Diese Seite bietet eine allgemeine Übersicht über die Konzepte und Features von Container Threat Detection.
Was ist Container Threat Detection?
Container Threat Detection ist ein integrierter Dienst für die Premium-Stufe des Security Command Center, der kontinuierlich den Zustand von Container-Optimized OS-Knoten-Images überwacht. Der Dienst wertet alle Änderungen und Remote-Zugriffsversuche aus, um Laufzeitangriffe nahezu in Echtzeit zu erkennen.
Container Threat Detection erkennt die gängigsten Containerlaufzeit-Angriffe und benachrichtigt Sie in Security Command Center und optional in Cloud Logging. Container Threat Detection umfasst mehrere Erkennungsfunktionen, einschließlich verdächtiger Binärdateien und Bibliotheken, und erkennt schädliche Bash-Skripts mithilfe von Natural Language Processing (NLP).
Funktionsweise von Container Threat Detection
Die Container Threat Detection-Erkennung erfasst Low-Level-Verhalten im Gast-Kernel und in ausgeführten Bash-Skripts. Wenn Ereignisse erkannt werden, sieht der Ausführungspfad so aus:
Container Threat Detection übergibt Ereignisinformationen und -informationen, die den Container über ein DaemonSet im Nutzermodus identifiziert, an einen Detektordienst zur Analyse. Die Ereigniserfassung wird automatisch konfiguriert, wenn Container Threat Detection aktiviert ist.
Das Watcher-DaemonSet übergibt Containerinformationen bestmöglich. Containerinformationen können aus dem gemeldeten Ergebnis gelöscht werden, wenn Kubernetes und die Containerlaufzeit die entsprechenden Containerinformationen nicht rechtzeitig bereitstellen.
Der Erkennungsdienst analysiert Ereignisse, um festzustellen, ob ein Ereignis auf einen Vorfall hindeutet. Der Inhalt von Bash-Skripts wird mit NLP analysiert, um festzustellen, ob die ausgeführten Skripts schädlich sind.
Wenn der Detektordienst einen Vorfall identifiziert, wird der Vorfall als Ergebnis in Security Command Center und optional in Cloud Logging geschrieben.
- Wenn der Detektordienst keinen Vorfall identifiziert, werden die Informationen nicht gespeichert.
- Alle Daten im Kernel und im Detektordienst sind sitzungsspezifisch und werden nicht dauerhaft gespeichert.
Sie können Ergebnisdetails im Security Command Center-Dashboard ansehen und die Ergebnisinformationen untersuchen. Ob Sie Ergebnisse aufrufen und bearbeiten können, hängt von den Rollen ab, die Ihnen zugewiesen wurden. Weitere Informationen zu Rollen im Security Command Center finden Sie unter Zugriffssteuerung.
Container Threat Detection-Detektoren
Container Threat Detection umfasst die folgenden Detektoren:
| Detektor | Beschreibung | Eingaben für die Erkennung |
|---|---|---|
| Ausgeführte Binärdatei hinzugeführt |
Es wurde eine Binärdatei ausgeführt, die nicht Teil des ursprünglichen Container-Images war. Wenn eine hinzugefügte Binärdatei von einem Angreifer ausgeführt wird, ist dies ein mögliches Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und beliebige Befehle ausführt. |
Der Detektor sucht nach einer ausgeführten Binärdatei, die nicht Teil des ursprünglichen Container-Images war oder aus dem ursprünglichen Container-Image geändert wurde. |
| Hinzugefügte Mediathek geladen |
Eine Bibliothek, die nicht Teil des ursprünglichen Container-Image war, wurde geladen. Wenn eine hinzugefügte Bibliothek geladen wird, ist dies ein mögliches Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und beliebigen Code ausführt. |
Der Detektor sucht nach einer Bibliothek, die geladen wird, die nicht Teil des ursprünglichen Container-Images war oder aus dem ursprünglichen Container-Image geändert wurde. |
| Ausführung: schädliche Ausführung von Binärcode hinzugefügt |
Es wurde eine Binärdatei ausgeführt, die die folgenden Bedingungen erfüllt:
Wenn eine hinzugefügte schädliche Binärdatei ausgeführt wird, ist dies ein starkes Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. |
Der Detektor sucht nach einer ausgeführten Binärdatei, die nicht Teil des ursprünglichen Container-Images war und aufgrund von Bedrohungsdaten als schädlich eingestuft wurde. |
| Ausführung: Schädliche Bibliothek geladen |
Eine Bibliothek, die die folgenden Bedingungen erfüllt, wurde geladen:
Wenn eine hinzugefügte schädliche Bibliothek geladen wird, ist dies ein starkes Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. |
Der Detektor sucht nach einer geladenen Bibliothek, die nicht Teil des ursprünglichen Container-Images war und aufgrund von Bedrohungsdaten als schädlich eingestuft wurde. |
| Ausführung: Eingebaute schädliche Binärdatei ausgeführt |
Es wurde eine Binärdatei ausgeführt, die die folgenden Bedingungen erfüllt:
Wenn eine integrierte schädliche Binärdatei ausgeführt wird, ist dies ein Zeichen dafür, dass der Angreifer schädliche Container bereitstellt. Möglicherweise haben sie die Kontrolle über ein legitimes Image-Repository oder eine Container-Build-Pipeline erlangt und eine schädliche Binärdatei in das Container-Image eingeschleust. |
Der Detektor sucht nach einer ausgeführten Binärdatei, die im ursprünglichen Container-Image enthalten war und aufgrund von Bedrohungsdaten als schädlich eingestuft wurde. |
| Ausführung: Geänderte schädliche Ausführung von Binärprogrammen |
Es wurde eine Binärdatei ausgeführt, die die folgenden Bedingungen erfüllt: Wenn eine modifizierte schädliche Binärdatei ausgeführt wird, ist dies ein starkes Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. |
Der Detektor sucht nach einer Binärdatei, die ursprünglich im Container-Image enthalten war, während der Laufzeit jedoch geändert und aufgrund von Bedrohungsdaten als schädlich erkannt wurde. |
| Ausführung: Geänderte schädliche Bibliothek geladen |
Eine Bibliothek, die die folgenden Bedingungen erfüllt, wurde geladen: Wenn eine modifizierte schädliche Bibliothek geladen wird, ist dies ein starkes Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. |
Der Detektor sucht nach einer geladenen Bibliothek, die ursprünglich im Container-Image enthalten war, während der Laufzeit jedoch geändert und aufgrund von Bedrohungsdaten als schädlich eingestuft wurde. |
| Schädliches Script ausgeführt | Ein ML-Modell (maschinelles Lernen) hat ein ausgeführtes Bash-Skript als schädlich identifiziert. Angreifer können Bash-Skripts verwenden, um Tools oder andere Dateien von einem externen System in eine manipulierte Umgebung zu übertragen und Befehle ohne Binärdateien auszuführen. | Der Detektor verwendet NLP-Techniken, um den Inhalt eines ausgeführten Bash-Skripts zu bewerten. Da dieser Ansatz nicht auf Signaturen basiert, können Detektoren bekannte und unbekannte schädliche Skripts identifizieren. |
| Schädliche URL erkannt | Container Threat Detection hat eine schädliche URL in der Argumentliste eines laufenden Prozesses festgestellt. | Der Detektor gleicht URLs, die in der Argumentliste der laufenden Prozesse stehen, mit den Listen unsicherer Webressourcen ab, die vom Safe Browsing-Dienst von Google gepflegt werden. Wenn eine URL fälschlicherweise als Phishing oder Malware eingestuft wird, melden Sie sie unter Unvollständige Daten melden an Safe Browsing. |
| Reverse Shell |
Ein Prozess, bei dem die Stream-Weiterleitung an einen Remote-Socket gestartet wurde. Mit einer Reverse-Shell kann ein Angreifer von einer manipulierten Arbeitslast aus mit einer vom Angreifer kontrollierten Maschine kommunizieren. Der Angreifer kann dann die Arbeitslast ausführen und steuern, um gewünschte Aktionen durchzuführen, z. B. als Teil eines Botnetzes. |
Der Detektor sucht nach stdin, der an einen Remote-Socket gebunden ist.
|
| Unerwartete untergeordnete Shell |
Ein Prozess, der normalerweise keine Shells aufruft, hat einen Shell-Prozess generiert. |
Der Detektor überwacht alle Prozessausführungen. Wenn eine Shell aufgerufen wird, generiert der Detektor ein Ergebnis, falls der übergeordnete Prozess bekanntermaßen keine Shells aufruft. |
Nächste Schritte
- Informationen zur Verwendung der Container Threat Detection
- Container Threat Detection testen
- Weitere Informationen zum Untersuchen und Entwickeln von Reaktionsplänen für Bedrohungen.
- Artefaktanalyse und Scannen auf Sicherheitslücken