Halaman ini memberikan ringkasan tingkat tinggi tentang konsep dan fitur Container Threat Detection.
Apa yang dimaksud dengan Container Threat Detection?
Deteksi Ancaman Container adalah layanan bawaan Security Command Center yang terus-menerus memantau status image node Container-Optimized OS. Layanan ini mengevaluasi semua perubahan dan upaya akses jarak jauh untuk mendeteksi serangan runtime secara hampir real-time.
Container Threat Detection mendeteksi serangan runtime container yang paling umum dan memberi tahu Anda di Security Command Center dan, secara opsional, di Cloud Logging. Container Threat Detection menyertakan beberapa kemampuan deteksi, termasuk biner dan library yang mencurigakan, serta menggunakan natural language processing (NLP) untuk mendeteksi kode Bash dan Python berbahaya.
Container Threat Detection hanya tersedia dengan paket Premium atau Enterprise Security Command Center.
Cara kerja Container Threat Detection
Instrumentasi deteksi Container Threat Detection mengumpulkan perilaku level rendah di kernel tamu dan skrip yang dijalankan. Berikut adalah jalur eksekusi saat peristiwa terdeteksi:
Container Threat Detection meneruskan informasi peristiwa dan informasi yang mengidentifikasi container melalui DaemonSet mode pengguna ke layanan detektor untuk analisis. Pengumpulan peristiwa dikonfigurasi secara otomatis saat Container Threat Detection diaktifkan.
DaemonSet watcher meneruskan informasi penampung dengan upaya terbaik. Informasi penampung dapat dihapus dari temuan yang dilaporkan jika Kubernetes dan runtime penampung gagal mengirimkan informasi penampung yang sesuai tepat waktu.
Layanan detektor menganalisis peristiwa untuk menentukan apakah peristiwa tersebut menunjukkan insiden. Bash dan Python dianalisis dengan NLP untuk menentukan apakah kode yang dieksekusi berbahaya.
Jika layanan detektor mengidentifikasi insiden, insiden tersebut akan ditulis sebagai temuan di Security Command Center dan, secara opsional, ke Cloud Logging.
- Jika layanan detektor tidak mengidentifikasi insiden, informasi pencarian tidak akan disimpan.
- Semua data di kernel dan layanan detektor bersifat sementara dan tidak disimpan secara persisten.
Anda dapat melihat detail temuan di konsol Security Command Center dan menyelidiki informasi temuan. Kemampuan Anda untuk melihat dan mengedit temuan ditentukan oleh peran yang Anda terima. Untuk mengetahui informasi selengkapnya tentang peran Security Command Center, lihat Kontrol akses.
Pendeteksi Container Threat Detection
Container Threat Detection mencakup pendeteksi berikut:
| Pendeteksi | Deskripsi | Input untuk deteksi |
|---|---|---|
| Menambahkan Binary Executed |
Biner yang bukan bagian dari image penampung asli telah dieksekusi. Jika program biner tambahan dieksekusi oleh penyerang, hal ini mungkin merupakan tanda bahwa penyerang memiliki kontrol atas beban kerja dan mereka mengeksekusi perintah arbitrer. Detektor ini dinonaktifkan secara default. Untuk mengetahui petunjuk cara mengaktifkannya, lihat Menguji Container Threat Detection. |
Detektor mencari biner yang dieksekusi yang bukan bagian dari image penampung asli, atau dimodifikasi dari image penampung asli. |
| Library yang Ditambahkan Dimuat |
Library yang bukan bagian dari image penampung asli telah dimuat. Jika library yang ditambahkan dimuat, hal ini kemungkinan merupakan tanda bahwa penyerang memiliki kontrol atas beban kerja dan mereka menjalankan kode arbitrer. Detektor ini dinonaktifkan secara default. Untuk mengetahui petunjuk cara mengaktifkannya, lihat Menguji Container Threat Detection. |
Detektor mencari library yang dimuat yang bukan bagian dari image penampung asli, atau dimodifikasi dari image penampung asli. |
| Eksekusi: Program Biner Berbahaya Tambahan Dieksekusi |
Biner yang memenuhi kondisi berikut telah dieksekusi:
Jika biner berbahaya yang ditambahkan dieksekusi, ini adalah tanda kuat bahwa penyerang memiliki kontrol atas beban kerja dan mereka mengeksekusi software berbahaya. |
Detektor mencari biner yang dieksekusi yang bukan bagian dari image container asli, dan diidentifikasi sebagai berbahaya berdasarkan intelijen ancaman. |
| Eksekusi: Menambahkan Library Berbahaya yang Dimuat |
Library yang memenuhi kondisi berikut telah dimuat:
Jika library berbahaya yang ditambahkan dimuat, ini adalah tanda kuat bahwa penyerang memiliki kontrol atas workload dan mereka menjalankan software berbahaya. |
Detektor mencari library yang dimuat yang bukan bagian dari image penampung asli, dan diidentifikasi sebagai berbahaya berdasarkan intelijen ancaman. |
| Eksekusi: Biner Berbahaya Bawaan Dijalankan |
Biner yang memenuhi kondisi berikut telah dieksekusi:
Jika biner berbahaya bawaan dieksekusi, ini adalah tanda bahwa penyerang men-deploy penampung berbahaya. Mereka mungkin telah mendapatkan kontrol atas repositori image atau pipeline build container yang sah dan memasukkan biner berbahaya ke dalam image container. |
Detektor mencari biner yang sedang dieksekusi yang disertakan dalam image container asli, dan diidentifikasi sebagai berbahaya berdasarkan intelijen ancaman. |
| Eksekusi: Container Escape |
Proses dieksekusi dalam container yang mencoba keluar dari isolasi container, yang berpotensi memberi penyerang akses ke sistem host. Jika upaya container escape terdeteksi, hal ini mungkin menunjukkan bahwa penyerang mengeksploitasi kerentanan untuk keluar dari penampung. Akibatnya, penyerang mungkin mendapatkan akses tanpa izin ke sistem host atau infrastruktur yang lebih luas, sehingga membahayakan seluruh lingkungan. |
Detektor memantau proses yang mencoba mengeksploitasi batas penampung yang menggunakan teknik atau biner escape yang diketahui. Proses ini ditandai oleh intelijen ancaman sebagai potensi serangan yang menargetkan sistem host yang mendasarinya. |
| Eksekusi: Eksekusi Alat Serangan Kubernetes |
Alat serangan khusus Kubernetes dijalankan dalam lingkungan, yang dapat menunjukkan bahwa penyerang menargetkan komponen cluster Kubernetes. Jika alat serangan dijalankan dalam lingkungan Kubernetes, hal ini dapat menunjukkan bahwa penyerang telah mendapatkan akses ke cluster dan menggunakan alat tersebut untuk mengeksploitasi kerentanan atau konfigurasi khusus Kubernetes. |
Detektor mencari alat serangan Kubernetes yang sedang dijalankan dan diidentifikasi sebagai potensi ancaman berdasarkan data intelijen. Pendeteksi memicu pemberitahuan untuk memitigasi potensi penyusupan di cluster. |
| Eksekusi: Eksekusi Alat Pengintaian Lokal |
Alat pengintaian lokal yang biasanya tidak dikaitkan dengan penampung atau lingkungan dijalankan, yang menunjukkan upaya untuk mengumpulkan informasi sistem internal. Jika alat pengintaian dijalankan, hal ini menunjukkan bahwa penyerang mungkin mencoba memetakan infrastruktur, mengidentifikasi kerentanan, atau mengumpulkan data tentang konfigurasi sistem untuk merencanakan langkah berikutnya. |
Detektor memantau alat pengintaian yang diketahui sedang dijalankan dalam lingkungan, yang diidentifikasi melalui intelijen ancaman, yang dapat menunjukkan persiapan untuk aktivitas berbahaya lainnya. |
| Eksekusi: Python berbahaya dieksekusi (Pratinjau) |
Model machine learning mengidentifikasi kode Python yang ditentukan sebagai malicious. Penyerang dapat menggunakan Python untuk mentransfer alat atau file lainnya dari sistem eksternal ke lingkungan yang disusupi dan menjalankan perintah tanpa biner. |
Detektor menggunakan teknik NLP untuk mengevaluasi konten kode Python yang dijalankan. Karena pendekatan ini tidak didasarkan pada tanda tangan, detektor dapat mengidentifikasi Python yang dikenal dan baru. |
| Eksekusi: Biner Berbahaya yang Dimodifikasi Dieksekusi |
Biner yang memenuhi kondisi berikut telah dieksekusi:
Jika biner berbahaya yang dimodifikasi dieksekusi, ini adalah tanda kuat bahwa penyerang memiliki kontrol atas beban kerja dan mereka mengeksekusi software berbahaya. |
Detektor mencari biner yang sedang dieksekusi yang awalnya disertakan dalam image container, tetapi dimodifikasi selama runtime, dan diidentifikasi sebagai berbahaya berdasarkan intelijen ancaman. |
| Eksekusi: Library Berbahaya yang Diubah Dimuat |
Library yang memenuhi kondisi berikut telah dimuat:
Jika library berbahaya yang dimodifikasi dimuat, ini adalah tanda kuat bahwa penyerang memiliki kontrol atas workload dan mereka menjalankan software berbahaya. |
Detektor mencari library yang sedang dimuat yang awalnya disertakan dalam image container, tetapi diubah selama runtime, dan diidentifikasi sebagai berbahaya berdasarkan intelijen ancaman. |
| Skrip Berbahaya Dieksekusi |
Model machine learning mengidentifikasi kode Bash yang ditentukan sebagai berbahaya. Penyerang dapat menggunakan Bash untuk mentransfer alat atau file lainnya dari sistem eksternal ke lingkungan yang disusupi dan menjalankan perintah tanpa biner. |
Detektor menggunakan teknik NLP untuk mengevaluasi konten kode Bash yang dijalankan. Karena pendekatan ini tidak didasarkan pada tanda tangan, detektor dapat mengidentifikasi bash berbahaya yang baru dan yang sudah dikenal. |
| URL Berbahaya Ditemukan | Container Threat Detection mengamati URL berbahaya dalam daftar argumen proses yang sedang berjalan. | Detektor memeriksa URL yang diamati dalam daftar argumen proses yang berjalan terhadap daftar resource web tidak aman yang dikelola oleh layanan Safe Browsing Google. Jika URL salah diklasifikasikan sebagai phishing atau malware, laporkan di Melaporkan Data yang Salah. |
| Reverse Shell |
Proses dimulai dengan pengalihan streaming ke soket yang terhubung jarak jauh. Dengan shell terbalik, penyerang dapat berkomunikasi dari workload yang disusupi ke mesin yang dikontrol penyerang. Penyerang kemudian dapat memerintahkan dan mengontrol beban kerja—misalnya, sebagai bagian dari botnet. |
Detektor mencari stdin yang terikat ke soket jarak jauh.
|
| Shell Turunan yang Tidak Terduga | Proses yang biasanya tidak memanggil shell menghasilkan proses shell. | Detektor memantau semua eksekusi proses. Saat shell dipanggil, detektor akan menghasilkan temuan jika proses induk diketahui tidak biasanya memanggil shell. |
Langkah selanjutnya
- Pelajari cara menggunakan Container Threat Detection.
- Pelajari cara menguji Container Threat Detection.
- Pelajari cara menyelidiki dan mengembangkan rencana respons untuk ancaman.
- Pelajari Artifact Analysis dan pemindaian kerentanan.