Работа с автопрофилями среды выполнения

Kaspersky Security для контейнеров предоставляет возможность осуществлять мониторинг процессов, сетевого трафика и файловых операций в контейнерах, чтобы затем использовать полученную информацию для автоматического формирования профилей среды выполнения. Процесс автопрофилирования выполняется в течение заданного пользователем времени и в рамках выбранной области применения. Такой областью являются кластер, пространство имен или под.

Наполнение автоматически формируемого профиля (далее – автопрофиль) данными зависит от настроек группы агентов по мониторингу состояния узлов. Для запуска автопрофилирования необходимо активировать настройки по мониторингу сетевых соединений, запускаемых процессов и выполняемых файловых операций контейнеров для соответствующей группы агентов.

Уникализация автопрофиля осуществляется по совокупности трех параметров: имя кластера, название пространства имен и контрольная сумма образа. Соответственно, в рамках одного пространства имен автопрофиль формируется по всем контейнерам с выбранной сборкой образа.

Создание автопрофиля среды выполнения

Мы рекомендуем вам перезапустить поды после начала автопрофилирования, чтобы решение зафиксировало старт подов в своих правилах. Это позволит избежать ошибочных запретов в случае перезапуска подов.

Kaspersky Security для контейнеров предоставляет возможность создания автопрофилей на трех уровнях:

• На уровне кластера.
• На уровне пространства имен.
• На уровне пода.

На уровне кластера и пространства имен вы можете создать автопрофиль с помощью таблицы со списком кластеров или пространств имен, либо из графа объектов в составе кластера. Создание автопрофиля на уровне пода осуществляется только с помощью таблицы.

Чтобы создать автопрофиль среды выполнения контейнера с помощью таблицы со списком объектов:

1. Перейдите в раздел Ресурсы → Кластеры.
2. Выполните следующие действия в зависимости от уровня создания автопрофиля:
   • Если вы хотите создать автопрофиль на уровне кластера, в таблице со списком кластеров с помощью флажка выберите один или несколько кластеров.
   • Если вы хотите создать автопрофиль на уровне пространства имен, выполните следующие действия:
     1. Нажмите на имя кластера в таблице со списком кластеров.
     2. На вкладке Таблица в таблице со списком пространств имен в составе кластера с помощью флажка выберите одно или несколько пространств имен.
   • Если вы хотите создать автопрофиль на уровне пода, выполните следующие действия:
     1. Нажмите на имя кластера в таблице со списком кластеров.
     2. Нажмите на название пространства имен в таблице со списком пространств имен в составе кластера.
     3. В открывшейся боковой панели на вкладке Поды и контейнеры в таблице со списком подов в составе пространства имен с помощью флажка выберите один или несколько подов.

   Убедитесь, что в выбранных объектах не запущен процесс автопрофилирования. Если процесс запущен, решение не разрешит запустить еще одну задачу на автопрофилирование в рамках выбранного кластера.

3. Нажмите на кнопку Создать автопрофиль, расположенную над таблицей.

   Вы можете запустить только одну задачу на создание автопрофиля в кластере в определенный момент. Решение разрешит запустить новую задачу на автопрофилирование только после завершения или остановки выполнения ранее запущенной задачи.

4. В открывшемся окне укажите период, в течение которого будет осуществляться автопрофилирование. Этот период может длиться от 1 до 1440 минут.

   По умолчанию установлено значение 60 минут.

5. Нажмите на кнопку Запустить.

   В столбце Автопрофили в таблице со списком объектов (кластеров, пространств имен или подов) решение отобразит время, оставшееся до конца автопрофилирования в этом объекте, или количество созданных для него автопрофилей.

Чтобы создать автопрофиль среды выполнения контейнера из графа:

1. Перейдите в раздел Ресурсы → Кластеры.
2. Выполните следующие действия на вкладке Граф в зависимости от уровня создания автопрофиля:
   • Если вы хотите создать автопрофиль на уровне кластера, нажмите на левую кнопку мыши на значке кластера () на графе пространств имен.
   • Если вы хотите создать автопрофиль на уровне пространства имен, выполните следующие действия:
     1. Двойным щелчком мыши раскройте группу пространств имен в составе кластера на графе.
     2. Нажмите на левую кнопку мыши на значке интересующего вас пространства имен () на графе пространств имен.
3. В открывшемся меню выберите Создать автопрофиль.

   Если процесс автопрофилирования в кластере уже запущен, вы не сможете выбрать Создать автопрофиль. Вы можете остановить создание автопрофиля в выбранном кластере, выбрав в меню Остановить автопрофилирование, если у вас есть соответствующие права, или дождаться завершения ранее запущенной задачи по автопрофилированию. Решение разрешает запускать только одну задачу на автопрофилирование в кластере в определенный момент.

4. В открывшемся окне укажите период, в течение которого будет осуществляться автопрофилирование. Этот период может длиться от 1 до 1440 минут.

   По умолчанию установлено значение 60 минут.

5. Нажмите на кнопку Запустить.

Созданные автопрофили среды выполнения отображаются в разделе Политики → Среда выполнения → Автопрофили.

Просмотр списка автопрофилей среды выполнения

Kaspersky Security для контейнеров отображает список всех созданных автопрофилей среды выполнения в таблице в разделе Политики → Среда выполнения → Автопрофили. По каждому автопрофилю отображается следующая информация:

• Название автопрофиля, которое представляет собой последовательное указание следующего:
  • Имя пода.
  • Название пространства имен.
  • Имя кластера.
  • 12 первых символов контрольной суммы образа (после префикса SHA256).

  В названии автопрофиля указанные данные между собой соединяются с помощью подчеркивания (например, kube-company_sampled-operations_docker-cluster__9a74fc18ee07).

• Статус автопрофиля относительно его проверки пользователем: Проверенный или Непроверенный. По умолчанию автопрофиль создается со статусом Непроверенный.

  При необходимости с помощью переключателя Проверено / Не проверено вы можете изменить статус автопрофиля в таблице. Также одному или нескольким автопрофилям можно присвоить статус Проверенный, нажав на кнопку Проверить, расположенную над таблицей.

  Автопрофиль может применяться только со статусом Проверенный.

• Дата и время последнего изменения.
• Кластер и пространство имен, на основе которых был сформирован автопрофиль.
• Образ, на основе контрольной суммы которого был создан автопрофиль.

Также Kaspersky Security для контейнеров отображает список автопрофилей для каждого образа, на основе хеша которого создавались автопрофили.

Чтобы посмотреть список автопрофилей, созданных для образа:

1. Перейдите в раздел Ресурсы → Реестры.
2. В интересующем вас реестре нажмите на значок и раскройте список образов в составе этого реестра. Образы, на основе которых созданы автопрофили, отмечены значком автопрофилирования ().
3. Нажав на имя образа, перейдите на страницу с подробной информацией о результатах сканирования этого образа.

   Список всех автопрофилей для образа представлен в виде таблицы в блоке Связанные автопрофили. Для каждого автопрофиля отображается следующая информация:

   • Название автопрофиля. Нажав на название автопрофиля, вы откроете окно с детальным описанием автопрофиля. Информация в этом окне доступна только для просмотра.
   • Дата и время последнего изменения.
   • Кластер и пространство имен, на основе которых был сформирован автопрофиль.

Просмотр параметров автопрофиля среды выполнения

Чтобы посмотреть параметры автопрофиля:

1. В разделе Политики → Среда выполнения → Автопрофили нажмите на название автопрофиля в списке созданных автопрофилей среды выполнения контейнеров.
2. В открывшейся боковой панели на вкладках Общая информация и Параметры создания автопрофиля представлена информация о настроенных параметрах выбранного автопрофиля. На вкладке Общая информация отображается следующее:
   • Статус автопрофиля.
   • Название автопрофиля среды выполнения.
   • Описание автопрофиля среды выполнения, если оно было указано вручную. По умолчанию при автопрофилировании описание автопрофиля не добавляется.
   • В блоке Параметры вы можете посмотреть параметры следующих модулей:
     • Защита от файловых угроз.
     • Ограничение исполняемых файлов контейнера.
     • Ограничение входящих сетевых соединений.
     • Ограничение исходящих сетевых соединений.
     • Файловые операции.

   При необходимости вы можете внести изменения в параметры автопрофиля.

   На вкладке Параметры создания автопрофиля отображаются следующие данные:

   • Название автопрофиля среды выполнения.
   • Дата и время последнего изменения автопрофиля.
   • Имя пользователя, который является инициатором создания автопрофиля.
   • Контрольная сумма образа, пространство имен и кластер, на основе которых был создан автопрофиль.
   • Имя образа, на основе контрольной суммы которого был создан автопрофиль. Вы можете посмотреть результаты сканирования этого образа, нажав на имя образа.

Изменение параметров автопрофиля среды выполнения

Чтобы изменить параметры автопрофиля:

1. В разделе Политики → Среда выполнения → Автопрофили нажмите на название автопрофиля в списке созданных автопрофилей среды выполнения контейнеров.
2. В открывшейся боковой панели на вкладке Общая информация при необходимости измените значения одного, нескольких или всех указанных ниже параметров:
   • Статус автопрофиля. С помощью переключателя Проверено / Не проверено измените статус автопрофиля на Проверенный или Непроверенный.
   • Название автопрофиля среды выполнения. Вы можете указать собственное название автопрофиля, заменив автоматически созданное решением.
   • Описание автопрофиля среды выполнения. По умолчанию при автопрофилировании описание автопрофиля не добавляется.
   • В блоке Параметры измените параметры мониторинга состояния сети следующим образом:
     • Защита от файловых угроз. При необходимости с помощью переключателя Выключено / Включено активируйте или отключите защиту от файловых угроз. По умолчанию настройки в рамках блока Защита от файловых угроз выключены.
     • Ограничение исполняемых файлов контейнера. Вы можете указать конкретные файлы для блокирования и пути к ним, а также указать исключения.

       Если внутри контейнеров в рассматриваемой сборке запущены процессы, решение выполняет следующие действия:

       • При обнаружении событий в рамках процессов в режимах Аудит и Блокирование решение активирует параметр Блокировать указанные исполняемые файлы и в поле Путь к исполняемым файлам или директориям указывает все уникальные значения путей.
       • При отсутствии событий в рамках процессов в режимах Аудит и Блокирование решение применяет параметр Блокировать запуск всех исполняемых файлов.
       • При обнаружении отличных от указанных выше событий решение активирует параметр Разрешить исключения и в поле Путь к исполняемым файлам или директориям указывает все уникальные значения путей.
     • Ограничение входящих сетевых соединений. При необходимости с помощью переключателя Выключено / Включено вы можете отключить возможность ограничивать входящие соединения контейнера.

       Если в контейнерах в рассматриваемой сборке наблюдается входящий трафик, решение выполняет следующие действия:

       • При обнаружении событий, связанных с входящими соединениями, в режимах Аудит и Блокирование решение активирует параметр Ограничение входящих сетевых соединений.
       • При отсутствии событий, связанных с входящим трафиком, в режимах Аудит и Блокирование или обнаружении других событий решение активирует параметр Разрешить исключения. В полях Источники, TCP-порты и UDP-порты указываются все уникальные значения получателей входящих соединений.
     • Ограничение исходящих сетевых соединений. При необходимости с помощью переключателя Выключено / Включено вы можете отключить возможность ограничивать исходящие соединения.

       Если в контейнерах в рассматриваемой сборке наблюдается исходящий трафик, решение выполняет следующие действия:

       • При обнаружении событий, связанных с исходящими соединениями, в режимах Аудит и Блокирование решение активирует параметр Ограничение исходящих сетевых соединений.
       • При отсутствии событий, связанных с входящим трафиком, в режимах Аудит и Блокирование или обнаружении других событий решение активируется параметр Разрешить исключения. В полях Источники, TCP-порты и UDP-порты указываются все уникальные значения источников исходящих соединений.
     • Файловые операции. Вы можете изменить параметры для мониторинга файловых операций в контейнере.

       Если внутри контейнеров в рассматриваемой сборке наблюдаются действия, при обнаружении событий по управлению файлами в режимах Аудит и Блокирование решение активирует параметр Файловые операции. При этом в поле Путь указываются все уникальные значения путей, а в поле Тип операции флажками отмечаются все найденные типы операций.

       Также с помощью кнопки Добавить правило вы можете добавлять дополнительные правила для применения при мониторинге файловых операций.

     Если параметр в блоке Параметры включен, решение определяет конкретную сборку образа и просматривает все контейнеры, развернутые из этой сборки.

3. Сохраните изменения в автопрофиле, выполнив одно из следующих действий:
   • Для сохранения без изменения статуса автопрофиля на Проверенный нажмите на кнопку Сохранить.
   • Для сохранения и изменения статуса автопрофиля на Проверенный нажмите на кнопку Сохранить и проверить.

Остановка автопрофилирования

Если в выбранном кластере запущена задача по созданию автопрофиля, Kaspersky Security для контейнеров информирует о времени до завершения процесса следующим образом:

• в столбце Автопрофили таблицы со списком кластеров;
• в столбце Автопрофили таблицы со списком пространств имен в составе кластера;
• в столбце Автопрофили таблицы со списком подов в составе выбранного пространства имен в кластере.

Вы можете остановить запущенный процесс автопрофилирования на трех уровнях:

• На уровне кластера.
• На уровне пространства имен.
• На уровне пода.

На уровне кластера и пространства имен вы можете остановить создание автопрофиля с помощью таблицы со списком кластеров или пространств имен, либо из графа объектов в составе кластера. Остановка автопрофилирования на уровне пода осуществляется только с помощью таблицы.

Автопрофилирование можно остановить как для всего объекта профилирования (кластера, пространства имен или пода), так и для определенных сущностей в составе объекта профилирования (например, для выбранных пространств имен или подов).

Вы можете остановить запущенный процесс автопрофилирования, если у вас есть необходимые права.

Остановка выполнения задачи по автопрофилированию

Чтобы остановить выполнение задачи по автопрофилированию с помощью таблицы со списком объектов:

1. Перейдите в раздел Ресурсы → Кластеры.
2. Выполните следующие действия в зависимости от уровня, на котором останавливается процесс автопрофилирования:
   • Если вы хотите остановить автопрофилирование на уровне кластера, в таблице со списком кластеров с помощью флажка выберите один или несколько кластеров, для которых запущена задача по созданию автопрофиля.
   • Если вы хотите остановить автопрофилирование на уровне пространства имен, выполните следующие действия:
     1. Нажмите на имя кластера в таблице со списком кластеров.
     2. На вкладке Таблица в таблице со списком пространств имен в составе кластера с помощью флажка выберите одно или несколько пространств имен, для которых запущена задача по созданию автопрофиля.
   • Если вы хотите остановить автопрофилирование на уровне пода, выполните следующие действия:
     1. Нажмите на имя кластера в таблице со списком кластеров.
     2. Нажмите на название пространства имен в таблице со списком пространств имен в составе кластера.
     3. В открывшейся боковой панели на вкладке Поды и контейнеры в таблице со списком подов в составе пространства имен с помощью флажка выберите один или несколько подов, для которых запущена задача по созданию автопрофиля.
3. Нажмите на кнопку Остановить автопрофилирование, расположенную над таблицей.

   Если в список выбранных объектов попал кластер, пространство имен или под, где не запущен процесс автопрофилирования, кнопка Остановить автопрофилирование становится неактивной.

4. Нажмите на кнопку Остановить, чтобы подтвердить остановку процесса автопрофилирования.

Чтобы остановить выполнение задачи по автопрофилированию из графа:

1. Перейдите в раздел Ресурсы → Кластеры.
2. Выполните следующие действия на вкладке Граф в зависимости от уровня создания автопрофиля:
   • Если вы хотите остановить задачу по автопрофилированию на уровне кластера, нажмите на левую кнопку мыши на значке кластера () на графе пространств имен.
   • Если вы хотите остановить задачу по автопрофилированию на уровне пространства имен, выполните следующие действия:
     1. Двойным щелчком мыши раскройте группу пространств имен в составе кластера на графе.
     2. Нажмите на левую кнопку мыши на значке интересующего вас пространства имен () на графе пространств имен.
3. В открывшемся меню выберите Остановить автопрофилирование.
4. Нажмите на кнопку Остановить, чтобы подтвердить остановку процесса автопрофилирования.

Остановка автопрофилирования для отдельных объектов

Чтобы остановить автопрофилирование для отдельных объектов в задаче по автопрофилированию:

1. Запустите задачу по созданию автопрофиля.
2. Выполните одно из следующих действий:
   • Если выполняется задача по автопрофилированию кластера, выполните следующее:
     1. В таблице со списком кластеров нажмите на название кластера, для которого создается автопрофиль.
     2. В открывшемся окне выполните одно из следующих действий:
        • Выберите одно или несколько пространств имен, для которых вы хотите остановить автопрофилирование.
        • Нажмите на название пространства имен и в открывшемся окне выберите один или несколько подов, для которых вы хотите остановить автопрофилирование.
   • Если выполняется задача по автопрофилированию пространства имен, выполните следующее:
     1. В таблице со списком пространств имен в составе кластера нажмите на название пространства имен, для которого создается автопрофиль.
     2. В открывшемся окне выберите один или несколько подов, для которых вы хотите остановить автопрофилирование.
3. Нажмите на кнопку Остановить создание автопрофиля, расположенную над таблицей со списком объектов.
4. Нажмите на кнопку Остановить, чтобы подтвердить остановку процесса автопрофилирования.

   Kaspersky Security для контейнеров остановит процесс автопрофилирования в отношении выбранных объектов. Решение продолжит выполнять задачу по созданию автопрофиля для остальных объектов в составе кластера или пространства имен.

При остановке автопрофилирования для отдельных объектов требуется учитывать правило, согласно которому остановка задачи на уровне более масштабного объекта приводит к полной отмене выполнения задачи. Так, задача по автопрофилированию полностью отменяется в следующих случаях:

• Если запущена задача на автопрофилирование пространств имен или подов, и вы останавливаете создание автопрофиля на уровне кластера, в состав которого входят выбранные пространства имен или поды.
• Если запущена задача на автопрофилирование подов, и вы останавливаете создание автопрофиля на уровне пространства имен, в состав которого входят выбранные поды.

Удаление автопрофиля среды выполнения

Чтобы удалить автопрофиль среды выполнения контейнера:

1. Откройте таблицу созданных автопрофилей среды выполнения в одном из следующих разделов:
   • В разделе Политики → Среда выполнения → Автопрофили.
   • В блоке Связанные автопрофили на странице с подробной информацией о результатах сканирования образа в разделе Ресурсы → Реестры.
2. Выполните одно из следующих действий:
   • В разделе Политики → Среда выполнения → Автопрофили с помощью флажка выберите автопрофиль, который вы хотите удалить, и нажмите на кнопку Удалить, расположенную над таблицей.
   • На странице с подробной информацией о результатах сканирования образа в разделе Ресурсы → Реестры в строке с названием автопрофиля, который вы хотите удалить, нажмите на значок удаления ().
3. Подтвердите удаление в открывшемся окне.

Ограничения при работе с автопрофилями

При работе с автопрофилями среды выполнения необходимо учитывать следующие ограничения, связанные с областями применения и ролями пользователя:

• Если в назначенные пользователю области применения не добавлен образ в составе пространства имен в кластере, пользователю недоступны автопрофили, сформированные на основе хеша этого образа.

  Пользователь, которому назначена глобальная область применения, может просматривать все созданные автопрофили.

• Пользователь может инициировать задачу на создание автопрофиля, изменять параметры и повторно формировать автопрофиль, если у него есть права на управление автопрофилированием.
• Пользователь, который не является инициатором задачи на создание автопрофиля, может изменять параметры, повторно формировать и удалять автопрофиль, если выполняются все следующие условия:
  • у пользователя есть права на управление автопрофилированием;
  • одна из ролей пользователя совпадает с ролью инициатора задачи на создание автопрофиля во время создания такого автопрофиля;
  • назначенные пользователю области применения включают в себя образ (в составе пространства имен в кластере), на основе контрольной суммы которого был создан автопрофиль.