Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.
Présentation
Container Threat Detection a détecté une URL malveillante dans la liste des arguments d'un processus exécutable. Les pirates informatiques peuvent charger des logiciels malveillants ou des bibliothèques malveillantes via des URL malveillantes.
Comment répondre
Pour répondre à ce résultat, procédez comme suit :
Étape 1 : Examiner les détails du résultat
Ouvrez un résultat
Malicious URL Observedcomme indiqué dans la section Examiner les résultats. Le panneau d'informations sur le résultat s'ouvre sur l'onglet Résumé.Dans l'onglet Récapitulatif, examinez les informations des sections suivantes :
- Ce qui a été détecté, en particulier les champs suivants :
- URI : URI malveillant observé.
- Binaire ajouté : chemin d'accès complet du binaire du processus qui a reçu les arguments contenant l'URL malveillante.
- Arguments : arguments fournis lors de l'appel du binaire du processus.
- Variables d'environnement : variables d'environnement en vigueur lors de l'appel du binaire du processus.
- Conteneurs : nom du conteneur.
- Pods Kubernetes : nom et espace de noms du pod.
- Ressource concernée, en particulier les champs suivants :
- Nom à afficher de la ressource : nom de la ressource concernée.
- Nom complet de la ressource : nom complet de la ressource du cluster. Le nom complet de la ressource inclut les informations suivantes :
- Projet contenant le cluster :
projects/PROJECT_ID - Emplacement du cluster :
zone/ZONEoulocations/LOCATION - Nom du cluster :
projects/CLUSTER_NAME
- Projet contenant le cluster :
- Liens associés, en particulier les champs suivants :
- Indicateur VirusTotal : lien vers la page d'analyse VirusTotal.
- Ce qui a été détecté, en particulier les champs suivants :
Dans l'onglet JSON, dans l'attribut
sourceProperties, notez la valeur de la propriétéVM_Instance_Name.
Étape 2 : Vérifier le cluster et le nœud
Dans la console Google Cloud , accédez à la page Clusters Kubernetes.
Dans la barre d'outils de la console Google Cloud , sélectionnez le projet qui apparaît dans Nom complet de la ressource (
resource.name), si nécessaire. Le nom du projet apparaît après/projects/dans le nom complet de la ressource.Cliquez sur le nom du cluster que vous avez noté dans Nom à afficher de la ressource (
resource.display_name) du récapitulatif du résultat. La page Clusters s'ouvre.Dans la section Métadonnées de la page "Détails du cluster", notez toutes les informations définies par l'utilisateur qui pourraient être utiles pour résoudre la menace, comme les informations permettant d'identifier le propriétaire du cluster.
Cliquez sur l'onglet "Nœuds".
Dans la liste des nœuds, sélectionnez celui qui correspond à la valeur de
VM_Instance_Nameque vous avez notée précédemment dans le JSON du résultat.Dans l'onglet Détails de la page Détails du nœud, dans la section Annotations, notez la valeur de l'annotation
container.googleapis.com/instance_id.
Étape 3 : Examiner le pod
Dans la console Google Cloud , accédez à la page Charges de travail Kubernetes.
Dans la barre d'outils de la console Google Cloud , sélectionnez le projet que vous avez noté dans le nom complet de la ressource (
resource.name) du cluster dans le récapitulatif du résultat, si nécessaire.Cliquez sur Afficher les charges de travail du système.
Filtrez la liste des charges de travail par le nom du cluster que vous avez noté dans Nom complet de la ressource (
resource.name) du récapitulatif du résultat et, si nécessaire, par l'espace de noms du pod (kubernetes.pods.ns) que vous avez noté.Cliquez sur le nom de la charge de travail qui correspond à la valeur de la propriété
VM_Instance_Nameque vous avez notée précédemment dans le JSON du résultat. La page Détails du pod s'ouvre.Sur la page Détails du pod, notez toutes les informations sur le pod qui pourraient vous aider à résoudre la menace.
Étape 4 : Vérifier les journaux
Dans la console Google Cloud , accédez à l'explorateur de journaux.
Dans la barre d'outils de la console Google Cloud , sélectionnez le projet qui apparaît dans Nom complet de la ressource (
resource.name), si nécessaire.Définissez Sélectionner une période sur la période qui vous intéresse.
Sur la page qui s'affiche, procédez comme suit :
- Recherchez les journaux de votre pod (
kubernetes.pods.name) à l'aide du filtre suivant :resource.type="k8s_container"resource.labels.project_id="PROJECT_ID"resource.labels.location="LOCATION"resource.labels.cluster_name="CLUSTER_NAME"resource.labels.namespace_name="NAMESPACE_NAME"resource.labels.pod_name="POD_NAME"
- Recherchez les journaux d'audit du cluster à l'aide du filtre suivant :
logName="projects/PROJECT_NAME/logs/cloudaudit.googleapis.com%2Factivity"resource.type="k8s_cluster"resource.labels.project_id="PROJECT_ID"resource.labels.location="LOCATION_OR_ZONE"resource.labels.cluster_name="CLUSTER_NAME/var>"POD_NAME
- Recherchez les journaux de la console de nœud GKE à l'aide du filtre suivant :
resource.type="gce_instance"resource.labels.instance_id="INSTANCE_ID"
- Recherchez les journaux de votre pod (
Étape 5 : Examiner le conteneur en cours d'exécution
Si le conteneur est toujours en cours d'exécution, il peut être possible d'analyser directement l'environnement du conteneur.
Dans la console Google Cloud , accédez à la page Clusters Kubernetes.
Cliquez sur le nom du cluster affiché dans
resource.labels.cluster_name.Sur la page Clusters, cliquez sur Se connecter, puis sur Exécuter dans Cloud Shell.
Cloud Shell lance et ajoute des commandes pour le cluster dans le terminal.
Appuyez sur Entrée. Si la boîte de dialogue Autoriser Cloud Shell s'affiche, cliquez sur Autoriser.
Connectez-vous à l'environnement de conteneur en exécutant la commande suivante :
kubectl exec --namespace=POD_NAMESPACE -ti POD_NAME -c CONTAINER_NAME -- /bin/shRemplacez
CONTAINER_NAMEpar le nom du conteneur que vous avez noté précédemment dans le récapitulatif du résultat.Pour ce faire, une interface système est installée sur le conteneur à l'adresse
/bin/sh.
Étape 6 : Étudier les méthodes d'attaque et de réponse
- Consultez l'état de la navigation sécurisée pour le site pour savoir pourquoi l'URL est classée comme malveillante.
- Examinez les entrées du framework MITRE ATT&CK pour ce type de résultat : Transfert d'outil Ingress.
- Vérifiez la valeur de hachage SHA-256 du fichier binaire signalé comme malveillant sur VirusTotal en cliquant sur le lien dans l'indicateur VirusTotal. VirusTotal est un service appartenant à Alphabet qui fournit du contexte sur les fichiers, URL, domaines et adresses IP potentiellement malveillants.
- Pour élaborer un plan d'intervention, combinez les résultats de vos enquêtes avec les recherches MITRE et l'analyse VirusTotal.
Étape 7 : Mettre en œuvre votre réponse
Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.
- Contactez le propriétaire du projet contenant le conteneur compromis.
- Arrêtez ou supprimez le conteneur compromis et remplacez-le par un nouveau conteneur.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
- Consultez l'index des résultats de menace.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- En savoir plus sur les services qui génèrent des résultats de détection des menaces