Questa pagina fornisce una panoramica generale dei concetti e delle funzionalità di Container Threat Detection.
Che cos'è Container Threat Detection?
Container Threat Detection è un servizio integrato di Security Command Center che monitora continuamente lo stato delle immagini dei nodi Container-Optimized OS. Il servizio valuta tutte le modifiche e i tentativi di accesso remoto per rilevare gli attacchi di runtime in quasi in tempo reale.
Container Threat Detection rileva gli attacchi e gli avvisi più comuni al runtime dei container in Security Command Center e, facoltativamente, in Cloud Logging. Rilevamento delle minacce a container include diverse funzionalità di rilevamento, inclusi file binari sospetti e librerie e utilizza l'elaborazione del linguaggio naturale (NLP) per rilevare basi dannose script.
Container Threat Detection è disponibile solo con il livello Premium o Enterprise livello di Security Command Center.
Come funziona Container Threat Detection
La strumentazione di rilevamento di Container Threat Detection raccoglie comportamenti di basso livello nell’ con il kernel guest e gli script bash eseguiti. Di seguito è riportato il percorso di esecuzione di questi eventi:
Container Threat Detection passa le informazioni sugli eventi e le informazioni che identificano il container attraverso un oggetto DaemonSet in modalità utente e analisi. La raccolta degli eventi viene configurata automaticamente Container Threat Detection è abilitato.
L'osservatore DaemonSet trasmette le informazioni del contenitore nel modo migliore possibile. Le informazioni del container possono essere eliminate dal risultato segnalato se Kubernetes e il runtime del container non inviano le informazioni del contenitore nel tempo.
Il servizio di rilevamento analizza gli eventi per determinare se un evento indicativo di un incidente. I contenuti degli script bash vengono analizzati con l'NLP per determinare se gli script eseguiti sono dannosi.
Se il servizio di rilevamento identifica un incidente, quest'ultimo viene scritto come in Security Command Center e, facoltativamente, in Cloud Logging.
- Se il servizio di rilevamento non identifica un incidente, la ricerca e le informazioni non vengono memorizzate.
- Tutti i dati nel kernel e nel servizio di rilevamento sono temporanei e in modo permanente.
Puoi visualizzare i dettagli dei risultati nella dashboard di Security Command Center ed esaminare trovare informazioni. La possibilità di visualizzare e modificare i risultati è determinata dal i ruoli che ti vengono concessi. Per saperne di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.
Rilevatori di Container Threat Detection
Container Threat Detection include i seguenti rilevatori:
| Rilevatore | Descrizione | Input di rilevamento |
|---|---|---|
| Programma binario aggiuntivo eseguito |
È stato eseguito un programma binario che non faceva parte dell'immagine container originale. Se un programma binario aggiunto viene eseguito da un utente malintenzionato, è un possibile segno che un utente malintenzionato abbia il controllo del carico di lavoro e che stia eseguendo tramite comandi arbitrari. |
Il rilevatore cerca un programma binario in esecuzione che non faceva parte del l'immagine container originale o è stata modificata rispetto al contenitore originale dell'immagine. |
| Libreria aggiuntiva caricata |
È stata caricata una libreria che non faceva parte dell'immagine container originale. Se viene caricata una libreria aggiunta, è possibile che un utente malintenzionato controlla il carico di lavoro e sta eseguendo un codice arbitrario. |
Il rilevatore cerca una libreria caricata che non faceva parte del l'immagine container originale o è stata modificata rispetto al contenitore originale dell'immagine. |
| Esecuzione: esecuzione di elementi binari dannosi aggiunta |
È stato eseguito un file binario che soddisfa le seguenti condizioni:
L'aggiunta di un file binario dannoso è un segnale forte che un utente malintenzionato controlla il carico di lavoro e esegue software dannoso. |
Il rilevatore cerca un programma binario in esecuzione che non faceva parte del container originale ed è stata identificata come dannosa in base alla minaccia l'intelligenza artificiale. |
| Esecuzione: aggiunta di libreria dannosa caricata |
È stata caricata una libreria che soddisfa le seguenti condizioni:
Se viene caricata una libreria dannosa, è un chiaro segnale che un utente malintenzionato controlla il carico di lavoro e esegue software dannoso. |
Il rilevatore cerca una libreria caricata che non faceva parte del container originale ed è stata identificata come dannosa in base alla minaccia l'intelligenza artificiale. |
| Esecuzione: esecuzione binaria dannosa integrata |
È stato eseguito un file binario che soddisfa le seguenti condizioni:
L'esecuzione di un file binario dannoso integrato indica che l'aggressore il deployment di container dannosi. Potrebbero aver acquisito il controllo di un repository di immagini o una pipeline di build del container legittima e ha inserito un file binario dannoso nell'immagine container. |
Il rilevatore cerca un programma binario in esecuzione incluso nel container originale ed è stata identificata come dannosa in base alla minaccia l'intelligenza artificiale. |
| Esecuzione: esecuzione di un file binario dannoso modificato |
È stato eseguito un file binario che soddisfa le seguenti condizioni:
L'esecuzione di un file binario dannoso modificato è un chiaro segnale che un utente malintenzionato controlla il carico di lavoro e esegue software dannoso. |
Il rilevatore cerca un programma binario in esecuzione che è stato originariamente incluso nell'immagine container, ma modificata durante il runtime ed è stata identificata come dannose in base alle informazioni sulle minacce. |
| Esecuzione: libreria dannosa modificata caricata |
È stata caricata una libreria che soddisfa le seguenti condizioni: Se viene caricata una libreria dannosa modificata, è un chiaro segnale che un utente malintenzionato controlla il carico di lavoro e esegue software dannoso. |
Il rilevatore cerca una libreria caricata che è stata originariamente inclusa nell'immagine container, ma modificata durante il runtime ed è stata identificata come dannose in base alle informazioni sulle minacce. |
| Script dannoso eseguito | Un modello di machine learning ha identificato uno script bash eseguito come dannoso. Gli aggressori possono usare gli script bash per trasferire strumenti o altro file da un sistema esterno in un ambiente compromesso ed eseguire senza file binari. | Il rilevatore utilizza tecniche NLP per valutare contenuti di uno script bash eseguito. Poiché questo approccio non si basa su i rilevatori possono identificare script dannosi noti e sconosciuti. |
| URL dannoso osservato | Container Threat Detection ha rilevato un URL dannoso nell'elenco di argomenti di un processo in esecuzione. | Il rilevatore controlla gli URL osservati nell'elenco di argomenti di di processi in esecuzione a fronte degli elenchi di risorse web non sicure che sono gestiti da Google Navigazione sicura completamente gestito di Google Cloud. Se un URL viene classificato erroneamente come phishing o malware, segnalalo a Report Dati errati. |
| Shell inversa |
Processo avviato con il reindirizzamento dello stream a un socket connesso remoto. Con una reverse shell, un aggressore può comunicare da una rete compromessa carico di lavoro a un computer controllato da un aggressore. L'aggressore può quindi il comando e il controllo del carico di lavoro, ad esempio nell'ambito di una botnet. |
Il rilevatore cerca stdin associato a un socket remoto.
|
| Shell figlio imprevista |
Un processo che in genere non richiama le shell ha generato un processo shell. |
Il rilevatore monitora tutte le esecuzioni del processo. Quando viene richiamata una shell, il rilevatore genera un risultato se è noto che il processo padre in genere non richiama le shell. |
Passaggi successivi
- Informazioni su utilizzando Container Threat Detection.
- Informazioni su test di Container Threat Detection.
- Scopri come esaminare e sviluppare piani di risposta per le minacce.
- Informazioni su Analisi degli artefatti e analisi delle vulnerabilità.