#网络图中的网络基线管理

Alauda 容器安全通过使用网络基线帮助您最小化网络风险。这种主动的方法通过学习正常的网络流量并将任何偏差识别为异常，从而保护您的基础设施。

#网络基线的工作原理

当您首次安装 Alauda 容器安全时，默认情况下没有网络基线。随着 Alauda 容器安全观察网络活动，它会自动将发现的网络流量添加到基线中：

• 在观察阶段，新的网络流量会被添加到基线中。
• 这些流量被视为正常，不会触发任何告警或违规。

在观察阶段结束后：

• Alauda 容器安全停止将新流量添加到基线中。
• 任何不在基线中的新网络流量将被标记为异常，但默认情况下不会触发违规。

#查看和管理网络基线

您可以在网络图界面中查看和管理网络基线。

#查看基线的步骤

1. 点击 Namespaces 下拉菜单，搜索或选择命名空间。
2. 点击 Deployments 下拉菜单，搜索或选择要在网络图中显示的部署。
3. 在网络图中，点击一个部署以打开其信息面板。
4. 转到 Baseline 标签。使用 filter by entity name 字段来缩小显示的流量。

#将基线流量标记为异常

• 要将单个流量标记为异常，选择该实体，点击溢出菜单，然后选择 Mark as anomalous。
• 要标记多个流量，选择它们，点击 Bulk actions，然后选择 Mark as anomalous。

#其他选项

• 排除端口和协议：勾选此框以忽略基线中的端口和协议信息。
• 下载为网络策略：点击 Download baseline as network policy 将基线导出为 YAML 文件。

#下载网络基线

您可以将网络基线导出为 YAML 文件以供进一步使用。

步骤：

1. 在 Alauda 容器安全门户中，转到 Network Graph。
2. 选择所需的命名空间和部署。
3. 在部署的信息面板中，打开 Baseline 标签。
4. （可选）过滤流量或排除端口/协议。
5. 点击 Download baseline as network policy。

#配置基线观察期

您可以通过环境变量调整 Alauda 容器安全观察网络流量的时间长度，然后再最终确定基线。

#设置环境变量

在您的部署中设置以下变量：

kubectl -n stackrox set env deploy/central ROX_NETWORK_BASELINE_OBSERVATION_PERIOD=<value>
kubectl -n stackrox set env deploy/central ROX_BASELINE_GENERATION_DURATION=<value>

• <value> 必须是有效的时间单位，例如 300ms、2h45m、-1.5h。
• 支持的单位：ns、us/µs、ms、s、m、h。

#启用异常网络流的告警

可以配置 Alauda 容器安全以对异常网络流（不在基线中的流量）触发违规。

步骤：

1. 在网络图中，选择所需的命名空间和部署。
2. 在部署的信息面板中打开 Baseline 标签。
3. 切换 Alert on baseline violations 选项。

• 启用时，异常流将触发违规。
• 切换关闭以停止接收此类告警。