Container Threat Detection 概念性概览

>

本页面简要介绍了 Container Threat Detection 的概念和功能。

什么是 Container Threat Detection?

Container Threat Detection 是 Security Command Center 付费级的内置服务,可持续监控容器映像的状态、评估所有更改和远程访问尝试以便以近乎实时的方式检测运行时攻击。

Container Threat Detection 可检测最常见的容器运行时攻击,并在 Security Command Center 和(可选)Cloud Logging 中提醒您。Container Threat Detection 可提供多种检测功能(包括可疑的二进制文件和库),并使用自然语言处理 (NLP) 来检测恶意 bash 脚本。

Container Threat Detection 的工作原理

Container Threat Detection 检测插桩会收集客机内核和执行的 bash 脚本中的低级行为。以下是检测到事件时的执行路径:

  1. 用于标识容器的事件信息和信息会通过用户模式传递给检测器服务进行分析。 启用 Container Threat Detection 时,系统会自动配置事件导出。

  2. 检测器服务会分析事件,以确定事件是否表示突发事件。 系统会使用 NLP 分析 bash 脚本的内容,以确定执行的脚本是否为恶意脚本。

  3. 如果检测器服务发现突发事件,突发事件会以发现结果形式写入 Security Command Center 和(可选)Cloud Logging 中。

    • 如果检测器服务无法识别突发事件,则不会存储发现结果信息。
    • 内核和检测器服务中的所有数据都是临时的,不会永久存储。

您可以在 Security Command Center 信息中心查看发现结果详情,并调查发现结果信息。 您能否查看和修改结果取决于您被授予的角色。如需详细了解 Security Command Center 角色,请参阅访问权限控制

Container Threat Detection 检测器

Container Threat Detection 包括以下检测器:

检测器 说明 要检测的输入
已执行添加的二进制文件

执行了不属于原始容器映像的二进制文件。

如果一个添加的二进制文件是由攻击者执行的,这可能表明攻击者控制了工作负载,并且正在执行任意命令。

检测器查找正在执行的二进制文件,该二进制文件不是原始容器映像的一部分,或者是通过原始容器映像修改的。
已加载添加的库

已加载不属于原始容器映像的库。

如果添加的库已加载,则可能表示攻击者控制了工作负载并正在执行任意代码。

检测器查找正在加载的库,该库不是原始容器映像的一部分,或者是通过原始容器映像修改的。
已执行恶意脚本 机器学习模型将执行的 bash 脚本识别为恶意脚本。攻击者可以利用 bash 脚本将工具或其他文件从外部系统转移到遭到入侵的环境,并在不使用二进制文件的情况下执行命令。 检测器使用 NLP 技术评估已执行的 bash 脚本的内容。由于此方法并非基于签名,因此检测器可以识别已知和未知的恶意脚本。
反向 shell

通过流式传输重定向到远程连接的套接字的过程。

借助反向 shell,攻击者可以通过已破解的工作负载与攻击者控制的机器进行通信。然后,攻击者可以命令和控制工作负载以执行所需操作,例如将其作为僵尸网络的一部分。

检测器会查找绑定到远程套接字的 stdin

后续步骤