Présentation de Container Threat Detection

Cette page offre une présentation générale des concepts et fonctionnalités de Container Threat Detection.

Qu'est-ce que Container Threat Detection ?

Container Threat Detection est un service intégré de Security Command Center qui surveille en permanence l'état des images de nœud Container-Optimized OS. Le service évalue presque en temps réel toutes les modifications et toutes les tentatives d'accès à distance pour détecter les attaques visant l'environnement d'exécution.

Container Threat Detection détecte les attaques les plus courantes visant l'environnement d'exécution des conteneurs, et vous alerte dans Security Command Center et, éventuellement, dans Cloud Logging. Container Threat Detection intègre plusieurs fonctionnalités de détection, comme les binaires suspects et et utilise le traitement du langage naturel (TLN) pour détecter les fichiers Bash malveillants et le code Python.

Container Threat Detection n'est disponible qu'avec les niveaux Premium ou Enterprise de Security Command Center.

Fonctionnement de Container Threat Detection

L'instrumentation de détection Container Threat Detection collecte le comportement de bas niveau dans le noyau invité et les scripts exécutés. Voici le chemin d'exécution lorsque des événements sont détectés :

  1. Container Threat Detection transmet les informations d'événement et les informations permettant via un DaemonSet en mode utilisateur vers un service de détection l'analyse. La collecte d'événements est configurée automatiquement lorsque Container Threat Detection est activé.

    Le DaemonSet du moniteur transmet les informations sur le conteneur dans la mesure du possible. Les informations sur le conteneur peuvent être supprimées du résultat signalé si le Kubernetes et l'environnement d'exécution du conteneur ne parviennent pas à fournir les informations sur le conteneur à temps.

  2. Le service de détecteur analyse les événements pour déterminer si un événement indique un incident. Bash et Python sont analysés à l'aide du TLN pour déterminer si le code exécuté est malveillant.

  3. Si le service de détecteur identifie un incident, celui-ci est écrit en tant que résultat dans Security Command Center et, éventuellement, dans Cloud Logging.

    • Si le service de détecteur n'identifie pas d'incident, les informations de résultats ne sont pas stockées.
    • Toutes les données du noyau et du service de détecteur sont éphémères et aucune d'entre elles n'est stockée de manière permanente.

Vous pouvez consulter les détails de résultats dans la console Security Command Center et examiner les informations de résultats. Votre capacité à afficher et modifier les résultats est déterminée par les rôles qui vous sont attribués. Pour en savoir plus sur les rôles de Security Command Center, consultez Contrôle des accès :

Détecteurs de Container Threat Detection

Container Threat Detection inclut les détecteurs suivants :

Détecteur Description Entrées de détection
Fichier binaire ajouté exécuté

Un binaire qui ne faisait pas partie de l'image de conteneur d'origine était exécuté.

Si un binaire ajouté est exécuté par un attaquant, il s’agit peut-être qu'un pirate informatique a le contrôle de la charge de travail et qu'il exécute des commandes arbitraires.

Le détecteur recherche un fichier binaire en cours d'exécution qui ne fait pas partie de l'image de conteneur d'origine ou qui a été modifié à partir de l'image de conteneur d'origine.
Ajout de bibliothèque chargée

Une bibliothèque ne faisant pas partie de l'image de conteneur d'origine a été chargée.

Si une bibliothèque ajoutée est chargée, il est possible qu’un attaquant a le contrôle de la charge de travail et exécute du code arbitraire.

Le détecteur recherche une bibliothèque en cours de chargement qui ne faisait pas partie du de l'image du conteneur d'origine, ou qui a été modifiée à partir du conteneur d'origine l'image.
Exécution: exécution du binaire malveillant ajouté

Un binaire répondant aux conditions suivantes a été exécuté :

  • Identifiés comme malveillants sur la base des renseignements sur les menaces
  • ne font pas partie de l'image de conteneur d'origine ;

Si un binaire malveillant ajouté est exécuté, cela indique clairement qu'un le pirate informatique contrôle la charge de travail et exécute des actions malveillantes logiciels.

Le détecteur recherche un fichier binaire en cours d'exécution qui ne fait pas partie de l'image de conteneur d'origine et qui a été identifié comme malveillant sur la base d'informations sur les menaces.
Exécution : bibliothèque malveillante ajoutée chargée

Une bibliothèque répondant aux conditions suivantes a été chargée:

  • Identifiés comme malveillants sur la base des renseignements sur les menaces
  • ne font pas partie de l'image de conteneur d'origine ;

Si une bibliothèque malveillante ajoutée est chargée, cela indique clairement qu'un le pirate informatique contrôle la charge de travail et exécute des actions malveillantes logiciels.

Le détecteur recherche une bibliothèque en cours de chargement qui ne faisait pas partie du de l'image du conteneur d'origine, et a été identifié comme malveillant sur la base de la Threat Intelligence.
Exécution: binaire malveillant intégré

Un binaire répondant aux conditions suivantes a été exécuté :

  • Identifiés comme malveillants sur la base des renseignements sur les menaces
  • Inclus dans l'image de conteneur d'origine

Si un binaire malveillant intégré est exécuté, cela signifie que le pirate informatique déploie des conteneurs malveillants. Il est possible qu'il ait pris le contrôle d'un dépôt d'images légitime ou d'un pipeline de compilation de conteneur, et injecté un binaire malveillant dans l'image du conteneur.

Le détecteur recherche un fichier binaire en cours d'exécution qui était inclus dans l'image de conteneur d'origine et qui a été identifié comme malveillant sur la base d'informations sur les menaces.
Exécution: Python malveillant exécuté (preview)

Un modèle de machine learning a identifié le code Python spécifié comme étant malveillants. Les pirates informatiques peuvent utiliser Python pour transférer des outils ou d'autres fichiers d'un système externe à un environnement compromis et exécuter sans binaires.

Le détecteur utilise des techniques de TLN pour évaluer le contenu des du code Python. Étant donné que cette approche n'est pas basée sur les signatures, les détecteurs peuvent identifier les Python connus et nouveaux.
Exécution: exécution d'un binaire malveillant modifié

Un binaire répondant aux conditions suivantes a été exécuté:

  • Identifiés comme malveillants sur la base des renseignements sur les menaces
  • Inclus dans l'image de conteneur d'origine
  • Modifiée à partir de l'image de conteneur d'origine pendant l'exécution

Si un fichier binaire malveillant modifié est exécuté, cela est un signe fort qu'un pirate informatique a le contrôle de la charge de travail et qu'il exécute un logiciel malveillant.

Le détecteur recherche un binaire en cours d'exécution qui a été initialement incluses dans l'image de conteneur, mais modifiées lors de l'exécution, identifiés comme malveillants sur la base de la Threat Intelligence.
Exécution : bibliothèque malveillante modifiée chargée

Une bibliothèque répondant aux conditions suivantes a été chargée:

  • Identifié comme malveillant d'après les renseignements sur les menaces
  • Inclus dans l'image de conteneur d'origine
  • Modifiée à partir de l'image de conteneur d'origine pendant l'exécution

Si une bibliothèque malveillante modifiée est chargée, cela indique clairement qu'un le pirate informatique contrôle la charge de travail et exécute des actions malveillantes logiciels.

Le détecteur recherche une bibliothèque en cours de chargement qui a été initialement incluses dans l'image de conteneur, mais modifiées lors de l'exécution, identifiés comme malveillants sur la base de la Threat Intelligence.
Script malveillant exécuté

Un modèle de machine learning a identifié le code Bash spécifié comme étant malveillants. Les pirates informatiques peuvent utiliser Bash pour transférer des outils ou d'autres fichiers d'un système externe vers un environnement compromis afin d'exécuter des commandes sans binaires.

Le détecteur utilise des techniques de TLN pour évaluer le contenu du code Bash exécuté. Étant donné que cette approche n'est pas basée sur les signatures, les détecteurs peuvent identifier les bash malveillants connus et nouveaux.
URL malveillante observée Container Threat Detection a observé une URL malveillante dans la liste d'arguments d'une en cours d'exécution. Le détecteur vérifie les URL observées dans la liste d'arguments des processus en cours d'exécution par rapport aux listes de ressources Web non sécurisées gérées par le service Navigation sécurisée de Google. Si une URL est classée à tort comme hameçonnage ou logiciel malveillant, le signaler à Signaler des données incorrectes.
Interface système inversée

Un processus a démarré par la redirection du flux vers un appareil connecté à distance du socket.

Avec un reverse shell, un attaquant peut communiquer à partir d’un environnement sur une machine contrôlée par l’attaquant. L’attaquant peut alors à commander et contrôler la charge de travail, par exemple dans le cadre et le botnet.

Le détecteur recherche stdin lié à un socket distant.
Shell enfant inattendu Un processus qui n'appelle normalement pas de shells a généré un processus shell. Le détecteur surveille toutes les exécutions de processus. Lorsqu'un shell est appelé, le détecteur génère un résultat si le processus parent n'appelle généralement pas de shell.

Étape suivante