Diese Seite bietet eine allgemeine Übersicht über die Konzepte und Features von Container Threat Detection.
Was ist Container Threat Detection?
Container Threat Detection ist ein integrierter Dienst von Security Command Center, überwacht kontinuierlich den Status der Knoten-Images von Container-Optimized OS. Der Dienst wertet alle Änderungen und Remote-Zugriffsversuche aus, um Laufzeitangriffe nahezu in Echtzeit zu erkennen.
Container Threat Detection erkennt die gängigsten Containerlaufzeit-Angriffe und benachrichtigt Sie in Security Command Center und optional in Cloud Logging. Container Threat Detection umfasst mehrere Erkennungsfunktionen, einschließlich verdächtiger Binärdateien und Bibliotheken, und erkennt schädliche Bash-Skripts mithilfe von Natural Language Processing (NLP).
Container Threat Detection ist nur für die Premium-Stufe oder Enterprise verfügbar Stufe von Security Command Center.
Funktionsweise von Container Threat Detection
Die Container Threat Detection-Erkennung erfasst Low-Level-Verhalten im Gast-Kernel und in ausgeführten Bash-Skripts. Wenn Ereignisse erkannt werden, sieht der Ausführungspfad so aus:
Container Threat Detection übergibt Ereignisinformationen und -informationen, den Container über ein Nutzermodus-DaemonSet zu einem Detektordienst für Analyse. Die Ereigniserfassung wird automatisch konfiguriert, Container Threat Detection ist aktiviert.
Das Watcher-DaemonSet übergibt Containerinformationen bestmöglich. Containerinformationen können aus dem gemeldeten Ergebnis entfernt werden, wenn der Kubernetes und die Containerlaufzeit liefern nicht den Containerinformationen im zeitlichen Verlauf.
Der Erkennungsdienst analysiert Ereignisse, um festzustellen, ob ein Ereignis auf einen Vorfall hindeutet. Der Inhalt von Bash-Skripts wird mit NLP analysiert, um festzustellen, ob die ausgeführten Skripts schädlich sind.
Wenn der Detektordienst einen Vorfall identifiziert, wird der Vorfall als Ergebnis in Security Command Center und optional in Cloud Logging geschrieben.
- Wenn der Detektordienst keinen Vorfall identifiziert, werden die Informationen nicht gespeichert.
- Alle Daten im Kernel und im Detektordienst sind sitzungsspezifisch und werden nicht dauerhaft gespeichert.
Sie können Ergebnisdetails im Security Command Center-Dashboard ansehen und die Ergebnisinformationen untersuchen. Ob Sie Ergebnisse aufrufen und bearbeiten können, hängt von den Rollen ab, die Ihnen zugewiesen wurden. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung:
Container Threat Detection-Detektoren
Container Threat Detection umfasst die folgenden Detektoren:
| Detektor | Beschreibung | Eingaben für die Erkennung |
|---|---|---|
| Ausgeführte Binärdatei hinzugeführt |
Eine Binärdatei, die nicht Teil des ursprünglichen Container-Image war, wurde ausgeführt. Wenn eine hinzugefügte Binärdatei von einem Angreifer ausgeführt wird, ist dies möglicherweise ein Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und beliebige Befehle ausführt. |
Der Detektor sucht nach einer Binärdatei, die nicht Teil des ursprünglichen Container-Image war oder vom ursprünglichen Container-Image geändert wurde. |
| Hinzugefügte Mediathek geladen |
Eine Bibliothek, die nicht Teil des ursprünglichen Container-Image war, wurde geladen. Wenn eine hinzugefügte Bibliothek geladen wird, ist der Angreifer möglicherweise in der Lage, die Arbeitslast zu steuern und beliebigen Code auszuführen. |
Der Detektor sucht nach einer geladenen Bibliothek, die nicht Teil des ursprünglichen Container-Image war oder gegenüber dem ursprünglichen Container-Image geändert wurde. |
| Ausführung: Schadprogramm ausgeführt und hinzugefügt |
Eine Binärdatei, die die folgenden Bedingungen erfüllt, wurde ausgeführt:
Wenn eine zusätzliche schädliche Binärdatei ausgeführt wird, ist das ein starkes Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. |
Der Detektor sucht nach einer Binärdatei, die ausgeführt wird, die nicht Teil des ursprüngliche Container-Image und wurde aufgrund der Bedrohung Bedrohungsdaten. |
| Ausführung: Schädliche Bibliothek wurde hinzugefügt |
Eine Bibliothek, die die folgenden Bedingungen erfüllt, wurde geladen:
Wenn eine zusätzliche schädliche Bibliothek geladen wird, ist das ein starkes Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. |
Der Detektor sucht nach einer geladenen Bibliothek, die nicht Teil des ursprüngliche Container-Image und wurde aufgrund der Bedrohung Bedrohungsdaten. |
| Ausführung: Integrierter bösartiger Binärprogramm ausgeführt |
Ein Binärprogramm, das die folgenden Bedingungen erfüllt, wurde ausgeführt:
Wenn ein integriertes schädliches Binärprogramm ausgeführt wird, ist das ein Zeichen dafür, dass der Angreifer stellt schädliche Container bereit. Sie haben vielleicht die Kontrolle eines legitimen Image-Repositorys oder einer Container-Build-Pipeline in das Container-Image hinzuzufügen. |
Der Detektor sucht nach einer ausgeführten Binärdatei, die im ursprüngliche Container-Image und wurde aufgrund der Bedrohung Bedrohungsdaten. |
| Ausführung: Geändertes bösartiges Binärprogramm ausgeführt |
Ein Binärprogramm, das die folgenden Bedingungen erfüllt, wurde ausgeführt:
Wenn eine modifizierte schädliche Binärdatei ausgeführt wird, ist das ein starkes Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. |
Der Detektor sucht nach einer ausgeführten Binärdatei, die ursprünglich enthalten war im Container-Image, die aber während der Laufzeit geändert wurden, und wurde als auf der Grundlage von Threat Intelligence. |
| Ausführung: Geänderte schädliche Bibliothek geladen |
Eine Bibliothek, die die folgenden Bedingungen erfüllt, wurde geladen: Wenn eine modifizierte schädliche Bibliothek geladen wird, ist das ein starkes Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. |
Der Detektor sucht nach einer geladenen Bibliothek, die ursprünglich enthalten war im Container-Image, die aber während der Laufzeit geändert wurden, und wurde als auf der Grundlage von Threat Intelligence. |
| Schädliches Script ausgeführt | Ein ML-Modell (maschinelles Lernen) hat ein ausgeführtes Bash-Skript als schädlich identifiziert. Angreifer können Bash-Skripts verwenden, um Tools oder andere Dateien von einem externen System in eine manipulierte Umgebung zu übertragen und Befehle ohne Binärdateien auszuführen. | Der Detektor verwendet NLP-Techniken, um den Inhalt eines ausgeführten Bash-Skripts zu bewerten. Da dieser Ansatz nicht auf Signaturen basiert, können Detektoren bekannte und unbekannte schädliche Skripts identifizieren. |
| Schädliche URL beobachtet | Container Threat Detection hat eine schädliche URL in der Argumentliste erkannt eines laufenden Prozesses. | Der Detektor prüft URLs, die in der Argumentliste der Prozesse anhand der Listen unsicherer Webressourcen, werden von der Google Safe Browsing . Wenn eine URL fälschlicherweise als Phishing oder Malware klassifiziert wurde, melden unter Berichte Falsche Daten. |
| Reverse Shell |
Ein Prozess, bei dem die Stream-Weiterleitung an einen Remote-Socket gestartet wurde. Mit einer Reverse-Shell kann ein Angreifer von einer manipulierten Arbeitslast aus mit einer vom Angreifer kontrollierten Maschine kommunizieren. Der Angreifer kann dann die Arbeitslast steuern und steuern können, z. B. als Teil eines Botnets. |
Der Detektor sucht nach stdin, gebunden an einen Remote-Socket. |
| Unerwartete untergeordnete Shell |
Ein Prozess, der normalerweise keine Shells aufruft, hat einen Shell-Prozess erzeugt. |
Der Detektor überwacht alle Prozessausführungen. Wenn eine Shell aufgerufen wird, generiert der Detektor ein Ergebnis, wenn der übergeordnete Prozess bekanntermaßen keine Shells aufruft. |
Nächste Schritte
- Weitere Informationen mit Container Threat Detection.
- Weitere Informationen Container Threat Detection testen.
- Hier erfahren Sie, wie Sie untersuchen und Reaktionspläne entwickeln auf Bedrohungen.
- Weitere Informationen Artefaktanalyse und Scannen auf Sicherheitslücken.