En esta página, se proporciona una descripción general de alto nivel de los conceptos y las características de Container Threat Detection.
¿Qué es Container Threat Detection?
La detección de amenazas a contenedores es un servicio integrado para el nivel Premium de Security Command Center que supervisa de manera continua el estado de las imágenes de nodo de Container-Optimized OS. El servicio evalúa todos los cambios y los intentos de acceso remoto para detectar ataques en el entorno de ejecución casi en tiempo real.
Container Threat Detection detecta los ataques más comunes en el entorno de ejecución del contenedor y te alerta en el Security Command Center y, de forma opcional, en Cloud Logging. Container Threat Detection incluye varias funciones de detección, como objetos binarios y bibliotecas sospechosos, y usa el procesamiento de lenguaje natural (PLN) para detectar secuencias de comandos de Bash maliciosas.
Cómo funciona la Detección de amenazas a contenedores
La instrumentación de detección de amenazas a contenedores recopila el comportamiento de bajo nivel en el kernel de invitado y las secuencias de comandos de Bash ejecutadas. La siguiente es la ruta de ejecución cuando se detectan eventos:
Container Threat Detection pasa información del evento y la información que identifica el contenedor a través de un DaemonSet de modo de usuario a un servicio de detector para su análisis. La recopilación de eventos se configura automáticamente cuando la detección de amenazas a contenedores está habilitada.
El DaemonSet del observador pasa información del contenedor de la mejor manera posible. La información del contenedor se puede descartar del resultado informado si Kubernetes y el entorno de ejecución del contenedor no entregan la información del contenedor correspondiente a tiempo.
El servicio de detector analiza eventos para determinar si un evento indica que se produjo un incidente. El contenido de las secuencias de comandos de Bash se analiza con PLN para determinar si las secuencias de comandos ejecutadas son maliciosas.
Si el servicio de detector identifica un incidente, el incidente se escribe como un resultado en Security Command Center y, de forma opcional, en Cloud Logging.
- Si el servicio de detector no identifica un incidente, no se almacena información de búsqueda.
- Todos los datos en el servicio de kernel y el detector son efímeros y no se almacenan de forma persistente.
Puedes ver los detalles de los resultados en el panel de Security Command Center y, luego, investigar la información de búsqueda. La capacidad para ver y editar resultados se determina según las funciones que se te otorgan. Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.
Detectores de detección de amenazas de contenedores
La detección de amenazas a contenedores incluye los siguientes detectores:
| Detector | Descripción | Entradas para la detección |
|---|---|---|
| Se ejecutó el objeto binario añadido |
Se ejecutó un objeto binario que no formaba parte de la imagen del contenedor original. Si un atacante ejecuta un objeto binario agregado, es una posible señal de que tiene el control de la carga de trabajo y está ejecutando comandos arbitrarios. |
El detector busca un objeto binario en ejecución que no fuera parte de la imagen del contenedor original o que se haya modificado a partir de la imagen del contenedor original. |
| Se cargó la biblioteca agregada |
Se cargó una biblioteca que no formaba parte de la imagen del contenedor original. Si se carga una biblioteca agregada, es una posible señal de que un atacante tiene el control de la carga de trabajo y está ejecutando un código arbitrario. |
El detector busca una biblioteca que se carga y que no formaba parte de la imagen de contenedor original, o que se modificó a partir de la imagen del contenedor original. |
| Ejecución: Ejecución de binario malicioso agregado |
Se ejecutó un objeto binario que cumple con las siguientes condiciones:
Si se ejecuta un objeto binario malicioso agregado, es una gran señal de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. |
El detector busca un objeto binario en ejecución que no formaba parte de la imagen del contenedor original y se identificó como malicioso en función de la inteligencia de amenazas. |
| Ejecución: Se cargó una biblioteca maliciosa |
Se cargó una biblioteca que cumplía con las siguientes condiciones:
Si se carga una biblioteca maliciosa agregada, es una gran señal de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. |
El detector busca una biblioteca que se está cargando que no formaba parte de la imagen de contenedor original y se identificó como maliciosa en función de la inteligencia de amenazas. |
| Ejecución: Ejecución de binario malicioso integrado |
Se ejecutó un objeto binario que cumple con las siguientes condiciones:
Si se ejecuta un objeto binario malicioso integrado, es una señal de que el atacante está implementando contenedores maliciosos. Es posible que hayan obtenido el control de un repositorio de imágenes o de una canalización de compilación de contenedores legítimos, y que hayan inyectado un objeto binario malicioso en la imagen de contenedor. |
El detector busca un objeto binario en ejecución que se incluyó en la imagen del contenedor original y que se identificó como malicioso en función de la inteligencia de amenazas. |
| Ejecución: Ejecución de binario malicioso modificado |
Se ejecutó un objeto binario que cumple con las siguientes condiciones: Si se ejecuta un objeto binario malicioso modificado, es una gran señal de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. |
El detector busca un objeto binario en ejecución que se incluyó en un principio en la imagen de contenedor, pero se modificó durante el entorno de ejecución y que se identificó como malicioso según la inteligencia de amenazas. |
| Ejecución: Se cargó la biblioteca maliciosa modificada |
Se cargó una biblioteca que cumplía con las siguientes condiciones: Si se carga una biblioteca maliciosa modificada, es una gran señal de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. |
El detector busca una biblioteca que se carga y que se incluyó originalmente en la imagen de contenedor, pero que se modificó durante el entorno de ejecución, y que se identificó como maliciosa según la inteligencia de amenazas. |
| Secuencia de comandos maliciosa ejecutada | Un modelo de aprendizaje automático identificó una secuencia de comandos de Bash ejecutada como maliciosa. Los atacantes pueden usar secuencias de comandos de Bash para transferir herramientas o cualquier otro archivo desde un sistema externo a un entorno vulnerado y ejecutar comandos sin objetos binarios. | El detector usa técnicas de PLN para evaluar el contenido de una secuencia de comandos bash ejecutada. Dado que este enfoque no se basa en firmas, los detectores pueden identificar secuencias de comandos maliciosas conocidas y desconocidas. |
| Se observó una URL maliciosa | La detección de amenazas a contenedores observó una URL maliciosa en la lista de argumentos de un proceso en ejecución. | El detector compara las URLs que se observan en la lista de argumentos de los procesos en ejecución con las listas de recursos web no seguros que mantiene el servicio de Navegación segura de Google. Si una URL se clasificó de forma incorrecta como suplantación de identidad (phishing) o software malicioso, denúnciala a Navegación segura en Cómo informar datos incorrectos. |
| Shells inversas |
Es un proceso iniciado con redireccionamiento de transmisión a un socket remoto conectado. Con una shell inversa, un atacante puede comunicarse desde una carga de trabajo comprometida a una máquina controlada por atacantes. Luego, el atacante puede dirigir y controlar la carga de trabajo para realizar las acciones deseadas, por ejemplo, como parte de un botnet. |
El detector busca stdin vinculado a un socket remoto.
|
| Shell secundario inesperado |
Un proceso que normalmente no invoca shells generó un proceso de shell. |
El detector supervisa todas las ejecuciones de procesos. Cuando se invoca una shell, el detector genera un hallazgo si se sabe que el proceso superior no suele invocar shells. |
¿Qué sigue?
- Obtén más información para usar la detección de amenazas de contenedores.
- Obtén más información para probar la detección de amenazas de contenedores.
- Obtén información a fin de investigar y desarrollar planes de respuesta para las amenazas.
- Obtén más información sobre Artifact Analysis y análisis de vulnerabilidades.