Visão geral conceitual do Container Threat Detection

>

Uma visão geral de alto nível dos conceitos e recursos do Container Threat Detection.

O que é o Container Threat Detection?

O Container Threat Detection é um serviço integrado do nível Premium do Security Command Center que monitora continuamente o estado das imagens de contêiner, avaliando todas as alterações e tentativas de acesso remoto para detectar ataques de ambiente de execução quase que em tempo real.

O Container Threat Detection pode detectar os ataques mais comuns do ambiente de execução de contêiner e alertar você no Security Command Center e, como opção, no Cloud Logging. O Container Threat Detection inclui vários recursos de detecção, uma ferramenta de análise e uma API.

Como funciona o

A instrumentação de detecção do Container Threat Detection coleta o comportamento de baixo nível no kernel convidado. Quando os eventos são detectados:

  1. As informações de evento e informações que identificam o contêiner são passadas para análise por meio do modo de usuário para um serviço de detector. A exportação de eventos é configurada automaticamente quando o Container Threat Detection está ativado.

  2. O serviço de detector analisa eventos para determinar se um evento indica um incidente.

  3. Se o serviço identificar um incidente, ele será gravado como uma descoberta no Security Command Center ou, opcionalmente, no Cloud Logging.

    • Se o serviço de detector não identificar um incidente, a descoberta de informações não será armazenada.
    • Todos os dados no serviço de kernel e detector são temporários e não são armazenados de forma permanente.

É possível ver os detalhes da descoberta no painel do Security Command Center e investigar as informações de descoberta.

Detectores do Container Threat Detection

O Container Threat Detection inclui os seguintes detectores:

Detector Descrição Entradas para detecção
Adição de binário executado

Um binário que não fazia parte da imagem do contêiner original foi executado.

Se um binário adicionado for executado por um invasor, é possível que um invasor tenha controle da carga de trabalho e esteja executando comandos arbitrários.

O detector procura um binário em execução que não fazia parte da imagem do contêiner original ou foi modificado a partir da imagem do contêiner original.
Adição de biblioteca carregada

Uma biblioteca que não fazia parte da imagem do contêiner original foi carregada.

Se uma biblioteca adicionada for carregada, é possível que um invasor tenha controle da carga de trabalho e esteja executando um código arbitrário.

O detector procura uma biblioteca carregada que não fazia parte da imagem de contêiner original ou foi modificada na imagem de contêiner original.
Shell reverso

Um processo começou com o redirecionamento de stream para um soquete conectado remotamente.

Com um shell reverso, um invasor pode se comunicar de uma carga de trabalho comprometida para uma máquina controlada pelo invasor. O invasor pode comandar e controlar a carga de trabalho para executar ações pretendidas, por exemplo, como parte de um botnet.

O detector procura um `stdin` vinculado a um soquete remoto.

A seguir