Cette page offre une présentation générale des concepts et fonctionnalités de Container Threat Detection.
Qu'est-ce que Container Threat Detection ?
Container Threat Detection est un service intégré à Security Command Center qui surveille en permanence l'état des images de nœuds Container-Optimized OS. Le service évalue presque en temps réel toutes les modifications et toutes les tentatives d'accès à distance pour détecter les attaques visant l'environnement d'exécution.
Container Threat Detection détecte les attaques les plus courantes visant l'environnement d'exécution des conteneurs, et vous alerte dans Security Command Center et, éventuellement, dans Cloud Logging. Container Threat Detection inclut plusieurs fonctionnalités de détection, y compris les bibliothèques et les binaires suspects, et utilise le traitement du langage naturel (NLP) pour détecter les scripts bash malveillants.
Container Threat Detection n'est disponible qu'avec les niveaux Premium ou Enterprise. de Security Command Center.
Fonctionnement de Container Threat Detection
L'instrumentation de détection Container Threat Detection de Container collecte le comportement de bas niveau dans le noyau invité et les scripts bash exécutés. Voici le chemin d'exécution lorsque des événements sont détectés :
Container Threat Detection transmet les informations d'événement et les informations permettant via un DaemonSet en mode utilisateur vers un service de détection l'analyse. La collecte des événements est configurée automatiquement Container Threat Detection est activé.
Le DaemonSet de l'observateur transmet les informations du conteneur au mieux. Les informations sur le conteneur peuvent être supprimées du résultat signalé si le Kubernetes et l'environnement d'exécution du conteneur ne parviennent pas à fournir les informations sur le conteneur à temps.
Le service de détecteur analyse les événements pour déterminer si un événement indique un incident. Le contenu des scripts bash est analysé avec le TLN afin de déterminer si les scripts exécutés sont malveillants.
Si le service de détecteur identifie un incident, celui-ci est écrit en tant que résultat dans Security Command Center et, éventuellement, dans Cloud Logging.
- Si le service de détecteur n'identifie pas d'incident, les informations de résultats ne sont pas stockées.
- Toutes les données du noyau et du service de détecteur sont éphémères et aucune d'entre elles n'est stockée de manière permanente.
Vous pouvez consulter les détails de résultats dans le tableau de bord de Security Command Center et examiner les informations de résultats. Votre capacité à afficher et modifier les résultats est déterminée par les rôles qui vous sont attribués. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.
Détecteurs de Container Threat Detection
Container Threat Detection inclut les détecteurs suivants :
| Détecteur | Description | Entrées de détection |
|---|---|---|
| Fichier binaire ajouté exécuté |
Un fichier binaire ne faisant pas partie de l'image de conteneur d'origine a été exécuté. Si un fichier binaire ajouté est exécuté par un pirate informatique, il est possible qu'un pirate informatique ait le contrôle de la charge de travail et qu'il exécute des commandes arbitraires. |
Le détecteur recherche un fichier binaire en cours d'exécution qui ne fait pas partie de l'image de conteneur d'origine ou qui a été modifié à partir de l'image de conteneur d'origine. |
| Bibliothèque ajoutée chargée |
Une bibliothèque ne faisant pas partie de l'image de conteneur d'origine a été chargée. Si une bibliothèque ajoutée est chargée, il est possible qu'un pirate informatique ait le contrôle de la charge de travail et qu'il exécute du code arbitraire. |
Le détecteur recherche une bibliothèque en cours de chargement ne faisant pas partie de l'image de conteneur d'origine, ou qui a été modifiée à partir de l'image de conteneur d'origine. |
| Exécution: exécution du binaire malveillant ajouté |
Un binaire répondant aux conditions suivantes a été exécuté:
Si un binaire malveillant ajouté est exécuté, c’est le signe qu’un attaquant a le contrôle de la charge de travail et exécute des logiciels malveillants. |
Le détecteur recherche un binaire en cours d'exécution qui ne faisait pas partie du de l'image de conteneur d'origine. Il a été identifié comme malveillant sur la base de la menace et l'intelligence artificielle. |
| Exécution: ajout d'une bibliothèque malveillante chargée |
Une bibliothèque répondant aux conditions suivantes a été chargée:
Si une bibliothèque malveillante ajoutée est chargée, c’est le signe qu’un attaquant a le contrôle de la charge de travail et exécute des logiciels malveillants. |
Le détecteur recherche une bibliothèque en cours de chargement qui ne faisait pas partie du de l'image de conteneur d'origine. Il a été identifié comme malveillant sur la base de la menace et l'intelligence artificielle. |
| Exécution: un binaire malveillant intégré est exécuté |
Un binaire répondant aux conditions suivantes a été exécuté:
Si un binaire malveillant intégré est exécuté, cela indique que l’attaquant déploie des conteneurs malveillants. Ils ont peut-être pris le contrôle un dépôt d'images légitimes ou un pipeline de compilation de conteneurs binaire malveillant dans l'image de conteneur. |
Le détecteur recherche un binaire en cours d'exécution inclus dans le fichier de l'image de conteneur d'origine. Il a été identifié comme malveillant sur la base de la menace et l'intelligence artificielle. |
| Exécution: exécution d'un binaire malveillant modifié |
Un binaire répondant aux conditions suivantes a été exécuté: Si un binaire malveillant modifié est exécuté, c’est le signe qu’un attaquant a le contrôle de la charge de travail et exécute des logiciels malveillants. |
Le détecteur recherche un binaire en cours d'exécution qui était initialement inclus dans l'image du conteneur, mais modifié pendant l'exécution, et a été identifié comme et malveillants basés sur la Threat Intelligence. |
| Exécution: bibliothèque malveillante modifiée chargée |
Une bibliothèque répondant aux conditions suivantes a été chargée: Si une bibliothèque malveillante modifiée est chargée, c’est le signe qu’un attaquant a le contrôle de la charge de travail et exécute des logiciels malveillants. |
Le détecteur recherche une bibliothèque en cours de chargement qui avait été incluse à l'origine. dans l'image du conteneur, mais modifié pendant l'exécution, et a été identifié comme et malveillants basés sur la Threat Intelligence. |
| Script malveillant exécuté | Un modèle de machine learning a identifié un script bash exécuté comme malveillant. Les pirates informatiques peuvent utiliser des scripts bash pour transférer des outils ou d'autres fichiers d'un système externe vers un environnement compromis afin d'exécuter des commandes sans binaires. | Le détecteur utilise des techniques de TLN pour évaluer le contenu d'un script bash exécuté. Étant donné que cette approche n'est pas basée sur les signatures, les détecteurs peuvent identifier les scripts malveillants connus et inconnus. |
| URL malveillante observée | Container Threat Detection a observé une URL malveillante dans la liste d'arguments. d'un processus en cours d'exécution. | Le détecteur vérifie les URL observées dans la liste d'arguments de des processus sur les listes de ressources Web non sécurisées sont gérés par le service de navigation sécurisée de Google. Si une URL est classée à tort dans la catégorie des tentatives d'hameçonnage ou des logiciels malveillants, signalez-la à la navigation sécurisée à l'adresse Signaler des données incorrectes. |
| Interface système inversée |
Un processus a commencé par une redirection de flux vers un socket connecté distant. Grâce à l'interface système inversée, un pirate informatique peut communiquer à partir d'une charge de travail compromise vers une machine contrôlée par un pirate informatique. Le pirate informatique peut ensuite commander et contrôler la charge de travail pour effectuer les actions souhaitées, par exemple dans le cadre d'un botnet. |
Le détecteur recherche stdin lié à un socket distant. |
| Shell enfant inattendu |
Un processus qui n'appelle normalement pas de shells a généré un processus shell. |
Le détecteur surveille toutes les exécutions de processus. Lorsqu'une interface système est appelée, le détecteur génère un résultat si le processus parent n'appelle généralement pas de shells. |
Étape suivante
- Apprenez à utiliser Container Threat Detection.
- Découvrez comment tester Container Threat Detection.
- Découvrez comment examiner et développer des plans d'intervention sur les menaces.
- Découvrez Artifact Analysis et l'analyse des failles.