使用进程基线
Alauda Security Service 中的进程基线功能通过了解容器中通常运行哪些进程,并标记或强制执行与该基线的偏离,帮助保护您的环境。
什么是进程基线?
当您部署 Alauda Security Service 时,默认情况下没有进程基线。随着部署被发现,系统会为每种容器类型自动创建一个进程基线,并根据观察到的进程活动填充该基线。
基线状态
未锁定
- 在初始发现期间(第一小时内),基线处于未锁定状态。
- 新进程会自动添加到基线中,不会触发风险或违规。
- 一小时后,新进程会被标记为风险,但不会触发违规,也不会被添加到基线中。
已锁定
- 锁定基线会停止将新进程添加到基线中。
- 任何不在基线中的进程都会触发违规。
- 您始终可以手动向基线中添加或移除进程。
如果一个部署包含多个容器类型,则每种类型都有自己的基线。如果其中一些已锁定,而另一些未锁定,则部署状态显示为 Mixed。
管理进程基线
您可以通过 Alauda Security Service 门户中的 Risk 工作流查看和管理进程基线。基线管理在您验证部署的预期运行时行为,并判断新观察到的进程是否可接受时最为有用。
查看基线
- 在门户中转到 Risk。
- 选择一个部署。
- 在详细信息面板中,打开 Process Discovery 选项卡。
- 基线列在 Spec Container Baselines 下方。
添加进程
- 在 Process Discovery 中,于 Running Processes 下,单击尚未包含在基线中的某个进程旁边的 Add 图标。
移除进程
- 在 Process Discovery 中,于 Spec Container Baselines 下,单击要移除的进程旁边的 Remove 图标。
锁定/解锁基线
- 单击 Lock 图标,可对未列出的进程强制执行违规。
- 单击 Unlock 图标,可停止强制执行违规。
通过管理进程基线,您可以将预期的运行时行为与意外的进程执行区分开来,并减少运行时调查中的噪音。