Présentation conceptuelle de Container Threat Detection

Cette page offre une présentation générale des concepts et fonctionnalités de Container Threat Detection.

Qu'est-ce que Container Threat Detection ?

Container Threat Detection est un service intégré au niveau Premium de Security Command Center qui surveille en permanence l'état des images de nœud Container-Optimized OS. Le service évalue presque en temps réel toutes les modifications et toutes les tentatives d'accès à distance pour détecter les attaques visant l'environnement d'exécution.

Container Threat Detection détecte les attaques les plus courantes visant l'environnement d'exécution des conteneurs, et vous alerte dans Security Command Center et, éventuellement, dans Cloud Logging. Container Threat Detection inclut plusieurs fonctionnalités de détection, y compris les bibliothèques et les binaires suspects, et utilise le traitement du langage naturel (NLP) pour détecter les scripts bash malveillants.

Fonctionnement de Container Threat Detection

L'instrumentation de détection Container Threat Detection de Container collecte le comportement de bas niveau dans le noyau invité et les scripts bash exécutés. Voici le chemin d'exécution lorsque des événements sont détectés :

  1. Container Threat Detection transmet les informations d'événement et les informations qui identifient le conteneur via un DaemonSet en mode utilisateur à un service de détection à des fins d'analyse. La collecte des événements est configurée automatiquement lorsque Container Threat Detection est activé.

    Le DaemonSet d'observateur transmet les informations du conteneur au mieux. Les informations relatives au conteneur peuvent être supprimées du résultat signalé si Kubernetes et son environnement d'exécution ne parviennent pas à fournir les informations correspondantes à temps.

  2. Le service de détecteur analyse les événements pour déterminer si un événement indique un incident. Le contenu des scripts bash est analysé avec le TLN afin de déterminer si les scripts exécutés sont malveillants.

  3. Si le service de détecteur identifie un incident, celui-ci est écrit en tant que résultat dans Security Command Center et, éventuellement, dans Cloud Logging.

    • Si le service de détecteur n'identifie pas d'incident, les informations de résultats ne sont pas stockées.
    • Toutes les données du noyau et du service de détecteur sont éphémères et aucune d'entre elles n'est stockée de manière permanente.

Vous pouvez consulter les détails de résultats dans le tableau de bord de Security Command Center et examiner les informations de résultats. Votre capacité à afficher et modifier les résultats est déterminée par les rôles qui vous sont attribués. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Détecteurs de Container Threat Detection

Container Threat Detection inclut les détecteurs suivants :

Détecteur Description Entrées de détection
Fichier binaire ajouté exécuté

Un binaire qui ne faisait pas partie de l'image de conteneur d'origine a été exécuté.

Si un binaire ajouté est exécuté par un pirate informatique, cela signifie peut-être qu'il contrôle la charge de travail et qu'il exécute des commandes arbitraires.

Le détecteur recherche un binaire en cours d'exécution qui ne faisait pas partie de l'image de conteneur d'origine ou qui a été modifié à partir de l'image de conteneur d'origine.
Bibliothèque ajoutée chargée

Une bibliothèque ne faisant pas partie de l'image de conteneur d'origine a été chargée.

Si une bibliothèque ajoutée est chargée, cela peut signifier qu'un pirate informatique contrôle la charge de travail et qu'il exécute du code arbitraire.

Le détecteur recherche une bibliothèque en cours de chargement qui ne faisait pas partie de l'image de conteneur d'origine ou qui a été modifiée à partir de l'image de conteneur d'origine.
Exécution: ajout d'un binaire malveillant exécuté

Un binaire remplissant les conditions suivantes a été exécuté:

  • Identifiés comme malveillants d'après des renseignements sur les menaces
  • Ne fait pas partie de l'image de conteneur d'origine

Si un binaire malveillant ajouté est exécuté, cela indique fort qu'un pirate informatique contrôle la charge de travail et qu'il exécute un logiciel malveillant.

Le détecteur recherche un binaire en cours d'exécution qui ne faisait pas partie de l'image de conteneur d'origine et qui a été identifié comme malveillant d'après les renseignements sur les menaces.
Exécution: Bibliothèque malveillante chargée

Une bibliothèque remplissant les conditions suivantes a été chargée:

  • Identifiés comme malveillants d'après des renseignements sur les menaces
  • Ne fait pas partie de l'image de conteneur d'origine

Si une bibliothèque malveillante ajoutée est chargée, cela signifie qu'un pirate informatique contrôle la charge de travail et qu'il exécute un logiciel malveillant.

Le détecteur recherche une bibliothèque en cours de chargement qui ne faisait pas partie de l'image de conteneur d'origine et qui a été identifiée comme malveillante sur la base des renseignements sur les menaces.
Exécution: fichier binaire malveillant intégré exécuté

Un binaire remplissant les conditions suivantes a été exécuté:

  • Identifiés comme malveillants d'après des renseignements sur les menaces
  • Incluse dans l'image de conteneur d'origine

Si un binaire malveillant intégré est exécuté, cela signifie que le pirate informatique déploie des conteneurs malveillants. Il est possible qu'elle ait pris le contrôle d'un dépôt d'images ou d'un pipeline de compilation de conteneurs légitimes et injecté un binaire malveillant dans l'image du conteneur.

Le détecteur recherche un binaire en cours d'exécution qui était inclus dans l'image de conteneur d'origine et a été identifié comme malveillant d'après les renseignements sur les menaces.
Exécution: fichier binaire malveillant modifié exécuté

Un binaire remplissant les conditions suivantes a été exécuté:

  • Identifiés comme malveillants d'après des renseignements sur les menaces
  • Incluse dans l'image de conteneur d'origine
  • Modification à partir de l'image de conteneur d'origine pendant l'exécution
  • Si un binaire malveillant modifié est exécuté, cela indique fort qu'un pirate informatique contrôle la charge de travail et qu'il exécute un logiciel malveillant.

    Le détecteur recherche un binaire en cours d'exécution qui était à l'origine inclus dans l'image de conteneur, mais modifié pendant l'exécution et qui a été identifié comme malveillant sur la base des renseignements sur les menaces.
    Exécution: une bibliothèque malveillante modifiée a été chargée

    Une bibliothèque remplissant les conditions suivantes a été chargée:

  • Identifiés comme malveillants d'après des renseignements sur les menaces
  • Incluse dans l'image de conteneur d'origine
  • Modification à partir de l'image de conteneur d'origine pendant l'exécution
  • Si une bibliothèque malveillante modifiée est chargée, cela indique fort qu'un pirate informatique contrôle la charge de travail et qu'il exécute un logiciel malveillant.

    Le détecteur recherche une bibliothèque en cours de chargement qui était à l'origine incluse dans l'image de conteneur, mais modifiée pendant l'exécution et qui a été identifiée comme malveillante sur la base des renseignements sur les menaces.
    Script malveillant exécuté Un modèle de machine learning a identifié un script bash exécuté comme malveillant. Les pirates informatiques peuvent utiliser des scripts bash pour transférer des outils ou d'autres fichiers d'un système externe vers un environnement compromis afin d'exécuter des commandes sans binaires. Le détecteur utilise des techniques de TLN pour évaluer le contenu d'un script bash exécuté. Étant donné que cette approche n'est pas basée sur les signatures, les détecteurs peuvent identifier les scripts malveillants connus et inconnus.
    URL malveillante détectée Container Threat Detection a observé une URL malveillante dans la liste d'arguments d'un processus en cours d'exécution. Le détecteur compare les URL observées dans la liste d'arguments des processus en cours d'exécution aux listes de ressources Web non sécurisées gérées par le service de navigation sécurisée de Google. Si une URL est classée à tort comme tentative d'hameçonnage ou comme contenant un logiciel malveillant, signalez-la à la navigation sécurisée sur la page Signaler des données incorrectes.
    Shell inversé

    Un processus a commencé par une redirection de flux vers un socket connecté distant.

    Grâce à l'interface système inversée, un pirate informatique peut communiquer à partir d'une charge de travail compromise vers une machine contrôlée par un pirate informatique. Le pirate informatique peut ensuite commander et contrôler la charge de travail pour effectuer les actions souhaitées, par exemple dans le cadre d'un botnet.

    Le détecteur recherche stdin lié à un socket distant.
    Shell enfant inattendu

    Un processus qui n'appelle normalement pas de shell a généré un processus de shell.

    Le détecteur surveille toutes les exécutions de processus. Lorsqu'un shell est appelé, le détecteur génère un résultat si le processus parent n'appelle généralement pas de shells.

    Étapes suivantes