Resumen conceptual de la detección de amenazas de contenedores

>

Una descripción general de alto nivel sobre los conceptos y las características de Container Threat Detection.

¿Qué es Container Threat Detection?

Container Threat Detection es un servicio integrado para el nivel Premium de Security Command Center, que supervisa de forma continua el estado de las imágenes de contenedor, evalúa todos los cambios e intentos de acceso remoto para detectar ataques de tiempo de ejecución casi en tiempo real.

Container Threat Detection puede detectar los ataques más comunes en el entorno de ejecución del contenedor y alertarte en el Security Command Center y, de forma opcional, en Cloud Logging. Container Threat Detection incluye varias funciones de detección, una herramienta de análisis y una API.

Cómo funciona la Detección de amenazas a contenedores

La instrumentación de detección de amenazas a contenedores recopila el comportamiento de bajo nivel en el kernel invitado. Cuando se detectan eventos:

  1. Se pasa la información de eventos y la información que identifica el contenedor para el análisis a través del modo de usuario a un servicio de detector. La exportación de eventos se configura de forma automática cuando la detección de amenazas a contenedores está habilitada.

  2. El servicio de detector analiza eventos para determinar si un evento indica que se produjo un incidente.

  3. Si el servicio de detector identifica un incidente, el incidente se escribe como un resultado en Security Command Center y, de forma opcional, en Cloud Logging.

    • Si el servicio de detector no identifica un incidente, no se almacena información de búsqueda.
    • Todos los datos en el servicio de kernel y el detector son efímeros y no se almacenan de forma persistente.

Puedes ver los detalles de los resultados en el panel de Security Command Center y, luego, investigar la información de búsqueda.

Detectores de detección de amenazas de contenedores

La detección de amenazas a contenedores incluye los siguientes detectores:

Detector Descripción Entradas para la detección
Se ejecutó el objeto binario añadido

Se ejecutó un objeto binario que no era parte de la imagen del contenedor original.

Si un atacante agrega un objeto binario agregado, es posible que tenga el control de la carga de trabajo y ejecute comandos arbitrarios.

El detector busca un objeto binario en ejecución que no formaba parte de la imagen del contenedor original o se modificó a partir de la imagen del contenedor original.
Se cargó la biblioteca agregada

Se cargó una biblioteca que no formaba parte de la imagen del contenedor original.

Si se carga una biblioteca agregada, es posible que un atacante tenga el control de la carga de trabajo y ejecute un código arbitrario.

El detector busca una biblioteca que se carga y que no formaba parte de la imagen del contenedor original, o que se modificó a partir de la imagen del contenedor original.
Shells inversas

Un proceso iniciado con redireccionamiento de transmisión a un socket remoto conectado

Con una shell inversa, un atacante puede comunicarse desde una carga de trabajo comprometida a una máquina controlada por atacantes. Luego, el atacante puede dirigir y controlar la carga de trabajo para realizar las acciones deseadas, por ejemplo, como parte de un botnet.

El detector busca "stdin" vinculada a un socket remoto.

¿Qué sigue?