Questa pagina fornisce una panoramica generale dei concetti e delle funzionalità di Container Threat Detection.
Che cos'è Container Threat Detection?
Container Threat Detection è un servizio integrato di Security Command Center che fornisce continuamente Monitora lo stato di Container-Optimized OS delle immagini dei nodi. Il servizio valuta tutte le modifiche e i tentativi di accesso remoto per rilevare gli attacchi di runtime quasi in tempo reale.
Container Threat Detection rileva gli attacchi runtime ai container più comuni e ti invia avvisi in Security Command Center e, facoltativamente, in Cloud Logging. Container Threat Detection include diverse funzionalità di rilevamento, tra cui librerie e file binari sospetti, e utilizza l'elaborazione del linguaggio naturale (NLP) per rilevare codice Python e Bash dannoso.
Container Threat Detection è disponibile solo con il livello Premium o Enterprise di Security Command Center.
Come funziona Container Threat Detection
La strumentazione di rilevamento di Container Threat Detection raccoglie comportamenti di basso livello nell’ con il kernel guest e gli script eseguiti. Di seguito è riportato il percorso di esecuzione di questi eventi:
Container Threat Detection passa le informazioni sugli eventi e le informazioni che identificano il container attraverso un oggetto DaemonSet in modalità utente e analisi. La raccolta degli eventi viene configurata automaticamente Container Threat Detection è abilitato.
Il DaemonSet del watcher trasmette le informazioni sui contenitori secondo il criterio del massimo impegno. Le informazioni sul contenitore possono essere eliminate dal rilevamento segnalato se Kubernetes e il runtime del contenitore non riescono a fornire tempestivamente le informazioni corrispondenti sul contenitore.
Il servizio di rilevamento analizza gli eventi per determinare se un evento indicativo di un incidente. Bash e Python vengono analizzati con l'NLP per determinare se il codice eseguito è dannoso.
Se il servizio di rilevamento identifica un incidente, quest'ultimo viene scritto come in Security Command Center e, facoltativamente, in Cloud Logging.
- Se il servizio di rilevamento non identifica un incidente, le informazioni sui risultati non vengono memorizzate.
- Tutti i dati nel servizio del kernel e del rilevatore sono effimeri e non vengono memorizzati in modo permanente.
Puoi visualizzare i dettagli dei risultati nella console di Security Command Center ed esaminare trovare informazioni. La possibilità di visualizzare e modificare i risultati è determinata dal i ruoli che ti vengono concessi. Per saperne di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.
Rilelevatori di Container Threat Detection
Container Threat Detection include i seguenti rilevatori:
| Rilevatore | Descrizione | Input per il rilevamento |
|---|---|---|
| Programma binario aggiuntivo eseguito |
Un file binario che non faceva parte dell'immagine container originale era eseguito. Se un file binario aggiunto viene eseguito da un malintenzionato, è possibile che quest'ultimo abbia il controllo del carico di lavoro ed stia eseguendo comandi arbitrari. |
Il rilevatore cerca un file binario in esecuzione che non faceva parte dell'immagine del container originale o che è stato modificato rispetto all'immagine del container originale. |
| Libreria aggiuntiva caricata |
Una libreria che non faceva parte dell'immagine container originale era caricato. Se viene caricata una libreria aggiunta, è possibile che un utente malintenzionato controlla il carico di lavoro e sta eseguendo un codice arbitrario. |
Il rilevatore cerca una libreria caricata che non faceva parte del l'immagine container originale o è stata modificata rispetto al contenitore originale dell'immagine. |
| Esecuzione: programma binario dannoso aggiuntivo eseguito |
È stato eseguito un file binario che soddisfa le seguenti condizioni:
L'aggiunta di un file binario dannoso è un chiaro segno che il malintenzionato ha il controllo del carico di lavoro e sta eseguendo software. |
Il rilevatore cerca un file binario in esecuzione che non faceva parte dell'immagine del contenitore originale ed è stato identificato come dannoso in base alle informazioni sulle minacce. |
| Esecuzione: aggiunta di libreria dannosa caricata |
È stata caricata una libreria che soddisfa le seguenti condizioni:
Se viene caricata una libreria dannosa aggiunta, è un chiaro segnale che una libreria il malintenzionato ha il controllo del carico di lavoro e sta eseguendo software. |
Il rilevatore cerca una libreria caricata che non faceva parte del container originale ed è stata identificata come dannosa in base a la threat intelligence. |
| Esecuzione: esecuzione binaria dannosa integrata |
È stato eseguito un file binario che soddisfa le seguenti condizioni:
L'esecuzione di un file binario dannoso integrato indica che dell'utente malintenzionato sta eseguendo il deployment di container dannosi. Potrebbero aver acquisito il controllo di un repository di immagini o della pipeline di compilazione del container legittimi e aver iniettato un file binario dannoso nell'immagine del container. |
Il rilevatore cerca un file binario in esecuzione incluso nell'immagine del contenitore originale e identificato come dannoso in base all'intelligence sulle minacce. |
| Esecuzione: esecuzione di Python dannoso (anteprima) |
Un modello di machine learning ha identificato il codice Python specificato come dannoso. Gli aggressori possono utilizzare Python per trasferire strumenti o altri file da un sistema esterno a un ambiente compromesso ed eseguire senza file binari. |
Il rilevatore usa tecniche NLP per valutare i contenuti il codice Python. Poiché questo approccio non si basa sulle firme, i rilevatori possono identificare Python conosciuto e innovativo. |
| Esecuzione: programma binario dannoso modificato eseguito |
È stato eseguito un file binario che soddisfa le seguenti condizioni:
Se viene eseguito un file binario dannoso modificato, è un buon segno che un utente malintenzionato ha il controllo del carico di lavoro e sta eseguendo software dannoso. |
Il rilevatore cerca un file binario in esecuzione che inizialmente era incluso nell'immagine del contenitore, ma è stato modificato durante l'esecuzione ed è stato identificato come dannoso in base alle informazioni sulle minacce. |
| Esecuzione: libreria dannosa modificata caricata |
È stata caricata una libreria che soddisfa le seguenti condizioni:
Se viene caricata una libreria dannosa modificata, è un chiaro segnale che un il malintenzionato ha il controllo del carico di lavoro e sta eseguendo software. |
Il rilevatore cerca una libreria in fase di caricamento che era inizialmente inclusa nell'immagine del contenitore, ma modificata durante l'esecuzione ed è stata identificata come dannosa in base alle informazioni sulle minacce. |
| Script dannoso eseguito |
Un modello di machine learning ha identificato il codice Bash specificato come dannoso. Gli utenti malintenzionati possono utilizzare Bash per trasferire strumenti o altri file da un sistema esterno a un ambiente compromesso ed eseguire comandi senza binari. |
Il rilevatore utilizza tecniche di NLP per valutare i contenuti del codice Bash eseguito. Poiché questo approccio non si basa su firme, è in grado di identificare bash dannose note e inedite. |
| URL dannoso osservato | Container Threat Detection ha rilevato un URL dannoso nell'elenco di argomenti di un in esecuzione. | Il rilevatore controlla gli URL osservati nell'elenco degli argomenti dei processi in esecuzione rispetto agli elenchi di risorse web non sicure gestiti dal servizio Navigazione sicura di Google. Se un URL è classificato erroneamente come phishing o malware, segnalalo alla pagina Segnalazione di dati errati. |
| Shell inversa |
È stato avviato un processo con il reindirizzamento dello stream a una socket collegata da remoto. Con una reverse shell, un aggressore può comunicare da una rete compromessa carico di lavoro a un computer controllato da un aggressore. L'aggressore può quindi il comando e il controllo del carico di lavoro, ad esempio, nell'ambito di Botnet. |
Il rilevatore cerca stdin associato a un socket remoto.
|
| Shell secondario imprevisto | Un processo che normalmente non richiama shell ha generato un processo shell. | Il rilevatore monitora tutte le esecuzioni dei processi. Quando viene richiamata una shell, il rilevatore genera un risultato se è noto che il processo padre non in genere richiamano le shell. |
Passaggi successivi
- Informazioni su utilizzando Container Threat Detection.
- Informazioni su test di Container Threat Detection.
- Scopri come indagare e sviluppare piani di risposta alle minacce.
- Informazioni su Analisi degli artefatti e analisi delle vulnerabilità.