Questa pagina fornisce una panoramica generale dei concetti e delle funzionalità di Container Threat Detection.
Che cos'è Container Threat Detection?
Container Threat Detection è un servizio integrato di Security Command Center che monitora costantemente lo stato delle immagini dei nodi Container-Optimized OS. Il servizio valuta tutte le modifiche e i tentativi di accesso remoto per rilevare attacchi di runtime quasi in tempo reale.
Container Threat Detection rileva gli attacchi e gli avvisi al runtime dei container più comuni in Security Command Center e, facoltativamente, in Cloud Logging. Container Threat Detection include svariate funzionalità di rilevamento, compresi file binari e librerie sospetti, e utilizza l'elaborazione del linguaggio naturale (NLP) per rilevare script bash dannosi.
Container Threat Detection è disponibile solo con il livello Premium o Enterprise di Security Command Center.
Come funziona Container Threat Detection
La strumentazione di rilevamento di Container Threat Detection raccoglie comportamenti di basso livello nel kernel ospite e gli script bash eseguiti. Di seguito è riportato il percorso di esecuzione quando vengono rilevati eventi:
Container Threat Detection passa le informazioni sull'evento e le informazioni che identificano il container tramite un oggetto DaemonSet in modalità utente a un servizio di rilevamento per l'analisi. La raccolta degli eventi viene configurata automaticamente quando Container Threat Detection è abilitato.
L'osservatore DaemonSet trasmette le informazioni del contenitore nel modo migliore possibile. Le informazioni del container possono essere eliminate dal risultato segnalato se Kubernetes e il runtime del container non riescono a fornire in tempo le informazioni del container corrispondenti.
Il servizio di rilevamento analizza gli eventi per determinare se sono indicativi di un incidente. Il contenuto degli script bash viene analizzato con NLP per determinare se gli script eseguiti sono dannosi.
Se il servizio di rilevamento identifica un incidente, questo viene scritto come rilevamento in Security Command Center e, facoltativamente, in Cloud Logging.
- Se il servizio di rilevamento non identifica un incidente, le informazioni sui risultati non vengono archiviate.
- Tutti i dati nel kernel e nel servizio di rilevamento sono temporanei e non sono archiviati in modo permanente.
Puoi visualizzare i dettagli dei risultati nella dashboard di Security Command Center ed esaminare le informazioni sui risultati. La possibilità di visualizzare e modificare i risultati è determinata dai ruoli che ti vengono assegnati. Per maggiori informazioni sui ruoli di Security Command Center, vedi Controllo dell'accesso.
Rilevatori di Container Threat Detection
Container Threat Detection include i seguenti rilevatori:
| Rilevatore | Descrizione | Input di rilevamento |
|---|---|---|
| Programma binario aggiuntivo eseguito |
È stato eseguito un programma binario che non faceva parte dell'immagine container originale. Se un utente malintenzionato esegue un programma binario aggiunto, è possibile che un utente malintenzionato abbia il controllo del carico di lavoro e stia eseguendo comandi arbitrari. |
Il rilevatore cerca un programma binario eseguito che non faceva parte dell'immagine container originale o che sia stato modificato rispetto all'immagine container originale. |
| Libreria aggiuntiva caricata |
È stata caricata una libreria che non faceva parte dell'immagine container originale. Se viene caricata una libreria aggiunta, è possibile che un utente malintenzionato abbia il controllo del carico di lavoro e stia eseguendo codice arbitrario. |
Il rilevatore cerca una libreria caricata che non faceva parte dell'immagine container originale o che è stata modificata rispetto all'immagine container originale. |
| Esecuzione: esecuzione di elementi binari dannosi aggiunta |
È stato eseguito un file binario che soddisfa le seguenti condizioni:
L'esecuzione di un file binario dannoso aggiunto è un segnale forte che un utente malintenzionato ha il controllo del carico di lavoro e sta eseguendo software dannoso. |
Il rilevatore cerca un programma binario eseguito che non faceva parte dell'immagine del container originale ed è stato identificato come dannoso in base alle informazioni sulle minacce. |
| Esecuzione: aggiunta di libreria dannosa caricata |
È stata caricata una libreria che soddisfa le seguenti condizioni:
Il caricamento di una libreria dannosa aggiunta è un segnale forte che un utente malintenzionato ha il controllo del carico di lavoro e sta eseguendo software dannoso. |
Il rilevatore cerca una libreria caricata che non faceva parte dell'immagine container originale ed è stata identificata come dannosa in base alle informazioni sulle minacce. |
| Esecuzione: esecuzione binaria dannosa integrata |
È stato eseguito un file binario che soddisfa le seguenti condizioni:
L'esecuzione di un programma binario dannoso integrato indica che l'utente malintenzionato sta eseguendo il deployment di container dannosi. Potrebbero aver acquisito il controllo di un repository di immagini legittimo o di una pipeline di build del container e aver inserito un programma binario dannoso nell'immagine container. |
Il rilevatore cerca un programma binario eseguito incluso nell'immagine del container originale e identificato come dannoso in base alle informazioni sulle minacce. |
| Esecuzione: esecuzione di un file binario dannoso modificato |
È stato eseguito un file binario che soddisfa le seguenti condizioni: L'esecuzione di un file binario dannoso modificato è un segnale forte che un utente malintenzionato ha il controllo del carico di lavoro e sta eseguendo software dannoso. |
Il rilevatore cerca un programma binario eseguito originariamente incluso nell'immagine container, ma modificato durante il runtime e identificato come dannoso in base alle informazioni sulle minacce. |
| Esecuzione: libreria dannosa modificata caricata |
È stata caricata una libreria che soddisfa le seguenti condizioni: Il caricamento di una libreria dannosa modificata è un segnale forte che un utente malintenzionato ha il controllo del carico di lavoro e sta eseguendo software dannoso. |
Il rilevatore cerca il caricamento di una libreria che era stata originariamente inclusa nell'immagine container, ma modificata durante il runtime, ed è stata identificata come dannosa in base alla threat intelligence. |
| Script dannoso eseguito | Un modello di machine learning ha identificato uno script bash eseguito come dannoso. Gli utenti malintenzionati possono utilizzare gli script bash per trasferire strumenti o altri file da un sistema esterno in un ambiente compromesso ed eseguire comandi senza programmi binari. | Il rilevatore utilizza tecniche NLP per valutare i contenuti di uno script bash eseguito. Poiché questo approccio non si basa su firme, i rilevatori possono identificare script dannosi noti e sconosciuti. |
| URL dannoso osservato | Container Threat Detection ha rilevato un URL dannoso nell'elenco di argomenti di un processo in esecuzione. | Il rilevatore controlla gli URL osservati nell'elenco di argomenti dei processi in esecuzione a fronte degli elenchi di risorse web non sicure gestite dal servizio Navigazione sicura di Google. Se un URL viene classificato erroneamente come phishing o malware, segnalalo a Navigazione sicura alla pagina Segnalazione di dati errati. |
| Shell inversa |
Processo avviato con il reindirizzamento dello stream a un socket connesso remoto. Con una reverse shell, un utente malintenzionato può comunicare da un carico di lavoro compromesso a una macchina controllata da un utente malintenzionato. L'utente malintenzionato può quindi comandare e controllare il carico di lavoro per eseguire le azioni desiderate, ad esempio nell'ambito di una botnet. |
Il rilevatore cerca stdin associato a un socket remoto.
|
| Shell figlio imprevista |
Un processo che in genere non richiama le shell ha generato un processo shell. |
Il rilevatore monitora tutte le esecuzioni del processo. Quando viene richiamata una shell, il rilevatore genera un risultato se è noto che il processo padre in genere non richiama le shell. |
Passaggi successivi
- Scopri di più sull'utilizzo di Container Threat Detection.
- Scopri di più sul test di Container Threat Detection.
- Scopri come indagare e sviluppare piani di risposta alle minacce.
- Scopri di più su Artifact Analysis e analisi delle vulnerabilità.