Container Threat Detection の使用

>

Security Command Center のダッシュボードで Container Threat Detection の検出結果を確認します。また、Container Threat Detection の検出例を確認します。Container Threat Detection は、Security Command Center のプレミアム ティアの組み込みサービスです。Container Threat Detection の検出結果を表示するには、Security Command Center のソースとサービスの設定で有効にする必要があります。

次の動画は、Container Threat Detection の設定手順と、ダッシュボードの使用方法を示しています。Container Threat Detection の検出結果の表示と管理の詳細については、このページの後半をご覧ください。

サポートされている GKE バージョンの使用

コンテナに対する潜在的な脅威を検出するには、クラスタがサポートされているバージョンの Google Kubernetes Engine(GKE)に存在していることを確認する必要があります。Container Threat Detection は現在、Regular および Rapid チャンネルの以下の GKE バージョンをサポートしています。

  • 1.15.9-gke.12 以上
  • 1.16.5-gke.2 以上
  • 1.17 以上

今後のアップデートで、Container Threat Detection はバージョン 1.14 と Stable チャンネルをサポートする予定です。

サポートされている GKE バージョンを使用して、コンテナに対する脅威を検出するには:

  1. ガイドに従って、クラスタをアップグレードします。
  2. クラスタで Container Threat Detection が有効になっていることを確認します。
    1. Cloud Console で Security Command Center の [リソース] ページに移動します。
      [ソースとサービス] ページに移動
    2. アップグレードした各クラスタの横にある [Container Threat Detection] 列で [オン] を選択します。

詳しくは、Security Command Center リソースの構成をご覧ください。

検出結果の確認

Container Threat Detection で検出結果が生成されると、Security Command Center で確認できます。また、Google Cloud のオペレーション スイートに書き込むように Security Command Center シンクを構成している場合は、Cloud Logging でも確認できます。検出結果を生成して構成を検証するには、意図的に検出器をトリガーして、Container Threat Detection をテストします。

Container Threat Detection には、次のレイテンシがあります。

  • 新しくオンボーディングされた組織でのアクティベーション レイテンシ(1 時間)。
  • 新しく作成されたクラスタでのアクティベーション レイテンシ(1 時間)。
  • アクティブ化されたクラスタで脅威を検出するためのレイテンシ(数分)。

Security Command Center で検出結果を確認する

Security Command Center で Container Threat Detection の検出結果を確認するには:

  1. Google Cloud Console で Security Command Center の [検出] タブに移動します。
    [検出] タブに移動
  2. [表示] の横にある [ソースの種類] をクリックします。
  3. [ソースの種類] リストで、[Container Threat Detection] を選択します。
  4. 特定の検出結果の詳細を表示するには、[category] の下の検出結果名をクリックします。検出結果の詳細パネルが展開され、次の情報が表示されます。
    • 検出結果の種類(例: 追加されたバイナリの実行)
    • ソース: 「Container Threat Detection」
    • イベントの日時: 検出が発生した日時
    • 検出結果 ID: 検出結果の一意の ID
    • リソース名: 影響を受ける GKE クラスタ
    • 次のような情報を含む検出結果のプロパティ:
      • コンテナ名
      • コンテナの作成日時
      • コンテナ イメージの URI と ID
      • 検出項目に基づく追加のフィールド。たとえば、リバースシェルの検出には、リモートホストの IP アドレスが含まれます。

Cloud Logging で検出結果を表示する

Cloud Logging で Container Threat Detection の検出結果を表示するには:

  1. Cloud Console で Cloud Logging の [ログビューア] ページに移動します。
    ログビューア ページに移動
  2. [ログビューア] ページで [選択] をクリックし、Container Threat Detection ログを保存するプロジェクトをクリックします。
  3. リソースのプルダウン リストで、[Cloud Threat Detector] を選択します。
    • すべての検出項目から検出結果を表示するには、[all detector_name] を選択します。
    • 特定の検出器からの検出結果を表示するには、その名前を選択します。

検出結果の例

Container Threat Detection の検出項目を読んで、検出結果の例を確認してください。

次のステップ