#Управление базовым уровнем сети в Network Graph

Alauda Security Service помогает снизить сетевые риски с помощью построения базового уровня сети. Этот подход изучает нормальные сетевые потоки для развертывания, а затем помечает отклонения как аномалии.

#Как работает построение базового уровня сети

При первой установке Alauda Security Service сетевой базовый уровень по умолчанию отсутствует. По мере наблюдения за сетевой активностью платформа автоматически добавляет обнаруженные потоки в базовый уровень на этапе наблюдения:

• Новые сетевые потоки добавляются в базовый уровень на этапе наблюдения.
• Эти потоки считаются нормальными и не вызывают никаких alerts или violations.

После этапа наблюдения:

• Alauda Security Service прекращает добавлять новые потоки в базовый уровень.
• Любой новый сетевой поток, которого нет в базовом уровне, помечается как аномальный, но по умолчанию не вызывает violations.

#Просмотр и управление базовыми уровнями сети

Вы можете просматривать и управлять базовыми уровнями сети в интерфейсе network graph.

#Шаги для просмотра базовых уровней

1. Нажмите раскрывающийся список Namespaces и выполните поиск или выберите namespaces.
2. Нажмите раскрывающийся список Deployments и выполните поиск или выберите deployments, которые нужно отобразить в network graph.
3. В network graph щелкните deployment, чтобы открыть его информационную панель.
4. Перейдите на вкладку Baseline. Используйте поле filter by entity name, чтобы сузить список отображаемых потоков.

#Пометка потоков базового уровня как аномальных

• Чтобы пометить один поток как аномальный, выберите entity, откройте меню overflow и выберите Mark as anomalous.
• Чтобы пометить несколько потоков, выберите их, нажмите Bulk actions и выберите Mark as anomalous.

#Дополнительные параметры

• Exclude ports and protocols: установите флажок, чтобы игнорировать сведения о портах и протоколах в базовом уровне.
• Download as network policy: нажмите Download baseline as network policy, чтобы экспортировать базовый уровень в виде YAML-файла.

#Загрузка базовых уровней сети

Вы можете экспортировать базовые уровни сети в виде YAML-файлов для дальнейшего использования.

Шаги:

1. В портале Alauda Security Service перейдите в Network Graph.
2. Выберите нужные namespaces и deployments.
3. На информационной панели deployment откройте вкладку Baseline.
4. (Необязательно) Отфильтруйте потоки или исключите ports/protocols.
5. Нажмите Download baseline as network policy.

#Настройка периода наблюдения базового уровня

Вы можете настроить, как долго Alauda Security Service наблюдает network flows перед окончательным формированием базового уровня, с помощью environment variables.

#Настройка environment variables

Задайте следующие variables в вашем deployment:

kubectl -n stackrox set env deploy/central ROX_NETWORK_BASELINE_OBSERVATION_PERIOD=<value>
kubectl -n stackrox set env deploy/central ROX_BASELINE_GENERATION_DURATION=<value>

• <value> должен быть допустимой единицей времени, например 300ms, 2h45m, -1.5h.
• Поддерживаемые единицы: ns, us/µs, ms, s, m, h.

#Включение alerts для аномальных сетевых потоков

Alauda Security Service можно настроить так, чтобы он создавал violations для аномальных сетевых потоков.

Шаги:

1. В network graph выберите нужные namespace и deployment.
2. Откройте вкладку Baseline на информационной панели deployment.
3. Включите параметр Alert on baseline violations.

• При включении аномальные потоки будут вызывать violations.
• Отключите этот параметр, чтобы перестать получать такие alerts.