Kaspersky Security для контейнеров
- Справка Kaspersky Security для контейнеров 2.0
- О Платформе контейнерной безопасности Kaspersky Security для контейнеров
- Архитектура решения
- Типовые схемы развертывания
- Подготовка к установке решения
- Установка решения
- Установка модуля основной бизнес-логики и сканера
- Запуск консоли управления
- Просмотр и принятие Лицензионного соглашения
- Проверка функционирования решения
- Развертывание агентов
- Просмотр и изменение групп агентов
- Конфигурация работы через прокси-сервер
- Подключение к внешним ресурсам для хранения данных
- Установка закрытых исправлений
- Удаление решения
- Обновление решения
- Интерфейс решения
- Лицензирование решения
- Предоставление данных
- Работа с кластерами
- Просмотр списка кластеров
- Пространства имен в кластере
- Поды в кластере
- Визуализация ресурсов кластера
- Работа с образами из реестров
- Исследование событий безопасности
- Анализ событий контейнеров
- Поиск событий контейнеров
- Подробная информация о запущенном процессе
- Подробная информация о файловых операциях
- Подробная информация о сетевом трафике
- Подробная информация о выявленных вредоносных объектах
- Ограничения в отношении политик среды выполнения
- Исследование событий контейнеров с учетом соседних событий
- Анализ выявленных уязвимостей
- Анализ событий контейнеров
- Интеграция со сторонними ресурсами
- Настройка интеграции с внешними реестрами образов
- Минимально достаточные права для интеграции с реестрами
- Работа с публичными реестрами образов без авторизации
- Создание интеграции с внешним реестром образов
- Просмотр информации об интеграциях с реестрами
- Удаление интеграции с внешним реестром
- Интеграция с Harbor
- Создание интеграции по запросу Harbor
- Просмотр и изменение параметров Harbor External Integration
- Повторное сканирование
- Интеграция с CI/CD
- Проверка артефактов в процессах CI/CD
- Настройка интеграции с GitLab CI/CD
- Настройка интеграции с Jenkins CI/CD
- Настройка интеграции с TeamCity CI/CD
- Определение пути до образов контейнеров
- Контроль целостности и происхождения образов
- Запуск сканера в режиме SBOM
- Запуск сканера в режиме lite SBOM
- Получение результатов сканирования в форматах .JSON и .HTML
- Указание секретов при запуске сканирования
- Настройка интеграции с модулями проверки подписей образов
- Настройка интеграции со средствами уведомления
- Настройка интеграции с LDAP-сервером
- Настройка интеграции с SIEM-системами
- Интеграция с хранилищем HashiCorp Vault
- Настройка интеграции с внешними реестрами образов
- Настройка политик безопасности
- Политики сканирования
- Политики безопасности образов
- Политики реагирования
- Политики среды выполнения
- Создание политики среды выполнения
- Изменение параметров политики среды выполнения
- Работа с профилями среды выполнения контейнеров
- Работа с автопрофилями среды выполнения
- Удаление политик безопасности
- Проверка на соответствие стандартам
- Настройка и формирование отчетов
- Защита от файловых угроз
- Пользователи, роли и области применения
- Управление пользователями
- О ролях пользователей
- Действия в рамках системных ролей
- Отображение списка ролей
- Об областях применения
- Области применения и исполнение политик безопасности
- Переключение между областями применения
- Добавление пользователей, ролей и областей применения
- Сброс пароля для учетных записей пользователей
- Изменение параметров пользователей, ролей и областей применения
- Удаление пользователей, ролей и областей применения
- Использование Kaspersky Security для контейнеров OpenAPI
- Журнал событий безопасности
- Информация о состоянии компонентов решения
- Обеспечение безопасности и надежности компонентов
- Управление динамикой накопления данных
- Резервное копирование и восстановление данных
- Обращение в Службу технической поддержки
- Источники информации о программе
- Ограничения и предупреждения
- Уязвимости в сервисах сторонних производителей
- Глоссарий
- Информация о стороннем коде
- Уведомления о товарных знаках
- Условия использования ATT&CK MITRE
Создание базы данных для Kaspersky Security для контейнеров
Чтобы создать базу данных для Kaspersky Security для контейнеров,
в ClickHouse на рабочей станции выполните команду:
CREATE DATABASE IF NOT EXISTS kcs
где kcs – имя базы данных для Kaspersky Security для контейнеров.
Чтобы настроить параметры созданной базы данных для Kaspersky Security для контейнеров:
- Добавьте пользователей и определите способ их авторизации. Для этого выполните следующие шаги:
- Добавьте следующих пользователей:
- пользователя с правами на чтение данных, полученных ядром Kaspersky Security для контейнеров (англ. reader).
<roles><kcs_reader_role><grants><query>GRANT SELECT ON kcs.*</query></grants></kcs_reader_role> - пользователя с правами на запись данных из запросов от внешних агентов (англ. writer).
<roles><kcs_writer_role><grants><query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query><query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query></grants></kcs_writer_role>
- пользователя с правами на чтение данных, полученных ядром Kaspersky Security для контейнеров (англ. reader).
- Определите способ авторизации пользователей: с помощью пароля или сертификата.
Пример настройки пользователей с авторизацией с помощью пароля
<clickhouse>...<kcsuser-write><password>*********</password><networks><ip>::/0</ip></networks>...<grants><query>GRANT kcs_writer_role</query></grants></kcsuser-write><kcsuser-read><password>*********</password><networks><ip>::/0</ip></networks>...<grants><query>GRANT kcs_reader_role</query></grants></kcsuser-read>...<roles><kcs_reader_role><grants><query>GRANT SELECT ON kcs.*</query></grants></kcs_reader_role><kcs_writer_role><grants><query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query><query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query></grants></kcs_writer_role>...</roles>...</clickhouse>Пример настройки пользователей с авторизацией с помощью сертификата
<clickhouse>...<kcsuser-write><ssl_certificates><common_name>kcsuser-write</common_name></ssl_certificates><networks><ip>::/0</ip></networks>...<grants><query>GRANT kcs_writer_role</query></grants></kcsuser-write><kcsuser-read><ssl_certificates><common_name>kcsuser-read</common_name></ssl_certificates><networks><ip>::/0</ip></networks>...<grants><query>GRANT kcs_reader_role</query></grants></kcsuser-read>...<roles><kcs_reader_role><grants><query>GRANT SELECT ON kcs.*</query></grants></kcs_reader_role><kcs_writer_role><grants><query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query><query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query></grants></kcs_writer_role>...</roles>...</clickhouse>
- Добавьте следующих пользователей:
- Определите диски для краткосрочного и долгосрочного хранения данных. При работе с ClickHouse Kaspersky Security для контейнеров может сохранять большой объем данных с разными сроками хранения. По умолчанию основной объем событий хранится максимум 30 минут, а информация об инцидентах сохраняется до 90 дней. Поскольку для записи событий требуется много ресурсов, обеспечивающих высокую скорость записи и выделение места хранения, рекомендуется использовать разные диски для размещения данных на краткосрочное и долгосрочное хранение.
Пример настройки параметров хранения данных
<clickhouse>
...
<storage_configuration>
<disks>
<kcs_disk_hot>
<path>/etc/clickhouse/hot/</path>
</kcs_disk_hot>
<kcs_disk_cold>
<path>/etc/clickhouse/cold/</path>
</kcs_disk_cold>
</disks>
<policies>
<kcs_default>
<volumes>
<default>
<disk>kcs_disk_hot</disk>
</default>
<cold>
<disk>kcs_disk_cold</disk>
</cold>
</volumes>
</kcs_default>
</policies>
</storage_configuration>
...
</clickhouse>