Удосконалення моделі проактивного реагування на інциденти в Kubernetes-кластерах шляхом кореляції подій та автоматизованої ізоляції

Abstract

This paper addresses the problem of delayed incident response in highly dynamic Kubernetes container orchestration environments. It is established that traditional monitoring systems (SIEM, IDS) are often unable to provide timely threat localization due to the high volume of events and their rapid development. An improved proactive response model is proposed, based on the correlation of heterogeneous events (Kubernetes Audit Logs, system logs, network flows) to calculate an integral risk score for each container. Based on this score, the model activates an automated isolation algorithm that instantly restricts network access (via NetworkPolicy) and resources of the compromised element, preventing the lateral spread of the attack.

У роботі розглядається проблема затримки реагування на інциденти безпеки у високодинамічних середовищах оркестрації контейнерів Kubernetes. Встановлено, що традиційні системи моніторингу (SIEM, IDS) часто нездатні забезпечити своєчасну локалізацію загроз через надмірну кількість подій та швидку динаміку їх розвитку. Запропоновано удосконалену модель проактивного реагування, що базується на кореляції різнорідних подій (Kubernetes Audit Logs, системні журнали, мережеві потоки) для розрахунку інтегрального показника ризику для кожного контейнера. На основі цього показника, модель активує алгоритм автоматизованої ізоляції, який миттєво обмежує мережевий доступ (через NetworkPolicy) та ресурси скомпрометованого елемента, запобігаючи горизонтальному поширенню атаки.