Présentation conceptuelle de Container Threat Detection

>

Vue d'ensemble des concepts et fonctionnalités de Container Threat Detection

Qu'est-ce que Container Threat Detection ?

Container Threat Detection est un service intégré pour le niveau Security Command Center Premium qui surveille en permanence l'état des images de conteneurs, et évalue toutes les modifications et toutes les tentatives d'accès à distance pour détecter les attaques d'exécution quasiment en temps réel.

Container Threat Detection peut détecter les attaques les plus courantes visant l'environnement d'exécution des conteneurs, et vous alerter dans Security Command Center et, éventuellement, dans Cloud Logging. Container Threat Detection inclut plusieurs fonctionnalités de détection, un outil d'analyse et une API.

Fonctionnement de Container Threat Detection

L'instrumentation de détection de Container Threat Detection collecte le comportement de bas niveau dans le noyau invité. Lorsque des événements sont détectés :

  1. Les informations sur l'événement et les informations qui identifient le conteneur sont transmises à un service de détecteur pour analyse via le mode utilisateur. L'exportation d'événements est configurée automatiquement lorsque Container Threat Detection est activé.

  2. Le service de détecteur analyse les événements pour déterminer si un événement indique un incident.

  3. Si le service de détecteur identifie un incident, celui-ci est écrit en tant que résultat dans Security Command Center et, éventuellement, dans Cloud Logging.

    • Si le service de détecteur n'identifie pas d'incident, les informations de résultats ne sont pas stockées.
    • Toutes les données du noyau et du service de détecteur sont éphémères et aucune d'entre elles n'est stockée de manière permanente.

Vous pouvez consulter les détails de résultats dans le tableau de bord de Security Command Center et examiner les informations de résultats.

Détecteurs de Container Threat Detection

Container Threat Detection inclut les détecteurs suivants :

Détecteur Description Entrées de détection
Fichier binaire ajouté exécuté

Un fichier binaire ne faisant pas partie de l'image de conteneur d'origine a été exécuté.

Si un fichier binaire ajouté est exécuté par un pirate informatique, il est possible qu'un pirate informatique ait le contrôle de la charge de travail et qu'il exécute des commandes arbitraires.

Le détecteur recherche un fichier binaire en cours d'exécution qui ne fait pas partie de l'image de conteneur d'origine ou qui a été modifié à partir de l'image de conteneur d'origine.
Bibliothèque ajoutée chargée

Une bibliothèque ne faisant pas partie de l'image de conteneur d'origine a été chargée.

Si une bibliothèque ajoutée est chargée, il est possible qu'un pirate informatique ait le contrôle de la charge de travail et qu'il exécute du code arbitraire.

Le détecteur recherche une bibliothèque en cours de chargement ne faisant pas partie de l'image de conteneur d'origine, ou qui a été modifiée à partir de l'image de conteneur d'origine.
Interface système inversée

Un processus a commencé par une redirection de flux vers un socket connecté distant.

Grâce à l'interface système inversée, un pirate informatique peut communiquer à partir d'une charge de travail compromise vers une machine contrôlée par un pirate informatique. Le pirate informatique peut ensuite commander et contrôler la charge de travail pour effectuer les actions souhaitées, par exemple dans le cadre d'un botnet.

Le détecteur recherche "stdin" lié à un socket distant.

Étape suivante