Halaman ini memberikan ringkasan umum tentang konsep dan fitur Deteksi Ancaman Container.
Apa itu Deteksi Ancaman Container?
Container Threat Detection adalah layanan bawaan untuk tingkat Security Command Center Premium yang terus memantau status image node Container-Optimized OS. Layanan ini mengevaluasi semua perubahan dan upaya akses jarak jauh untuk mendeteksi serangan runtime secara hampir real time.
Container Threat Detection mendeteksi serangan runtime container yang paling umum dan memberi tahu Anda di Security Command Center dan, secara opsional, di Cloud Logging. Container Threat Detection mencakup beberapa kemampuan deteksi, termasuk biner dan library yang mencurigakan, serta menggunakan natural language processing (NLP) untuk mendeteksi skrip bash yang berbahaya.
Cara kerja Deteksi Ancaman Container
Instrumentasi deteksi Deteksi Ancaman Container mengumpulkan perilaku level rendah di kernel tamu dan menjalankan skrip bash. Berikut adalah jalur eksekusi saat peristiwa terdeteksi:
Container Threat Detection meneruskan informasi dan informasi peristiwa yang mengidentifikasi container melalui DaemonSet mode pengguna ke layanan detektor untuk dianalisis. Pengumpulan peristiwa dikonfigurasi secara otomatis saat Container Threat Detection diaktifkan.
Watcher DaemonSet meneruskan informasi container dengan cara yang terbaik. Informasi container dapat dihapus dari temuan yang dilaporkan jika Kubernetes dan runtime container gagal memberikan informasi container yang sesuai secara tepat waktu.
Layanan detektor menganalisis peristiwa untuk menentukan apakah peristiwa tersebut menunjukkan adanya insiden. Konten skrip bash dianalisis dengan NLP untuk menentukan apakah skrip yang dijalankan berbahaya.
Jika layanan detektor mengidentifikasi insiden, insiden tersebut akan ditulis sebagai temuan di Security Command Center dan, secara opsional, ke Cloud Logging.
- Jika layanan detektor tidak mengidentifikasi insiden, temuan informasi tidak akan disimpan.
- Semua data di layanan kernel dan detektor bersifat sementara dan tidak disimpan secara persisten.
Anda dapat melihat detail temuan di dasbor Security Command Center dan menyelidiki informasi temuan. Kemampuan Anda untuk melihat dan mengedit temuan ditentukan oleh peran yang diberikan kepada Anda. Untuk mengetahui informasi selengkapnya tentang peran Security Command Center, lihat Kontrol akses.
Pendeteksi Ancaman Container
Container Threat Detection mencakup detektor berikut:
| Pendeteksi | Deskripsi | Input ke deteksi |
|---|---|---|
| Biner Dijalankan Ditambahkan |
Biner yang bukan bagian dari image container asli telah dieksekusi. Jika biner yang ditambahkan dieksekusi oleh penyerang, hal tersebut merupakan tanda bahwa penyerang memiliki kendali atas workload dan sedang mengeksekusi perintah arbitrer. |
Detektor mencari biner yang sedang dijalankan yang bukan bagian dari image container asli, atau diubah dari image container asli. |
| Koleksi Ditambahkan Telah Dimuat |
Library yang bukan bagian dari image container asli telah dimuat. Jika library yang ditambahkan dimuat, itu merupakan tanda yang mungkin bahwa penyerang memiliki kendali atas beban kerja dan sedang mengeksekusi kode arbitrer. |
Detektor mencari library yang sedang dimuat yang bukan bagian dari image container asli, atau diubah dari image container asli. |
| Eksekusi: Menambahkan Biner Berbahaya yang Dijalankan |
Biner yang memenuhi kondisi berikut telah dijalankan:
Jika biner berbahaya tambahan dieksekusi, itu merupakan tanda kuat bahwa penyerang memiliki kendali atas beban kerja dan sedang menjalankan software berbahaya. |
Detektor mencari biner yang sedang dijalankan yang bukan bagian dari image container asli, dan diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman. |
| Eksekusi: Menambahkan Library Berbahaya Dimuat |
Library yang memenuhi kondisi berikut telah dimuat:
Jika library berbahaya yang ditambahkan dimuat, itu merupakan pertanda kuat bahwa penyerang memiliki kendali atas beban kerja dan sedang menjalankan software berbahaya. |
Detektor mencari library yang sedang dimuat yang bukan bagian dari image container asli, dan diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman. |
| Eksekusi: Eksekusi Biner Berbahaya Bawaan |
Biner yang memenuhi kondisi berikut telah dijalankan:
Jika biner berbahaya bawaan dieksekusi, itu pertanda bahwa penyerang men-deploy container berbahaya. Mereka mungkin telah memperoleh kontrol atas repositori image atau pipeline build container yang sah dan memasukkan biner berbahaya ke dalam image container. |
Detektor mencari biner yang sedang dijalankan yang disertakan dalam image container asli, dan diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman. |
| Eksekusi: Modifikasi Biner Berbahaya Dieksekusi |
Biner yang memenuhi kondisi berikut telah dijalankan: Jika biner berbahaya yang dimodifikasi dieksekusi, itu merupakan tanda kuat bahwa penyerang memiliki kendali atas beban kerja dan sedang menjalankan software berbahaya. |
Detektor mencari biner yang sedang dieksekusi, yang awalnya disertakan dalam image container, tetapi dimodifikasi selama runtime, dan diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman. |
| Eksekusi: Library Berbahaya yang Dimodifikasi Dimuat |
Library yang memenuhi kondisi berikut telah dimuat: Jika library berbahaya yang dimodifikasi dimuat, itu merupakan pertanda kuat bahwa penyerang memiliki kendali atas beban kerja dan sedang menjalankan software berbahaya. |
Detektor mencari library yang sedang dimuat, yang awalnya disertakan dalam image container, tetapi diubah selama runtime, dan diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman. |
| Skrip Berbahaya Dieksekusi | Model machine learning mengidentifikasi skrip bash yang dijalankan sebagai berbahaya. Penyerang dapat menggunakan skrip bash untuk mentransfer alat atau file lain dari sistem eksternal ke lingkungan yang disusupi dan menjalankan perintah tanpa biner. | Detektor menggunakan teknik NLP untuk mengevaluasi konten skrip bash yang dijalankan. Karena pendekatan ini tidak didasarkan pada tanda tangan, detektor dapat mengidentifikasi skrip berbahaya yang dikenal dan tidak dikenal. |
| URL Berbahaya Teramati | Container Threat Detection mengamati URL berbahaya dalam daftar argumen proses yang sedang berjalan. | Pendeteksi akan memeriksa URL yang diamati dalam daftar argumen proses yang sedang berjalan berdasarkan daftar resource web tidak aman yang dikelola oleh layanan Safe Browsing Google. Jika URL salah diklasifikasikan sebagai phishing atau malware, laporkan ke Safebrowsing di Melaporkan Data yang Salah. |
| Reverse Shell |
Sebuah proses yang dimulai dengan pengalihan streaming ke soket yang terhubung dari jarak jauh. Dengan shell terbalik, penyerang dapat berkomunikasi dari beban kerja yang disusupi ke mesin yang dikontrol penyerang. Penyerang kemudian dapat memerintahkan dan mengontrol workload untuk melakukan tindakan yang diinginkan, misalnya sebagai bagian dari botnet. |
Detektor mencari stdin yang terikat ke soket jarak jauh.
|
| Shell Turunan yang Tidak Terduga |
Sebuah proses yang biasanya tidak memanggil {i>shell<i} akan menghasilkan proses {i>shell<i}. |
Detektor memantau semua eksekusi proses. Saat shell dipanggil, detektor menghasilkan temuan apakah proses induk diketahui tidak biasanya memanggil shell. |
Langkah selanjutnya
- Pelajari cara menggunakan Deteksi Ancaman Container.
- Pelajari cara menguji Container Threat Detection.
- Pelajari cara menyelidiki dan mengembangkan rencana respons terhadap ancaman.
- Pelajari Analisis Artefak dan pemindaian kerentanan.