Questa pagina fornisce una panoramica generale dei concetti e delle funzionalità di Container Threat Detection.
Che cos'è Container Threat Detection?
Container Threat Detection è un servizio integrato per il livello Premium di Security Command Center che monitora costantemente lo stato delle immagini dei nodi Container-Optimized OS. Il servizio valuta tutte le modifiche e i tentativi di accesso remoto per rilevare attacchi di runtime quasi in tempo reale.
Container Threat Detection rileva gli attacchi di runtime dei container più comuni e ti avvisa in Security Command Center e, facoltativamente, in Cloud Logging. Container Threat Detection include diverse funzionalità di rilevamento, tra cui file binari e librerie sospetti, e utilizza l'elaborazione del linguaggio naturale (NLP) per rilevare script bash dannosi.
Come funziona Container Threat Detection
La strumentazione di rilevamento di Container Threat Detection raccoglie comportamenti di basso livello nel kernel guest e gli script bash eseguiti. Di seguito è riportato il percorso di esecuzione quando vengono rilevati eventi:
Container Threat Detection trasmette le informazioni sugli eventi e le informazioni che identificano il container tramite un DaemonSet in modalità utente a un servizio di rilevamento per l'analisi. La raccolta di eventi viene configurata automaticamente quando Container Threat Detection è abilitato.
L'osservatore DaemonSet passa le informazioni del container nel modo migliore. Le informazioni sul container possono essere eliminate dal risultato segnalato se Kubernetes e il runtime del container non riescono a fornire in tempo le informazioni del container corrispondenti.
Il servizio di rilevamento analizza gli eventi per determinare se un evento è indicativo di un incidente. Il contenuto degli script bash viene analizzato con l'NLP per determinare se gli script eseguiti sono dannosi.
Se il servizio di rilevamento identifica un incidente, questo viene scritto come risultato in Security Command Center e, facoltativamente, in Cloud Logging.
- Se il servizio di rilevamento non identifica un incidente, le informazioni sui risultati non vengono archiviate.
- Tutti i dati nel servizio kernel e rilevatore sono temporanei e non vengono archiviati in modo permanente.
Puoi visualizzare i dettagli dei risultati nella dashboard di Security Command Center ed esaminare le informazioni sulla ricerca. La tua capacità di visualizzare e modificare i risultati è determinata dai ruoli che ti sono stati concessi. Per maggiori informazioni sui ruoli di Security Command Center, consulta Controllo dell'accesso.
Rilevatori di Container Threat Detection
Container Threat Detection include i seguenti rilevatori:
| Rilevatore | Descrizione | Input per il rilevamento |
|---|---|---|
| Programma binario aggiuntivo eseguito |
È stato eseguito un programma binario che non faceva parte dell'immagine container originale. L'esecuzione di un programma binario aggiunto da un utente malintenzionato potrebbe indicare che un utente malintenzionato ha il controllo del carico di lavoro ed esegue comandi arbitrari. |
Il rilevatore cerca un programma binario in esecuzione che non fa parte dell'immagine container originale o che è stato modificato dall'immagine container originale. |
| Libreria aggiuntiva caricata |
È stata caricata una libreria che non faceva parte dell'immagine container originale. Se viene caricata una libreria aggiunta, è possibile che un utente malintenzionato abbia il controllo del carico di lavoro e che stia eseguendo codice arbitrario. |
Il rilevatore cerca una libreria caricata che non faceva parte dell'immagine del container originale o che è stata modificata dall'immagine container originale. |
| Esecuzione: aggiunta esecuzione binaria dannosa |
È stato eseguito un programma binario che soddisfa le seguenti condizioni:
L'aggiunta di un programma binario dannoso è un segnale forte del fatto che un utente malintenzionato ha il controllo del carico di lavoro e che sta eseguendo software dannoso. |
Il rilevatore cerca un programma binario in esecuzione che non faceva parte dell'immagine del container originale ed è stato identificato come dannoso in base alle informazioni sulle minacce. |
| Esecuzione: aggiunta libreria dannosa caricata |
È stata caricata una libreria che soddisfa le seguenti condizioni:
L'aggiunta di una libreria dannosa è un segnale forte del fatto che un utente malintenzionato ha il controllo del carico di lavoro ed esegue software dannoso. |
Il rilevatore cerca una libreria caricata che non faceva parte dell'immagine del container originale ed è stata identificata come dannosa in base all'intelligence sulle minacce. |
| Esecuzione: esecuzione binaria dannosa incorporata |
È stato eseguito un programma binario che soddisfa le seguenti condizioni:
L'esecuzione di un programma binario dannoso integrato indica che l'utente malintenzionato sta implementando container dannosi. Potrebbero aver ottenuto il controllo di un repository di immagini o una pipeline di build dei container legittimi e aver inserito un programma binario dannoso nell'immagine del container. |
Il rilevatore cerca un programma binario in esecuzione che era incluso nell'immagine del container originale ed è stato identificato come dannoso in base alle informazioni sulle minacce. |
| Esecuzione: esecuzione binaria dannosa modificata |
È stato eseguito un programma binario che soddisfa le seguenti condizioni: L'esecuzione di un programma binario dannoso modificato è un segnale forte del fatto che un utente malintenzionato ha il controllo del carico di lavoro ed esegue software dannoso. |
Il rilevatore cerca un programma binario in fase di esecuzione, originariamente incluso nell'immagine del container, ma modificato durante il runtime, ed identificato come dannoso in base all'intelligence sulle minacce. |
| Esecuzione: libreria dannosa modificata caricata |
È stata caricata una libreria che soddisfa le seguenti condizioni: Se viene caricata una libreria dannosa modificata, è un segnale forte che un utente malintenzionato ha il controllo del carico di lavoro ed esegue software dannoso. |
Il rilevatore cerca una libreria caricata, originariamente inclusa nell'immagine container, ma modificata durante il runtime, ed è stata identificata come dannosa in base all'intelligence sulle minacce. |
| Script dannoso eseguito | Un modello di machine learning ha identificato uno script bash eseguito come dannoso. Gli utenti malintenzionati possono utilizzare gli script bash per trasferire strumenti o altri file da un sistema esterno a un ambiente compromesso ed eseguire comandi senza programmi binari. | Il rilevatore utilizza le tecniche NLP per valutare il contenuto di uno script bash eseguito. Poiché questo approccio non si basa sulle firme, i rilevatori possono identificare script dannosi noti e sconosciuti. |
| URL dannosi osservati | Container Threat Detection ha osservato un URL dannoso nell'elenco degli argomenti di un processo in esecuzione. | Il rilevatore verifica gli URL osservati nell'elenco di argomenti dei processi in esecuzione rispetto agli elenchi di risorse web non sicure gestiti dal servizio Google Navigazione sicura. Se un URL è stato classificato erroneamente come phishing o malware, segnalalo a Navigazione sicura nella pagina Segnalazione di dati errati. |
| Shell inversa |
Processo avviato con il reindirizzamento del flusso a un socket connesso remoto. Con una reverse shell, un utente malintenzionato può comunicare da un carico di lavoro compromesso a una macchina controllata da un autore di attacchi. L'utente malintenzionato può quindi comandare e controllare il carico di lavoro per eseguire le azioni desiderate, ad esempio nell'ambito di una botnet. |
Il rilevatore cerca stdin associato a un socket remoto.
|
| Shell secondaria imprevista |
Un processo che di solito non richiama le shell ha dato vita a un processo shell. |
Il rilevatore monitora tutte le esecuzioni dei processi. Quando viene richiamata una shell, il rilevatore genera un risultato se è noto che il processo padre generalmente non richiama le shell. |
Passaggi successivi
- Scopri di più sull'utilizzo di Container Threat Detection.
- Scopri di più su come testare Container Threat Detection.
- Scopri come indagare e sviluppare piani di risposta alle minacce.
- Scopri di più su Artifact Analysis e analisi delle vulnerabilità.