Ansichten:

Stoppen Sie die Verbreitung von verdächtigem Verhalten innerhalb eines Containers, indem Sie den enthaltenen Pod von der Umgebung isolieren.

Diese Aufgabe wird von den folgenden Diensten unterstützt:
  • Trend Vision One Container Security
Wichtig
Wichtig
Nur derzeit laufende Kubernetes-Pods werden für die Aufgabe Isolate Container unterstützt.
Die Aufgabe Isolate Container ermöglicht es Ihnen, die Verbreitung verdächtiger Prozesse innerhalb eines Containers zu begrenzen und deren Ursachen zu untersuchen, indem Sie den Pod von relevanten Netzwerken trennen und den Datentransfer in und aus dem Pod verhindern. Das Isolieren eines Containers ist dem Beenden eines Containers vorzuziehen, da es die Beweise bewahrt, die benötigt werden, um das Verhalten zukünftig zu verhindern. Starten Sie die Aufgabe über Kontextmenüs in der Trend Vision One-Konsole.

Prozedur

  1. Nachdem Sie den zu isolierenden Container identifiziert haben, greifen Sie auf das Kontext- oder Antwortmenü zu und klicken Sie auf Isolate Container.
    Das Fenster Isolate Container Task wird angezeigt.
  2. Bestätigen Sie das Ziel der Antwort.
  3. Geben Sie einen Beschreibung für die Antwort oder das Ereignis an.
  4. Klicken Sie auf Erstellen.
    Trend Vision One erstellt die Aufgabe und zeigt den aktuellen Aufgabenstatus in Response Management an.
  5. Überwachen Sie den Aufgabenstatus.
    1. Navigieren Sie zu Workflow and AutomationResponse Management.
    2. (Optional) Lokalisieren Sie die Aufgabe mithilfe des Feldes Suche oder indem Sie Isolate Container aus der Dropdown-Liste Aktion auswählen.
    3. Zeigen Sie den Aufgabenstatus an.
      • Wird ausgeführt (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=de-de=Low.jpg): Trend Vision One hat den Befehl gesendet und wartet auf eine Antwort.
      • Erfolgreich (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=de-de=Low.jpg): Der Befehl wurde erfolgreich ausgeführt.
      • Nicht erfolgreich (error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg): Beim Versuch, den Befehl zu senden, ist ein Fehler oder ein Timeout aufgetreten, oder das angegebene Pod existiert nicht mehr.
    Nachdem das Sicherheitsproblem im isolierten Container behoben wurde, können Sie den Container fortsetzen, indem Sie auf die Schaltfläche für Optionen (options_icon=GUID-408062FA-DA13-4ECA-81EB-31A5B68355A1=1=de-de=Low.jpg) im Zusammenhang mit der Aufgabenverwaltung für die Reaktion klicken und Resume Container auswählen.
    Weitere Informationen finden Sie im Container-Aufgabe fortsetzen.