Kaspersky Security для контейнеров
- Справка Kaspersky Security для контейнеров 1.2
- О Платформе контейнерной безопасности Kaspersky Security для контейнеров
- Архитектура решения
- Типовые схемы развертывания
- Подготовка к установке решения
- Установка решения
- Удаление решения
- Обновление решения
- Интерфейс решения
- Лицензирование решения
- Предоставление данных
- Работа с кластерами
- Просмотр списка кластеров
- Пространства имен в кластере
- Поды в кластере
- Визуализация ресурсов кластера
- Настройка интеграции с внешними реестрами образов
- Работа с образами из реестров
- Интеграция с CI/CD
- Проверка образов в процессах CI/CD
- Настройка интеграции с GitLab CI/CD
- Настройка интеграции с Jenkins CI/CD
- Настройка интеграции с TeamCity CI/CD
- Определение пути до образов контейнеров
- Контроль целостности и происхождения образов
- Запуск сканера в режиме SBOM
- Получение результатов сканирования в форматах .JSON и .HTML
- Запуск сканера в режиме lite SBOM
- Работа с рисками
- Проверка на соответствие стандартам
- Настройка и формирование отчетов
- Настройка политик безопасности
- Работа с профилями среды выполнения контейнеров
- Защита от файловых угроз
- Настройка интеграции с модулями проверки подписей образов
- Настройка интеграции со средствами уведомления
- Настройка интеграции с LDAP-сервером
- Пользователи, роли и области применения
- Управление пользователями
- О ролях пользователей
- Действия в рамках системных ролей
- Отображение списка ролей
- Об областях применения
- Области применения и исполнение политик безопасности
- Переключение между областями применения
- Добавление пользователей, ролей и областей применения
- Сброс пароля для учетных записей пользователей
- Изменение параметров пользователей, ролей и областей применения
- Удаление пользователей, ролей и областей применения
- Использование Kaspersky Security для контейнеров OpenAPI
- Журнал событий безопасности
- Экспорт событий в SIEM-системы
- Информация о состоянии компонентов решения
- Обеспечение безопасности и надежности компонентов
- Управление динамикой накопления данных
- Резервное копирование и восстановление данных
- Обращение в Службу технической поддержки
- Источники информации о программе
- Ограничения и предупреждения
- Глоссарий
- Информация о стороннем коде
- Уведомления о товарных знаках
Экспорт событий в SIEM-системы
Kaspersky Security для контейнеров позволяет отправлять сообщения о событиях в
Security information and event management (управление событиями и информацией о безопасности) – класс приложений, предназначенных для получения и анализа информации о событиях безопасности.
Передача данных о событиях в системе осуществляется посредством интеграции с SIEM-системой при установке решения. Сообщения о событиях направляются на сервер регистрации SIEM-системы в формате CEF по протоколу TCP или UDP с использованием предоставленного порта (обычно применяется порт 514). При развертывании решения эти параметры указываются в конфигурационном файле values.yaml:
CEF_PROTOCOL=tcp
CEF_HOST=<ip address>
CEF_PORT=<port>
Передаваемое сообщение состоит из следующих компонентов:
- Заголовок Syslog, в котором указывается дата, время и имя хост-узла.
Стандарт отправки и записи сообщений о происходящих в системе событиях, используемый на платформах UNIX и GNU/Linux.
- Префикс и номер версии CEF.
- Поставщик устройства.
- Название решения.
- Версия решения.
- Генерируемый решением уникальный код типа события.
- Описание события.
- Оценка критичности события.
- Дополнительная информация, которая может включать в себя IP-адрес устройства, причину возникновения события, а также результат или статус события.
Пример сообщения, передаваемого в SIEM-систему
Сообщение SIEM-системе отправляется в виде строки, которая включает в себя все указанные компоненты сообщения:
Oct 12 04:16:11 localhost CEF:0|nxlog.org|nxlog|2.7.1243|Executable Code was Detected|Advanced exploit detected|100|src=192.168.255.110 spt=46117 dst=172.25.212.204 dpt=80