Les règles sont exécutées séquentiellement et la première règle correspondante sera exécutée.

Exemple : Pour autoriser le processus ping à s’exécuter depuis n’importe quel répertoire

Les violations seront enregistrées dans Notifications → Événements de sécurité.

Les détections intégrées suivantes sont automatiquement activées dans SUSE® Security.

De plus, les détections suivantes sont activées :

Les processus suspects sont signalés lorsqu’ils sont en mode Découverte ou Surveillance, et bloqués lorsqu’ils sont en mode Protection. La détection s’applique aux conteneurs ainsi qu’aux hôtes, à l’exception de 'sshd' qui n’est pas considéré comme suspect sur les hôtes. Les processus énumérés ci-dessus peuvent être ajoutés à la liste d’autorisation pour les conteneurs (Groupes) y compris les hôtes s’ils doivent être autorisés.