容器的入侵行为主要是对命令执行、读写文件、网络活动、主机异常等类型进行监测。
平台支持多类检测规则,对黑客的攻击行为进行检测防护,且支持预设策略的方式,将入侵行为在事件发生的第一时间对容器进行暂停并支持对容器所在的Pod进行隔离或重启。
默认策略
平台内置默认策略的启用状态默认为“启用”,且仅支持查看、编辑,不支持删除。
- 编辑默认策略时,支持选择应用对象、自定义规则等操作。
- 默认策略包含的检测规则请参见系统内置规则。
添加策略
-
登录容器安全卫士控制台。
-
在左侧导航栏选择“容器安全 > 容器策略”,进入容器策略页面。
-
在“入侵检测策略”页签,单击“添加策略”,进入添加策略页面。
-
配置基本信息。
-
选择策略应用的对象。
-
配置策略规则,包括使用哪些规则,配置规则处置方式等。
每条入侵行为下,有相关的行为描述和开启建议,用户可进行参考设置。
说明可以为单个规则修改处置方式,也可以批量为规则修改处置方式:
单个规则:规则启用后才支持修改处置方式。
批量设置:勾选规则前的复选框,选择要启动报警的内置策略,在列表上方的报警“处置方式”下拉框中批量设置报警处理方式。
处置方式包含只报警、报警且隔离Pod、报警且重启Pod、报警且暂停容器这四种处理方式。
仅系统内置策略支持配置“主机异常”规则:
-
参数配置完成后,单击“保存”。
复制策略
通过复制策略,可以快速添加一个和已有策略类似的策略。
- 登录容器安全卫士控制台。
- 在左侧导航栏选择“容器安全 > 容器策略”,进入容器策略页面。
- 在“入侵检测策略”页签,在已有策略的操作列单击“复制策略”,进入复制策略页面。
- 策略配置的详细说明请参考添加策略。
编辑策略
- 登录容器安全卫士控制台。
- 在左侧导航栏选择“容器安全 > 容器策略”,进入容器策略页面。
- 在“入侵检测策略”页签,在已有策略的操作列单击“编辑”,进入编辑策略页面。
- 在策略编辑界面,可以修改策略名称、策略应用的对象、检测规则配置对应的处理方式。策略配置的详细说明请参考添加策略。
批量管理策略
支持批量对策略进行管理,包括启用、禁用、删除。
-
登录容器安全卫士控制台。
-
在左侧导航栏选择“容器安全 > 容器策略”,进入容器策略页面。
-
在“入侵检测策略”页签,勾选入侵行为名称前的复选框,选择要操作的策略。
-
单击选择列表上方的“批量”按钮,展开批量操作。
-
根据需要选择执行的操作,支持批量启用、禁用、删除。