Container Threat Detection 개념 개요

>

Container Threat Detection 개념과 기능에 대한 대략적인 개요입니다.

Container Threat Detection이란?

Container Threat Detection은 컨테이너 이미지 상태를 지속적으로 모니터링하여 거의 실시간으로 런타임 공격을 감지하기 위해 모든 변경사항과 원격 액세스 시도를 평가하는 Security Command Center 프리미엄 등급의 기본 서비스입니다.

Container Threat Detection은 가장 일반적인 컨테이너 런타임 공격을 감지하고 Security Command Center 및 필요한 경우 Cloud Logging에서 사용자에게 알림을 보낼 수 있습니다. Container Threat Detection에는 여러 감지 기능, 분석 도구, API가 포함되어 있습니다.

Container Threat Detection 작동 방식

Container Threat Detection 감지 계측은 게스트 커널에서 하위 수준의 동작을 수집합니다. 이벤트가 감지되면

  1. 이벤트 정보와 컨테이너를 식별하는 정보는 분석을 위해 사용자 모드를 통해 감지기 서비스로 전달됩니다. 이벤트 내보내기는 Container Threat Detection이 사용 설정되면 자동으로 구성됩니다.

  2. 감지기 서비스는 이벤트를 분석하여 이벤트가 이슈를 나타내는지 확인합니다.

  3. 감지기 서비스가 이슈를 식별한 경우 이슈는 Security Command Center의 발견 항목으로 기록되며 선택적으로 Cloud Logging에 기록됩니다.

    • 감지기 서비스가 이슈를 식별하지 않으면 발견 항목 정보는 저장되지 않습니다.
    • 커널 및 감지기 서비스의 모든 데이터는 일시적이며 영구적으로 저장되지 않습니다.

Security Command Center 대시보드에서 발견 항목 세부정보를 확인하고 발견 항목 정보를 조사할 수 있습니다.

Container Threat Detection 감지기

Container Threat Detection에는 다음과 같은 감지기가 포함됩니다.

감지기 설명 감지 입력
추가된 바이너리가 실행됨

원본 컨테이너 이미지에 포함되지 않은 바이너리가 실행되었습니다.

추가된 바이너리가 공격자에 의해 실행되면 공격자가 워크로드를 제어하고 임의의 명령어를 실행하고 있다는 신호일 수 있습니다.

감지기는 원본 컨테이너 이미지에 포함되지 않았거나 원본 컨테이너 이미지에서 수정된 실행 중인 바이너리를 찾습니다.
추가된 라이브러리가 로드됨

원본 컨테이너 이미지에 포함되지 않은 라이브러리가 로드되었습니다.

추가된 라이브러리가 로드된 경우 공격자가 워크로드를 제어하고 임의의 코드를 실행하고 있다는 신호일 수 있습니다.

감지기는 원본 컨테이너 이미지의 일부가 아니거나 원본 컨테이너 이미지에서 수정된 로드 중인 라이브러리를 찾습니다.
역방향 셸

원격으로 연결된 소켓에 대한 스트림 리디렉션으로 프로세스가 시작되었습니다.

역방향 셸을 사용하면 공격자는 손상된 워크로드에서 공격자가 제어하는 머신으로 통신할 수 있습니다. 그런 다음 공격자는 워크로드를 명령하고 제어하여 봇넷의 일부로 원하는 작업을 수행할 수 있습니다.

감지기는 원격 소켓에 결합된 `stden` 을 찾습니다.

다음 단계