Alauda Security Service
  • 简体中文

    • Network Graph 中的网络基线管理

    Alauda Security Service 通过网络基线分析帮助您将网络风险降到最低。此方法会学习某个 deployment 的正常网络流量,并将偏离这些流量的行为标记为异常。

    目录

    网络基线分析的工作原理查看和管理网络基线查看基线的步骤将基线流量标记为异常其他选项下载网络基线配置基线观察周期设置环境变量为异常网络流量启用告警

    网络基线分析的工作原理

    首次安装 Alauda Security Service 时,系统没有默认的网络基线。随着平台观察网络活动,它会在观察阶段自动将发现的流量添加到基线中:

    • 在观察阶段,新的网络流量会添加到基线中。
    • 这些流量被视为正常,不会触发任何告警或违规。

    观察阶段结束后:

    • Alauda Security Service 会停止向基线添加新流量。
    • 任何不在基线中的新网络流量都会标记为异常,但默认不会触发违规。

    查看和管理网络基线

    您可以在 network graph 界面中查看和管理网络基线。

    查看基线的步骤

    1. 单击 Namespaces 下拉菜单,搜索或选择 namespace。
    2. 单击 Deployments 下拉菜单,搜索或选择要在 network graph 中显示的 deployment。
    3. 在 network graph 中,单击某个 deployment 打开其信息面板。
    4. 转到 Baseline 选项卡。使用 filter by entity name 字段缩小显示的流量范围。

    将基线流量标记为异常

    • 要将单条流量标记为异常,请选择该实体,单击更多菜单,然后选择 Mark as anomalous
    • 要将多条流量标记为异常,请选择它们,单击 Bulk actions,然后选择 Mark as anomalous

    其他选项

    • Exclude ports and protocols:勾选此框可在基线中忽略端口和协议信息。
    • Download as network policy:单击 Download baseline as network policy,将基线导出为 YAML 文件。

    下载网络基线

    您可以将网络基线导出为 YAML 文件,以供进一步使用。

    步骤:

    1. 在 Alauda Security Service 门户中,转到 Network Graph
    2. 选择所需的 namespace 和 deployment。
    3. 在 deployment 的信息面板中,打开 Baseline 选项卡。
    4. (可选)筛选流量或排除端口/协议。
    5. 单击 Download baseline as network policy

    配置基线观察周期

    您可以通过环境变量调整 Alauda Security Service 在最终确定基线之前观察网络流量的时长。

    设置环境变量

    在您的 deployment 中设置以下变量:

    kubectl -n stackrox set env deploy/central ROX_NETWORK_BASELINE_OBSERVATION_PERIOD=<value>
kubectl -n stackrox set env deploy/central ROX_BASELINE_GENERATION_DURATION=<value>
    • <value> 必须是有效的时间单位,例如 300ms2h45m-1.5h
    • 支持的单位:nsus/µsmssmh

    为异常网络流量启用告警

    可以对 Alauda Security Service 进行配置,以便在检测到异常网络流量时触发违规。

    步骤:

    1. 在 network graph 中,选择所需的 namespace 和 deployment。
    2. 在 deployment 的信息面板中打开 Baseline 选项卡。
    3. 切换 Alert on baseline violations 选项。
    • 启用后,异常流量将触发违规。
    • 关闭该选项将停止接收此类告警。