滴定-动态策略和漏洞检测

滴定可以做的令人敬畏的事情之一是基于不断变化的条件创建动态策略并检测工作负载中的易受攻击的软件。在此博客文章中,我将简要介绍这两个功能。

使用动态策略,我们可以根据条件更改或端点本身的条件来更改工作负载具有的访问级别。例如,如果我们想创建一个策略来告诉Tetration查找任何运行Docker的服务器并确保它无法访问园区网络,那么我们可以轻松地做到这一点。

上面描绘的策略基本上表明,如果工作负载正在运行Docker进程,则将阻止它与校园笔记本电脑和台式机进行通信。仅当Docker进程正在运行时,此策略才会生效。如果未运行,则有关该工作负载的策略将不会拒绝访问这些园区台式机和笔记本电脑。

如果我们接下来想深入了解到底哪些服务器正在运行Docker服务,我们可以单击 Docker_进程 在上面的策略中,所有运行Docker进程的服务器都将显示在右侧窗格中。

上面的动态策略的一个很好的用例是将其与Tetration的功能相结合,以检测服务器上安装的易受攻击的软件包。由于Tetration会清点每个端点中安装的每个软件包的清单,并将其与已知的CVE进行比较,因此它能够对发现的任何高风险CVE发出警报。如果我们想做的不只是针对那些CVE发出警报,我们还可以通过动态策略进一步采取措施,以在检测到那些高风险CVE时限制暴露。

在上述示例策略中,具有关键CVE的服务器将被拒绝访问Internet。这样,如果检测到CVE,服务器和用户仍可以通信,因此业务不会受到干扰,但是只要Tetration检测到CVE,具有该漏洞的服务器将无法直接与Internet通信。从上图可以看到,也可以单击 关键_CVE 在策略中,然后在右侧窗格中查看检测到那些关键CVE的端点数。由于该策略是动态的,因此一旦清除CVE并且在服务器上不再检测到CVE,该策略将自动更改并继续其正常操作。