Alauda Security Service
  • Русский

    • Использование базовой линии процессов

    Создание базовой линии процессов в Alauda Security Service помогает защитить вашу среду, изучая, какие процессы обычно запускаются в ваших контейнерах, и выделяя или принудительно применяя отклонения от этой базовой линии.

    Содержание

    Что такое базовая линия процессов?Состояния базовой линииUnlockedLockedУправление базовыми линиями процессовПросмотр базовых линийДобавление процессаУдаление процессаБлокировка/разблокировка базовой линии

    Что такое базовая линия процессов?

    При развертывании Alauda Security Service базовая линия процессов по умолчанию отсутствует. По мере обнаружения развертываний для каждого типа контейнера автоматически создается базовая линия процессов, которая заполняется на основе наблюдаемой активности процессов.

    Состояния базовой линии

    Unlocked

    • В течение первоначального обнаружения (первый час) базовые линии находятся в состоянии Unlocked.
    • Новые процессы автоматически добавляются в базовую линию и не вызывают риски или нарушения.
    • По истечении одного часа новые процессы помечаются как риски, но не вызывают нарушений и не добавляются в базовую линию.

    Locked

    • Блокировка базовой линии останавливает добавление новых процессов.
    • Любой процесс, отсутствующий в базовой линии, вызывает нарушение.
    • Вы всегда можете вручную добавить процессы в базовую линию или удалить их из нее.

    Если у развертывания несколько типов контейнеров, для каждого из них используется собственная базовая линия. Если некоторые из них находятся в состоянии Locked, а другие — Unlocked, статус развертывания отображается как Mixed.

    Управление базовыми линиями процессов

    Вы можете просматривать базовые линии процессов и управлять ими в рабочем процессе Risk в портале Alauda Security Service. Управление базовыми линиями особенно полезно, когда вы проверяете ожидаемое поведение во время выполнения для развертывания и определяете, допустимы ли вновь обнаруженные процессы.

    Просмотр базовых линий

    1. Перейдите в Risk в портале.
    2. Выберите развертывание.
    3. В панели сведений откройте вкладку Process Discovery.
    4. Базовые линии перечислены в разделе Spec Container Baselines.

    Добавление процесса

    1. В Process Discovery, в разделе Running Processes, нажмите значок Add рядом с процессом, которого еще нет в базовой линии.

    Удаление процесса

    1. В Process Discovery, в разделе Spec Container Baselines, нажмите значок Remove рядом с процессом, который вы хотите удалить.

    Блокировка/разблокировка базовой линии

    • Нажмите значок Lock, чтобы принудительно применять нарушения для неуказанных процессов.
    • Нажмите значок Unlock, чтобы прекратить принудительное применение нарушений.

    Управляя базовыми линиями процессов, вы можете отделить ожидаемое поведение во время выполнения от неожиданного запуска процессов и уменьшить объем лишних событий при анализе во время выполнения.