创建并生效拦截策略后,约3-5分钟左右生效。生效后,如命中的风险镜像存在启动容器行为,系统将按照策略配置的告警、拦截要求,对镜像启动行为进行告警、或拦截容器启动并上报拦截记录。
目前支持拦截的镜像类型:存在严重&高危漏洞、木马病毒、敏感信息风险的镜像,特权模式启动镜像。
拦截特权模式镜像仅支持配置一条规则,如需修改拦截镜像的范围,可编辑调整已配置规则。
事件概览
用户配置镜像启动拦截策略后,如策略立即生效,则目标风险镜像启动容器时,将实时拦截镜像启动行为并上报事件记录;如策略配置了观察期,观察期仅告警不拦截,则目标风险镜像启动容器时,将实时上报镜像启动行为记录。两种情况均会产生事件记录。
事件概览中,将对每日镜像启动拦截事件和仅告警的事件进行统计,展示近7日两类事件的趋势图和当前的事件总数。
策略概览
事件列表
事件列表中记录的为已生效拦截策略产生的镜像启动拦截事件和观察期策略产生的镜像启动告警事件。用户可通过事件类型、执行动作、最近生成时间等进行筛选,或通过命中策略、镜像名称、镜像 ID、镜像所在节点名称、节点内网 IP、节点外网 IP 等进行关键字检索。
事件类型包括:风险镜像拦截,即镜像包括某些漏洞、木马或敏感信息,需对包含这些风险的镜像进行拦截;特权镜像拦截,即镜像以特权模式启动容器时,进行拦截。
执行动作包括:拦截成功,即已生效拦截策略产生的镜像启动拦截事件;告警,即观察期策略产生的镜像启动告警事件。
用户可单击操作列的详情,查看事件详情,包括事件详情、命中策略、影响范围、风险描述和解决方案。
事件详情:系统会对同一镜像的同一拦截或告警事件进行聚合,聚合时间为当天。此部分展示拦截或拦截事件的事件类型、事件数量和发生的时间段。
命中策略:展示已生效拦截策略或观察期策略的名称、类型、启动状态、策略状态、开始拦截时间、策略描述和策略拦截内容。用户可单击策略名称/策略类型旁的详情,查看此条事件关联的策略详情。
影响范围:展示需拦截的目标镜像的名称、镜像 ID、镜像所在节点的名称和 IP 等。
风险描述:展示详细的拦截事件或告警事件的原因,例如由于存在严重漏洞,命中拦截策略。同时展示详细的镜像启动参数。
解决方案:建议用户对存在漏洞、木马病毒或敏感信息的镜像进行修复,避免影响业务。