Container Threat Detection – Konzeptübersicht

Diese Seite bietet eine allgemeine Übersicht über die Konzepte und Features von Container Threat Detection.

Was ist Container Threat Detection?

Container Threat Detection ist ein integrierter Dienst für die Premium-Stufe des Security Command Center, der kontinuierlich den Zustand von Container-Optimized OS-Knoten-Images überwacht. Der Dienst wertet alle Änderungen und Remote-Zugriffsversuche aus, um Laufzeitangriffe nahezu in Echtzeit zu erkennen.

Container Threat Detection erkennt die gängigsten Containerlaufzeit-Angriffe und benachrichtigt Sie in Security Command Center und optional in Cloud Logging. Container Threat Detection umfasst mehrere Erkennungsfunktionen, einschließlich verdächtiger Binärdateien und Bibliotheken, und erkennt schädliche Bash-Skripts mithilfe von Natural Language Processing (NLP).

Funktionsweise von Container Threat Detection

Die Container Threat Detection-Erkennung erfasst Low-Level-Verhalten im Gast-Kernel und in ausgeführten Bash-Skripts. Wenn Ereignisse erkannt werden, sieht der Ausführungspfad so aus:

  1. Ereignisinformationen und Informationen, die den Container ermitteln, werden zur Analyse über den Nutzermodus an einen Detektordienst übergeben. Der Ereignisexport wird automatisch konfiguriert, wenn Container Threat Detection aktiviert ist.

  2. Der Erkennungsdienst analysiert Ereignisse, um festzustellen, ob ein Ereignis auf einen Vorfall hindeutet. Der Inhalt von Bash-Skripts wird mit NLP analysiert, um festzustellen, ob die ausgeführten Skripts schädlich sind.

  3. Wenn der Detektordienst einen Vorfall identifiziert, wird der Vorfall als Ergebnis in Security Command Center und optional in Cloud Logging geschrieben.

    • Wenn der Detektordienst keinen Vorfall identifiziert, werden die Informationen nicht gespeichert.
    • Alle Daten im Kernel und im Detektordienst sind sitzungsspezifisch und werden nicht dauerhaft gespeichert.

Sie können Ergebnisdetails im Security Command Center-Dashboard ansehen und die Ergebnisinformationen untersuchen. Ob Sie Ergebnisse aufrufen und bearbeiten können, hängt von den Rollen ab, die Ihnen zugewiesen wurden. Weitere Informationen zu Rollen im Security Command Center finden Sie unter Zugriffssteuerung.

Container Threat Detection-Detektoren

Container Threat Detection umfasst die folgenden Detektoren:

Detektor Beschreibung Eingaben für die Erkennung
Ausgeführte Binärdatei hinzugeführt

Eine Binärdatei, die nicht Teil des ursprünglichen Container-Image war, wurde ausgeführt.

Wenn eine hinzugefügte Binärdatei von einem Angreifer ausgeführt wird, ist dies möglicherweise ein Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und beliebige Befehle ausführt.

Der Detektor sucht nach einer Binärdatei, die nicht Teil des ursprünglichen Container-Image war oder vom ursprünglichen Container-Image geändert wurde.
Hinzugefügte Mediathek geladen

Eine Bibliothek, die nicht Teil des ursprünglichen Container-Image war, wurde geladen.

Wenn eine hinzugefügte Bibliothek geladen wird, ist der Angreifer möglicherweise in der Lage, die Arbeitslast zu steuern und beliebigen Code auszuführen.

Der Detektor sucht nach einer geladenen Bibliothek, die nicht Teil des ursprünglichen Container-Image war oder gegenüber dem ursprünglichen Container-Image geändert wurde.
Schädliches Skript ausgeführt Ein ML-Modell (maschinelles Lernen) hat ein ausgeführtes Bash-Skript als schädlich identifiziert. Angreifer können Bash-Skripts verwenden, um Tools oder andere Dateien von einem externen System in eine manipulierte Umgebung zu übertragen und Befehle ohne Binärdateien auszuführen. Der Detektor verwendet NLP-Techniken, um den Inhalt eines ausgeführten Bash-Skripts zu bewerten. Da dieser Ansatz nicht auf Signaturen basiert, können Detektoren bekannte und unbekannte schädliche Skripts identifizieren.
Reverse Shell

Ein Prozess, bei dem die Stream-Weiterleitung an einen Remote-Socket gestartet wurde.

Mit einer Reverse-Shell kann ein Angreifer von einer manipulierten Arbeitslast aus mit einer vom Angreifer kontrollierten Maschine kommunizieren. Der Angreifer kann dann die Arbeitslast ausführen und steuern, um gewünschte Aktionen durchzuführen, z. B. als Teil eines Botnetzes.

Der Detektor sucht nach stdin, gebunden an einen Remote-Socket.

Nächste Schritte