Utiliser Container Threat Detection

>

Consultez les résultats de Container Threat Detection dans le tableau de bord de Security Command Center et consultez des exemples de résultats de Container Threat Detection. Container Threat Detection est un service intégré au niveau Premium de Security Command Center. Pour afficher les résultats de Container Threat Detection, ce dernier doit être activé dans les paramètres sources et services de Security Command Center.

La vidéo suivante montre les étapes à suivre pour configurer Container Threat Detection et fournit des informations sur l'utilisation du tableau de bord. Vous trouverez plus d'informations sur l'affichage et la gestion des résultats Container Threat Detection sous forme de texte ci-dessous.

Utiliser une version de GKE compatible

Pour détecter les menaces potentielles pour vos conteneurs, vous devez vous assurer que vos clusters se trouvent dans une version compatible de Google Kubernetes Engine (GKE). Container Treat Detection est actuellement compatible avec les versions GKE suivantes sur les canaux standards et rapides :

  • >= 1.15.9-gke.12
  • >= 1.16.5-gke.2
  • >= 1.17

Dans une prochaine mise à jour, Container Threat Detection sera compatible avec la version 1.14 et le canal stable.

Pour utiliser une version de GKE compatible et détecter les menaces sur vos conteneurs, procédez comme suit :

  1. Suivez le guide pour mettre à jour un cluster.
  2. Assurez-vous que Container Treat Detection est activé pour le cluster :
    1. Accédez à la page Ressources de Security Command Center dans Cloud Console.
      Accéder à la page "Sources et services"
    2. Dans la colonne Container Threat Detection, cliquez sur Activé à côté de chaque cluster que vous avez mis à jour.

Pour en savoir plus, consultez la section Configurer des ressources de Security Command Center.

Examiner les résultats

Lorsque Container Threat Detection génère des résultats, vous pouvez afficher ces résultats dans Security Command Center ou dans Cloud Logging si vous avez configuré des récepteurs Security Command Center pour écrire dans la suite d'opérations de Google Cloud. Pour générer un résultat et vérifier votre configuration, vous pouvez déclencher intentionnellement un détecteur et tester Container Threat Detection.

Container Threat Detection présente les latences suivantes :

  • Latence d'activation d'une heure pour les organisations nouvellement ajoutées
  • Latence d'activation d'une heure pour les clusters nouvellement créés
  • Latence de détection de plusieurs minutes pour les menaces dans les clusters qui ont été activés

Examiner les résultats dans Security Command Center

Pour examiner les résultats de Container Threat Detection dans Security Command Center :

  1. Accédez à l'onglet Résultats de Security Command Center dans Google Cloud Console.
    Accéder à l'onglet "Résultats"
  2. À côté de Afficher par, cliquez sur Type de source.
  3. Dans la liste Type de source, sélectionnez Container Threat Detection.
  4. Pour afficher des informations détaillées sur un résultat spécifique, cliquez sur le nom de ce résultat sous category. Le panneau de détails du résultat se développe pour afficher des informations, y compris les suivantes :
    • Type de résultat, tel que "Binaire ajouté exécuté".
    • Source : "Container Threat Detection"
    • Heure de l'événement : moment où le résultat s'est produit
    • Identifiant de résultat : identifiant unique du résultat
    • Nom de la ressource : cluster GKE affecté
    • Propriétés de résultats avec plus d'informations telles que :
      • Nom du conteneur
      • Heure de création du conteneur
      • URI et ID de l'image de conteneur
      • Champs supplémentaires basés sur le détecteur Par exemple, les résultats de l'interface système inversée incluent l'adresse IP de l'hôte distant.

Afficher les résultats dans Cloud Logging

Pour afficher les résultats de Container Threat Detection dans Cloud Logging, procédez comme suit :

  1. Accédez à la page Visionneuse de journaux de Cloud Logging dans Cloud Console.
    Accéder à la page "Visionneuse de journaux"
  2. Sur la page Visionneuse de journaux, cliquez sur Sélectionner, puis sur le projet dans lequel vous stockez les journaux Container Threat Detection.
  3. Dans la liste déroulante des ressources, sélectionnez Cloud Threat Detector.
    • Pour afficher les résultats de tous les détecteurs, sélectionnez all detector_name.
    • Pour afficher les résultats d'un détecteur spécifique, sélectionnez le nom de ce détecteur.

Exemples de résultats

Lisez la section Détecteurs de Container Threat Detection pour examiner les exemples de résultats.

Étape suivante