Panoramica di Container Threat Detection

Questa pagina fornisce una panoramica generale dei concetti e delle funzionalità di Container Threat Detection.

Che cos'è Container Threat Detection?

Container Threat Detection è un servizio integrato di Security Command Center che monitora continuamente lo stato delle immagini dei nodi Container-Optimized OS. Il servizio valuta tutte le modifiche e i tentativi di accesso remoto per rilevare gli attacchi di runtime quasi in tempo reale.

Container Threat Detection rileva gli attacchi runtime ai container più comuni e ti invia avvisi in Security Command Center e, facoltativamente, in Cloud Logging. Container Threat Detection include diverse funzionalità di rilevamento, tra cui librerie e file binari sospetti, e utilizza l'elaborazione del linguaggio naturale (NLP) per rilevare codice Python e Bash dannoso.

Container Threat Detection è disponibile solo con il livello Premium o Enterprise di Security Command Center.

Come funziona Container Threat Detection

La strumentazione di rilevamento di Container Threat Detection raccoglie il comportamento a basso livello nel kernel guest e negli script eseguiti. Di seguito è riportato il percorso di esecuzione quando vengono rilevati gli eventi:

  1. Container Threat Detection passa le informazioni sugli eventi e quelle che identificano il contenitore tramite un DaemonSet in modalità utente a un servizio di rilevamento per l'analisi. La raccolta degli eventi viene configurata automaticamente quando viene attivato Container Threat Detection.

    Il DaemonSet del watcher trasmette le informazioni sui contenitori secondo il criterio del massimo impegno. Le informazioni sul contenitore possono essere eliminate dal rilevamento segnalato se Kubernetes e il runtime del contenitore non riescono a fornire tempestivamente le informazioni corrispondenti sul contenitore.

  2. Il servizio di rilevamento analizza gli eventi per determinare se un evento è indicativo di un incidente. Bash e Python vengono analizzati con l'NLP per determinare se il codice eseguito è dannoso.

  3. Se il servizio di rilevamento identifica un incidente, questo viene registrato come risultato in Security Command Center e, facoltativamente, in Cloud Logging.

    • Se il servizio di rilevamento non identifica un incidente, le informazioni sui risultati non vengono memorizzate.
    • Tutti i dati nel servizio del kernel e del rilevatore sono effimeri e non vengono memorizzati in modo permanente.

Puoi visualizzare i dettagli dei risultati nella console di Security Command Center ed esaminare le informazioni sui risultati. La tua capacità di visualizzare e modificare i risultati dipende dai ruoli che ti sono stati assegnati. Per ulteriori informazioni sui ruoli di Security Command Center, consulta Controllo dell'accesso.

Rilelevatori di Container Threat Detection

Container Threat Detection include i seguenti rilevatori:

Rilevatore Descrizione Input per il rilevamento
Programma binario aggiuntivo eseguito

È stato eseguito un file binario che non faceva parte dell'immagine del contenitore originale.

Se un file binario aggiunto viene eseguito da un malintenzionato, è possibile che quest'ultimo abbia il controllo del carico di lavoro ed esegua comandi arbitrari.

Il rilevatore cerca un file binario in esecuzione che non faceva parte dell'immagine del container originale o che è stato modificato rispetto all'immagine del container originale.
Libreria aggiuntiva caricata

È stata caricata una libreria che non faceva parte dell'immagine contenitore originale.

Se viene caricata una libreria aggiunta, è possibile che un malintenzionato abbia il controllo del carico di lavoro ed stia eseguendo codice arbitrario.

Il rilevatore cerca una libreria in fase di caricamento che non faceva parte dell'immagine del contenitore originale o che è stata modificata rispetto all'immagine del contenitore originale.
Esecuzione: programma binario dannoso aggiuntivo eseguito

È stato eseguito un file binario che soddisfa le seguenti condizioni:

  • Identificato come dannoso in base alle informazioni sulla minaccia
  • Non fa parte dell'immagine del contenitore originale

Se viene eseguito un file binario dannoso aggiunto, è un chiaro segno che un malintenzionato ha il controllo del carico di lavoro ed esegue software dannoso.

Il rilevatore cerca un file binario in esecuzione che non faceva parte dell'immagine del contenitore originale ed è stato identificato come dannoso in base alle informazioni sulle minacce.
Esecuzione: caricamento di una libreria dannosa aggiuntiva

È stata caricata una libreria che soddisfa le seguenti condizioni:

  • Identificato come dannoso in base alle informazioni sulla minaccia
  • Non fa parte dell'immagine del contenitore originale

Se viene caricata una libreria dannosa aggiunta, è un chiaro segnale che un malintenzionato ha il controllo del carico di lavoro ed esegue software dannoso.

Il rilevatore cerca una libreria in fase di caricamento che non faceva parte dell'immagine del contenitore originale ed è stata identificata come dannosa in base alle informazioni sulle minacce.
Esecuzione: programma binario dannoso integrato eseguito

È stato eseguito un file binario che soddisfa le seguenti condizioni:

  • Identificato come dannoso in base alle informazioni sulla minaccia
  • Inclusi nell'immagine contenitore originale

Se viene eseguito un file binario dannoso integrato, è un segno che l'autore dell'attacco sta implementando container dannosi. Potrebbero aver acquisito il controllo di un repository di immagini o della pipeline di compilazione del container legittimi e aver iniettato un file binario dannoso nell'immagine del container.

Il rilevatore cerca un file binario in esecuzione incluso nell'immagine del contenitore originale e identificato come dannoso in base all'intelligence sulle minacce.
Esecuzione: codice Python dannoso eseguito (anteprima)

Un modello di machine learning ha identificato il codice Python specificato come dannoso. Gli utenti malintenzionati possono utilizzare Python per trasferire strumenti o altri file da un sistema esterno a un ambiente compromesso ed eseguire comandi senza file binari.

Il rilevatore utilizza tecniche di NLP per valutare i contenuti del codice Python eseguito. Poiché questo approccio non si basa su firme, i rilevatori possono identificare malware Python noti e nuovi.
Esecuzione: programma binario dannoso modificato eseguito

È stato eseguito un file binario che soddisfa le seguenti condizioni:

  • Identificato come dannoso in base alle informazioni sulla minaccia
  • Inclusi nell'immagine contenitore originale
  • Modificata dall'immagine del contenitore originale durante il runtime

Se viene eseguito un programma binario dannoso modificato, è un chiaro indizio che un malintenzionato ha il controllo del carico di lavoro ed esegue software dannoso.

Il rilevatore cerca un file binario in esecuzione che inizialmente era incluso nell'immagine del contenitore, ma è stato modificato durante l'esecuzione ed è stato identificato come dannoso in base alle informazioni sulle minacce.
Esecuzione: caricamento di una libreria dannosa modificata

È stata caricata una libreria che soddisfa le seguenti condizioni:

  • Identificato come dannoso in base alle informazioni sulla minaccia
  • Inclusi nell'immagine contenitore originale
  • Modificata dall'immagine del contenitore originale durante il runtime

Se viene caricata una libreria dannosa modificata, è un chiaro segno che un malintenzionato ha il controllo del carico di lavoro ed esegue software dannoso.

Il rilevatore cerca una libreria in fase di caricamento che era inizialmente inclusa nell'immagine del contenitore, ma modificata durante l'esecuzione ed è stata identificata come dannosa in base alle informazioni sulle minacce.
Script dannoso eseguito

Un modello di machine learning ha identificato il codice Bash specificato come dannoso. Gli utenti malintenzionati possono utilizzare Bash per trasferire strumenti o altri file da un sistema esterno a un ambiente compromesso ed eseguire comandi senza binari.

Il rilevatore utilizza tecniche di NLP per valutare i contenuti del codice Bash eseguito. Poiché questo approccio non si basa su firme, i rilevatori possono identificare bash dannosi noti e nuovi.
URL dannoso rilevato Container Threat Detection ha rilevato un URL dannoso nell'elenco degli argomenti di un processo in esecuzione. Il rilevatore controlla gli URL osservati nell'elenco degli argomenti dei processi in esecuzione rispetto agli elenchi di risorse web non sicure gestiti dal servizio Navigazione sicura di Google. Se un URL è classificato erroneamente come phishing o malware, segnalalo alla pagina Segnalazione di dati errati.
Shell inversa

È stato avviato un processo con il reindirizzamento dello stream a una socket collegata da remoto.

Con una shell inversa, un malintenzionato può comunicare da un workload compromesso a una macchina controllata dall'utente malintenzionato. L'aggressore può quindi controllare il carico di lavoro, ad esempio nell'ambito di una botnet.

Il rilevatore cerca stdin associato a una socket remota.
Shell secondario imprevisto Un processo che normalmente non richiama shell ha generato un processo shell. Il rilevatore monitora tutte le esecuzioni dei processi. Quando viene richiamata una shell, il rilevatore genera un rilevamento se è noto che il processo principale in genere non richiama le shell.

Passaggi successivi