Modos: Descobrir, Monitorar, Proteger

Por padrão, SUSE® Security começa no modo Descobrir. Neste modo, SUSE® Security:

No modo Monitor, SUSE® Security monitora conversas e detecta violações em tempo de execução da sua Política de Segurança. Neste modo, nenhuma nova regra é criada por SUSE® Security, mas regras podem ser adicionadas manualmente a qualquer momento.

Quando violações são detectadas, elas são visíveis no mapa de Atividade da Rede visualmente por uma linha vermelha. As violações também são registradas e exibidas na aba de Notificações. Regras de Arquivo de Controle de Processo e violações de acesso a arquivos são registradas nas Notificações → Eventos de Segurança.

No mapa da Rede, você pode clicar em qualquer conversa (linha verde, amarela ou vermelha) para exibir mais detalhes sobre o tipo de conexão e o protocolo monitorado por último. Você também pode usar os botões de Pesquisa e Filtrar por Grupo no canto inferior direito para restringir a exibição dos seus contêineres.

No modo Proteger, SUSE® Security aplicadores bloquearão (negarão) quaisquer violações de rede e ataques detectados. As violações são mostradas no mapa da Rede com um ‘x’ vermelho nelas, significando que foram bloqueadas. Processos não autorizados e acessos a arquivos também serão bloqueados no modo Proteger. Sensores DLP que correspondam bloquearão conexões de rede.

Se novos serviços forem descobertos pelo SUSE® Security, por exemplo, um contêiner anteriormente desconhecido começar a ser executado, ele pode ser definido para um modo padrão. No modo Descobrir, SUSE® Security começará a aprender seu comportamento e construir Regras. No modo Monitor, uma violação será gerada quando conexões com o novo serviço forem detectadas. No modo Proteger, todas as conexões com o novo serviço serão bloqueadas, a menos que as regras tenham sido criadas anteriormente.

Há uma configuração global disponível em Configurações → para definir separadamente o modo de proteção de rede para a aplicação das regras de rede. Ativar isso (o padrão é desativado) faz com que todas as regras de rede estejam no modo de proteção selecionado (Descobrir, Monitorar, Proteger), enquanto as regras de processo/arquivo permanecem no modo de proteção para aquele Grupo, conforme exibido na tela de Grupos da Política →. Dessa forma, as regras de rede podem ser definidas para Proteger (bloqueio), enquanto a política de processo/arquivo pode ser definida para Monitorar, ou vice-versa.

Promove o Modo de proteção de um Grupo com base no tempo decorrido e critérios. Essa automação não se aplica a Grupos criados por CRD. Esse recurso permite que um novo aplicativo funcione em Descobrir por um determinado período, aprendendo o comportamento e SUSE® Security criando regras de lista de permissão para Rede e Processo, e então movendo-se automaticamente para o modo Monitorar, e depois Proteger.

O critério para mover do modo Descobrir para o modo Monitorar é: tempo decorrido para aprender toda a atividade de rede e processo de pelo menos um pod ativo no Grupo. Por exemplo, se isso estiver definido para 7 dias, então 7 dias após um pod em execução para o grupo ser detectado, o modo será promovido automaticamente para Monitorar.

O critério para mover do modo Monitorar para o modo Proteger é: não há eventos de segurança (rede, processo etc.) para o período definido para o Grupo. Por exemplo, se isso estiver definido para 14 dias, então se nenhuma violação (rede, processo, arquivo) for acionada por 14 dias (por exemplo, o período silencioso), então o modo é promovido automaticamente para Proteger. Se não houver pods em execução no grupo, a promoção não ocorrerá.