Uma visão geral de alto nível dos conceitos e recursos do Container Threat Detection.
O que é o Container Threat Detection?
O Container Threat Detection é um serviço integrado do nível Premium do Security Command Center que monitora continuamente o estado das imagens de contêiner, avaliando todas as alterações e tentativas de acesso remoto para detectar ataques de ambiente de execução quase que em tempo real.
O Container Threat Detection pode detectar os ataques mais comuns do ambiente de execução de contêiner e alertar você no Security Command Center e, como opção, no Cloud Logging. O Container Threat Detection inclui vários recursos de detecção, uma ferramenta de análise e uma API.
Como funciona o
A instrumentação de detecção do Container Threat Detection coleta o comportamento de baixo nível no kernel convidado. Quando os eventos são detectados:
As informações de evento e informações que identificam o contêiner são passadas para análise por meio do modo de usuário para um serviço de detector. A exportação de eventos é configurada automaticamente quando o Container Threat Detection está ativado.
O serviço de detector analisa eventos para determinar se um evento indica um incidente.
Se o serviço identificar um incidente, ele será gravado como uma descoberta no Security Command Center ou, opcionalmente, no Cloud Logging.
- Se o serviço de detector não identificar um incidente, a descoberta de informações não será armazenada.
- Todos os dados no serviço de kernel e detector são temporários e não são armazenados de forma permanente.
É possível ver os detalhes da descoberta no painel do Security Command Center e investigar as informações de descoberta.
Detectores do Container Threat Detection
O Container Threat Detection inclui os seguintes detectores:
| Detector | Descrição | Entradas para detecção |
|---|---|---|
| Adição de binário executado |
Um binário que não fazia parte da imagem do contêiner original foi executado. Se um binário adicionado for executado por um invasor, é possível que um invasor tenha controle da carga de trabalho e esteja executando comandos arbitrários. |
O detector procura um binário em execução que não fazia parte da imagem do contêiner original ou foi modificado a partir da imagem do contêiner original. |
| Adição de biblioteca carregada |
Uma biblioteca que não fazia parte da imagem do contêiner original foi carregada. Se uma biblioteca adicionada for carregada, é possível que um invasor tenha controle da carga de trabalho e esteja executando um código arbitrário. |
O detector procura uma biblioteca carregada que não fazia parte da imagem de contêiner original ou foi modificada na imagem de contêiner original. |
| Shell reverso |
Um processo começou com o redirecionamento de stream para um soquete conectado remotamente. Com um shell reverso, um invasor pode se comunicar de uma carga de trabalho comprometida para uma máquina controlada pelo invasor. O invasor pode comandar e controlar a carga de trabalho para executar ações pretendidas, por exemplo, como parte de um botnet. |
O detector procura um `stdin` vinculado a um soquete remoto. |
A seguir
- Saiba como usar o Container Threat Detection.
- Aprenda como testar o Container Threat Detection.
- Saiba como investir e desenvolver planos de resposta para ameaças.