Diese Seite bietet eine allgemeine Übersicht über die Konzepte und Features von Container Threat Detection.
Was ist Container Threat Detection?
Container Threat Detection ist ein integrierter Dienst von Security Command Center, der den Status von Knoten-Images von Container-Optimized OS kontinuierlich überwacht. Der Dienst wertet alle Änderungen und Remote-Zugriffsversuche aus, um Laufzeitangriffe nahezu in Echtzeit zu erkennen.
Container Threat Detection erkennt die gängigsten Containerlaufzeit-Angriffe und benachrichtigt Sie in Security Command Center und optional in Cloud Logging. Container Threat Detection umfasst mehrere Erkennungsfunktionen, einschließlich verdächtiger Binärdateien und Bibliotheken, und erkennt schädliche Bash-Skripts mithilfe von Natural Language Processing (NLP).
Container Threat Detection ist nur für die Premium- oder Enterprise-Stufe von Security Command Center verfügbar.
Funktionsweise von Container Threat Detection
Die Container Threat Detection-Erkennung erfasst Low-Level-Verhalten im Gast-Kernel und in ausgeführten Bash-Skripts. Wenn Ereignisse erkannt werden, sieht der Ausführungspfad so aus:
Container Threat Detection übergibt Ereignisinformationen und -informationen, die den Container identifizieren, über ein Nutzermodus-DaemonSet zur Analyse an einen Detektordienst. Die Ereigniserfassung wird automatisch konfiguriert, wenn Container Threat Detection aktiviert ist.
Das Watcher-DaemonSet übergibt Containerinformationen bestmöglich. Containerinformationen können aus dem gemeldeten Ergebnis entfernt werden, wenn Kubernetes und die Containerlaufzeit die entsprechenden Containerinformationen nicht rechtzeitig liefern.
Der Erkennungsdienst analysiert Ereignisse, um festzustellen, ob ein Ereignis auf einen Vorfall hindeutet. Der Inhalt von Bash-Skripts wird mit NLP analysiert, um festzustellen, ob die ausgeführten Skripts schädlich sind.
Wenn der Detektordienst einen Vorfall identifiziert, wird der Vorfall als Ergebnis in Security Command Center und optional in Cloud Logging geschrieben.
- Wenn der Detektordienst keinen Vorfall identifiziert, werden die Informationen nicht gespeichert.
- Alle Daten im Kernel und im Detektordienst sind sitzungsspezifisch und werden nicht dauerhaft gespeichert.
Sie können Ergebnisdetails im Security Command Center-Dashboard ansehen und die Ergebnisinformationen untersuchen. Ob Sie Ergebnisse aufrufen und bearbeiten können, hängt von den Rollen ab, die Ihnen zugewiesen wurden. Weitere Informationen zu Rollen im Security Command Center finden Sie unter Zugriffssteuerung.
Container Threat Detection-Detektoren
Container Threat Detection umfasst die folgenden Detektoren:
| Detektor | Beschreibung | Eingaben für die Erkennung |
|---|---|---|
| Ausgeführte Binärdatei hinzugeführt |
Eine Binärdatei, die nicht Teil des ursprünglichen Container-Images war, wurde ausgeführt. Wenn ein hinzugefügter Binärcode von einem Angreifer ausgeführt wird, kann dies darauf hindeuten, dass der Angreifer die Kontrolle über die Arbeitslast hat und beliebige Befehle ausführt. |
Der Detektor sucht nach einer ausgeführten Binärdatei, die nicht Teil des ursprünglichen Container-Images war oder im Vergleich zum ursprünglichen Container-Image geändert wurde. |
| Hinzugefügte Mediathek geladen |
Eine Bibliothek, die nicht Teil des ursprünglichen Container-Image war, wurde geladen. Wenn eine hinzugefügte Bibliothek geladen wird, kann dies darauf hindeuten, dass ein Angreifer die Kontrolle über die Arbeitslast hat und beliebigen Code ausführt. |
Der Detektor sucht nach einer geladenen Bibliothek, die nicht Teil des ursprünglichen Container-Images war oder vom ursprünglichen Container-Image geändert wurde. |
| Ausführung: Schadprogramm ausgeführt und hinzugefügt |
Ein Binärprogramm, das die folgenden Bedingungen erfüllt, wurde ausgeführt:
Wenn eine zusätzliche schädliche Binärdatei ausgeführt wird, ist das ein starkes Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. |
Der Detektor sucht nach einer ausgeführten Binärdatei, die nicht Teil des ursprünglichen Container-Images war und anhand von Bedrohungsdaten als schädlich eingestuft wurde. |
| Ausführung: Schädliche Bibliothek wurde hinzugefügt |
Eine Bibliothek, die die folgenden Bedingungen erfüllt, wurde geladen:
Wenn eine zusätzliche schädliche Bibliothek geladen wird, ist das ein deutliches Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. |
Der Detektor sucht nach einer geladenen Bibliothek, die nicht Teil des ursprünglichen Container-Images war und aufgrund von Bedrohungsdaten als schädlich eingestuft wurde. |
| Ausführung: Integrierter bösartiger Binärprogramm ausgeführt |
Ein Binärprogramm, das die folgenden Bedingungen erfüllt, wurde ausgeführt:
Wenn eine integrierte schädliche Binärdatei ausgeführt wird, ist dies ein Zeichen dafür, dass der Angreifer schädliche Container bereitstellt. Möglicherweise haben sie die Kontrolle über ein legitimes Image-Repository oder eine Container-Build-Pipeline erlangt und eine schädliche Binärdatei in das Container-Image eingefügt. |
Der Detektor sucht nach einer ausgeführten Binärdatei, die im ursprünglichen Container-Image enthalten war und auf Grundlage von Bedrohungsdaten als schädlich erkannt wurde. |
| Ausführung: Geändertes bösartiges Binärprogramm ausgeführt |
Ein Binärprogramm, das die folgenden Bedingungen erfüllt, wurde ausgeführt: Wenn eine modifizierte schädliche Binärdatei ausgeführt wird, ist dies ein starkes Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. |
Der Detektor sucht nach einer ausgeführten Binärdatei, die ursprünglich im Container-Image enthalten war, aber während der Laufzeit geändert wurde. Außerdem wurde es aufgrund von Bedrohungsdaten als schädlich erkannt. |
| Ausführung: Geänderte schädliche Bibliothek geladen |
Eine Bibliothek, die die folgenden Bedingungen erfüllt, wurde geladen: Wenn eine modifizierte schädliche Bibliothek geladen wird, ist das ein deutliches Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. |
Der Detektor sucht nach einer geladenen Bibliothek, die ursprünglich im Container-Image enthalten war, aber während der Laufzeit geändert wurde. Auf der Grundlage von Bedrohungsdaten wurde sie als schädlich erkannt. |
| Schädliches Script ausgeführt | Ein ML-Modell (maschinelles Lernen) hat ein ausgeführtes Bash-Skript als schädlich identifiziert. Angreifer können Bash-Skripts verwenden, um Tools oder andere Dateien von einem externen System in eine manipulierte Umgebung zu übertragen und Befehle ohne Binärdateien auszuführen. | Der Detektor verwendet NLP-Techniken, um den Inhalt eines ausgeführten Bash-Skripts zu bewerten. Da dieser Ansatz nicht auf Signaturen basiert, können Detektoren bekannte und unbekannte schädliche Skripts identifizieren. |
| Schädliche URL beobachtet | Container Threat Detection hat eine schädliche URL in der Argumentliste eines laufenden Prozesses erkannt. | Der Detektor prüft URLs, die in der Argumentliste laufender Prozesse aufgeführt sind, mit den Listen unsicherer Webressourcen, die vom Google Safe Browsing-Dienst verwaltet werden. Wenn eine URL fälschlicherweise als Phishing oder Malware eingestuft wird, melden Sie sie unter Unvollständige Daten melden an Safe Browsing. |
| Reverse Shell |
Ein Prozess, bei dem die Stream-Weiterleitung an einen Remote-Socket gestartet wurde. Mit einer Reverse-Shell kann ein Angreifer von einer manipulierten Arbeitslast aus mit einer vom Angreifer kontrollierten Maschine kommunizieren. Der Angreifer kann dann die Arbeitslast ausführen und steuern, um gewünschte Aktionen durchzuführen, z. B. als Teil eines Botnetzes. |
Der Detektor sucht nach stdin, die an einen Remote-Socket gebunden sind.
|
| Unerwartete untergeordnete Shell |
Ein Prozess, der normalerweise keine Shells aufruft, hat einen Shell-Prozess erzeugt. |
Der Detektor überwacht alle Prozessausführungen. Wenn eine Shell aufgerufen wird, generiert der Detektor ein Ergebnis, wenn der übergeordnete Prozess bekanntermaßen keine Shells aufruft. |
Nächste Schritte
- Informationen zur Verwendung der Container Threat Detection
- Container Threat Detection testen
- Weitere Informationen zum Untersuchen und Entwickeln von Reaktionsplänen für Bedrohungen.
- Artefakteanalyse und Scannen auf Sicherheitslücken