卡巴斯基容器安全
2.0
简体中文

目录

配置与 SIEM 系统的集成

卡巴斯基容器安全允许连接到

SIEM 系统
以发送事件消息进行分析并随后对潜在威胁做出响应。这些消息包含与安全事件日志中记录的相同类型和类别的事件的数据。集群节点监控事件数据的传输也是通过与 SIEM 系统集成并将代理组链接到它们来实现的。

消息以

CEF
格式发送到 SIEM 系统,例如:

CEF:0|Kaspersky|Kaspersky Container Security|2.0|PM-002|Process management|7|dpid=1846367 spid=1845879 flexString2=0ce05246346b6687cb754cf716c57f20f226e159397e8e5985e55b448cb92e3f flexString2Label=Container ID cs6=alpine cs6Label=Container name outcome=Success

传输的消息由以下几部分组成:

  • Syslog
    标头,指定日期、时间和主机名。
  • 前缀和 CEF 版本号。
  • 设备供应商。
  • 解决方案名称。
  • 解决方案版本。
  • 解决方案生成的唯一事件类型代码。
  • 事件描述。
  • 事件严重性评估。
  • 附加信息,例如设备 IP 地址、事件原因、事件结果以及事件状态。

有关组件的更多详细信息,请参阅 CEF 消息值匹配表

本节帮助内容

匹配 CEF 消息字段

创建与 SIEM 系统的集成

将代理组与 SIEM 系统链接起来

查看和编辑 SIEM 集成设置

删除与 SIEM 系统的集成
页首
[Topic 293678]

匹配 CEF 消息字段

CEF 消息用英文发送。

下表列出了卡巴斯基容器安全发送的 CEF 消息的标头和正文的主要组成部分。

CEF 消息组件的组成部分和值

组件

示例

CEF 消息的标准标头(syslog 标头)

标头以以下格式发送:<日期> <时间> <服务器的主机名称>。

Feb 18 10:07:28 host

CEF 格式前缀和版本

<CEF>:<版本>

CEF:0

事件 ID

设备供应商

设备产品

设备版本

Kaspersky

Kaspersky Container Security

2.0

事件类型的唯一 ID(签名 ID)

卡巴斯基容器安全可发送以下事件类型 ID:

  • ADM-ХХХ:管理事件。
  • CVE-XXX:有关漏洞或者此类风险接受到期的风险接受。
  • MLW-XXX:有关恶意软件或者此类风险接受到期的风险接受。
  • NCMP-001:镜像不符合要求。
  • CMP-001:镜像符合要求。
  • SD-XXX:有关敏感数据或者此类风险接受到期的风险接受。
  • MS-XXX:有关错误配置或者此类风险接受到期的风险接受。
  • CI-ХХХ:CI/CD 进程中的事件。
  • PLC-ХХХ:应用安全策略时的事件。
  • BNCH-ХХХ:扫描集群和节点时的事件。
  • AG-ХХХ:与代理相关的事件。
  • SJ-ХХХ:扫描器的事件。
  • RT-ХХХ:最佳实践检查的事件。
  • API-ХХХ:对 API 服务器的请求。
  • PM-ХХХ:实现进程时的事件。
  • FM-ХХХ:涉及访问容器文件系统中的对象的事件。
  • NT-ХХХ:网络连接。
  • FPM-XXX:过程中发生运行时策略违规事件
  • FNT-XXX:与网络连接相关的运行时策略违规事件
  • FFM-XXX:与容器文件系统中的对象访问有关的运行时策略违规事件
  • FFTP-XXX:与文件威胁防护有关的运行时策略违规事件

解决方案发送的某些事件类型 ID:

  • ADM-001: User 1 added user 2
  • CVE-001: User 1 accepted risk for image XXX
  • AG-002: Agent XXX is disconnected
  • BNCH-003: YYY was passed while scanning XXX
  • PLC-001: YYY was applied to image XXX
  • NCMP-001: Image XXX was marked as non-compliant
  • SD-008: XXX risk acceptance expires

事件描述(名称)

描述必须用户可读且与事件类型 ID 有关。例如,'Administration' 对于 ADM,或者 '进程管理' 对于 PM。

解决方案发送的某些事件名称:

  • Process management
  • File management
  • Networking

事件的重要性(严重性)

事件的严重性从 0 到 10,确定如下:

  • 0–3:低
  • 4–6:中
  • 7–8:高
  • 9–10:非常高

事件的严重性分数取决于事件类型和状态(成功失败)。

例如,严重性分数可以确定如下:

  • 对于 PM(Process management)和 NT(Networking)事件:
    • 如果事件状态为 Audited 或者 Blocked,则严重性为 7。
    • 对于任何其他状态,严重性为 3。
  • 对于 AG (Agents) 事件:
    • 如果事件成功,则严重性为 5。
    • 如果发生错误,则严重性为 10。
  • 对于 API 事件:
    • 如果事件成功,则严重性为 3。
    • 如果发生错误,则严重性为 8。

关于事件的其他信息(扩展名)

其他信息可能包括一个或者多个键值对集。

下面提供了关于卡巴斯基容器安全传输的键值对的信息。

关于卡巴斯基容器安全传输的事件的附加信息

用法

source

事件源的域(pod 名称)(源名称)

在所有事件中

src

IPv4 网络中的以下 IP 地址之一(源 IP):

  • 对于网络流量 – 连接源的 IP 地址
  • 对于管理事件 – 操作发起者的 IP 地址

在所有事件中

reason

错误状态的原因描述(原因)

在所有带有错误状态的事件中,除PM-ХХХFM-ХХХNT-ХХХFPM-XXXFNT-XXXFFM-XXXFFTP-XXX之外

fname

镜像(工件)名称(工件名称)

CI-ХХХSJ-ХХХADM-ХХХCVE-ХХХMLW-ХХХSD-ХХХMS-ХХХCMP-001PLC-ХХХNCMP-001

suser

操作发起用户的名称(用户名)

PM-ХХХFM-ХХХNT-ХХХFPM-XXXFNT-XXXFFM-XXXFFTP-XXX 以外的所有事件

dpid

进程 ID (PID)

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

spid

父进程 ID (PPID)

PM-XXXXFM-XXXXNT-XXXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

flexString1

有效组 ID (EGID)

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

flexString2

容器标识符/容器 ID

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

outcome

执行状态或模式(状态),该值定义如下:

  • 对于运行时事件( PM-ХХХFM-ХХХNT-ХХХFPM-XXXFNT-XXXFFM-XXXFFTP-XXX ),指定执行模式(审计强制其他)。
  • 对于其他事件,指定执行状态(成功错误)。如果状态为“错误”,解决方案还会传输错误文本或代码(原因)。

在所有事件中

request

镜像的名称(镜像名称)

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

fileHash

镜像哈希(镜像摘要)

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

act

以下操作类型之一(操作):

  • 对于文件操作 - 操作类型(openclosereadwritecreatedeletechmodchownrename
  • 对于网络流量 - 流量的方向和类型( egressingressegress_responseingress_response
  • 对于进程 – exec
  • 对于文件威胁防护操作 – ftp

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

spt

连接源的端口(源端口)

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

dst

IPv4 网络中目标的 IP 地址(目标 IP)

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

dpt

目标的端口(目标端口)

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

dproc

进程名称(命令)(进程名称)

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

duid

有效用户 ID (EUID)

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

filePermission

文件访问权限 (mode_t mode)。

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

oldFilePath

文件先前使用的路径(旧文件路径)

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

filePath

文件或的路径(路径)

对于涉及访问容器的文件系统中的对象的事件,filePath 用于传递有关新路径(新文件路径)的信息。

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

deviceDirection

连接方向类型(流量类型)

0 表示 Ingress 连接,1 表示 Egress 连接。

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

cn1

新进程标识符(新 PID)

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

cs1

集群的名称(集群名称)

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

cs2

节点的名称(节点名称)

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

cs3

名字空间的名称(名字空间名称)

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

cs4

执行的命令(命令)

对于涉及访问容器的文件系统中的对象的事件,cs4 用于传递有关新文件拥有者(NewOwner)的信息。

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

cs5

Pod 的名称(Pod 名称)

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

cs6

容器的名称(容器名称)

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX

cs7

节点的 IP 地址(节点 IP)

PM-XXXFM-XXXNT-XXXFPM-XXXFNT-XXXFFM-XXXFFTP-XXX
页首
[Topic 293652]

创建与 SIEM 系统的集成

要添加 SIEM 集成:

  1. 管理集成SIEM部分中,单击添加 SIEM

    一个侧栏将显示,您可以在其中输入 SIEM 系统的参数。

  2. 常规选项卡上,指定以下必需参数:
    • SIEM 系统的名称。
    • 连接 SIEM 系统的协议。默认选择TCP
    • SIEM 系统服务器的地址采用以下格式之一:
      • IPv4
      • IPv6
      • FQDN
    • 用于连接 SIEM 系统的端口。您可以指定端口 1 到 65535。默认设置为 514。
    • 您想要将消息导出到 SIEM 系统的事件类别。要进行此项配置,请从以下列表中选中一个或多个事件类别旁边的复选框:
      • 管理
      • 警报
      • CI/CD
      • 策略
      • 资源
      • 扫描器
      • 准入控制器
      • 取证数据
      • API

        查看资源扫描仪准入控制器取证数据类别中的事件需要高级授权许可。

      默认选择所有状态。

      有关选定事件类别的消息将被发送到指定的 SIEM 系统,无论它是否链接到代理组。

  3. 代理组日志选项卡上,选中一个或多个事件类型旁边的复选框作为运行时节点监控的一部分。

    被发送到运行时环境的事件消息日志可能非常大,这会影响可用磁盘空间和网络负载。

  4. 如果您想验证指定的 SIEM 集成参数的正确性,请单击测试连接

    如果选择了 TCP 连接协议,该解决方案将测试与 SIEM 系统的连接。如果选择了 UDP 连接协议,则测试连接按钮将被禁用。

  5. 单击“保存”。
页首
[Topic 282786]

将代理组与 SIEM 系统链接起来

您可以在组件 → 代理部分中创建代理组编辑其参数时将代理组链接到 SIEM 系统。

要在卡巴斯基容器安全中链接代理组,您必须拥有足够的权限来管理代理组;您还必须创建并配置至少一个 SIEM 集成。

页首
[Topic 283037]

查看和编辑 SIEM 集成设置

要查看 SIEM 集成:

  1. 管理集成SIEM部分打开 SIEM 集成列表。
  2. 单击集成列表中的集成名称。

要编辑 SIEM 集成设置:

  1. 管理集成SIEM 部分中,单击集成列表中的集成名称。
  2. 如有必要,在显示的侧栏中,按如下方式编辑集成参数:
    1. 常规选项卡上,编辑以下必需参数:
      • SIEM 系统的名称
      • 连接 SIEM 系统的协议
      • SIEM 系统服务器地址
      • SIEM 系统连接端口
      • 要导出的事件类别
    2. 如有必要,您可以在代理组日志选项卡上编辑为运行时选择的网络节点监视事件类型的列表。
  3. 如果使用 TCP 连接,请单击测试连接以查看是否可以建立与 SIEM 系统的连接。
  4. 单击“保存”。
页首
[Topic 283085]

删除与 SIEM 系统的集成

要删除 SIEM 集成:

  1. 管理集成SIEM部分打开 配置的 SIEM 集成列表。
  2. 通过选中集成名称行中的复选框来选择要删除的集成。
  3. 单击表格上方的删除

    选择一个或多个集成后, “删除”按钮将变为启用状态。

  4. 在打开的窗口中,确认删除。
页首
[Topic 283084]