Container Threat Detection 概念和特性简要概览。Container Threat Detection 可以检测最常见的容器运行时攻击,并在 Security Command Center 和 Cloud Logging(可选)中提醒您。Container Threat Detection 包括多个检测功能、一个分析工具和 API。
Container Threat Detection 的工作原理
Container Threat Detection 检测工具会收集客机内核中的低级行为。检测到事件后:
用于标识容器的事件信息和信息会通过用户模式传递给检测器服务进行分析。 启用 Container Threat Detection 时,系统会自动配置事件导出。
检测器服务会分析事件,以确定事件是否表示突发事件。
如果检测器服务识别突发事件,突发事件将以 Security Command Center 中的发现结果形式写入 Cloud Logging(可选)。
- 如果检测器服务无法识别突发事件,则不会存储发现结果信息。
- 内核和检测器服务中的所有数据都是临时的,不会永久存储。
您可以在 Security Command Center 信息中心查看发现结果详情,并调查发现结果信息。
Container Threat Detection 检测器
Container Threat Detection 包括以下检测器:
| 检测器 | 说明 | 要检测的输入 |
|---|---|---|
| 已执行添加的二进制文件 |
执行了不属于原始容器映像的二进制文件。 如果一个添加的二进制文件是由攻击者执行的,这可能表明攻击者控制了工作负载,并且正在执行任意命令。 |
检测器查找正在执行的二进制文件,该二进制文件不是原始容器映像的一部分,或者是通过原始容器映像修改的。 |
| 已加载添加的库 |
已加载不属于原始容器映像的库。 如果添加的库已加载,则可能表示攻击者控制了工作负载并正在执行任意代码。 |
检测器查找正在加载的库,该库不是原始容器映像的一部分,或者是通过原始容器映像修改的。 |
| 反向 shell |
通过流式传输重定向到远程连接的套接字的过程。 借助反向 shell,攻击者可以通过已破解的工作负载与攻击者控制的机器进行通信。然后,攻击者可以命令和控制工作负载以执行所需操作,例如将其作为僵尸网络的一部分。 |
检测器会查找绑定到远程套接字的 `stdin`。 |