使用 Container Threat Detection

>

在 Security Command Center 信息中心中查看 Container Threat Detection 的结果,并查看 Container Threat Detection 发现结果的示例。Container Threat Detection 是 Security Command Center 付费级的内置服务。要查看 Container Threat Detection 的发现结果,您必须在 Security Command Center 来源和服务 设置中启用该功能。

以下视频介绍了设置 Container Threat Detection 的步骤,并提供了有关如何使用信息中心的信息。请参阅此页面后面的文本,详细了解如何查看和管理 Container Threat Detection 结果。

使用受支持的 GKE 版本

如需检测容器的潜在威胁,您需要确保集群位于受支持的 Google Kubernetes Engine (GKE) 版本上。Container Threat Detection 目前支持常规和快速 频道 上的以下 GKE 版本:

  • >= 1.15.9-gke.12
  • >= 1.16.5-gke.2
  • >= 1.17

在未来的更新版本中,Container Threat Detection 将支持 1.14 版和稳定版。

要使用受支持的 GKE 版本并检测容器的威胁,请执行以下操作:

  1. 按照指南 升级集群
  2. 确保为集群启用了 Container Threat Detection:
    1. 转到 Cloud Console 中的 Security Command Center 资源 页面。
      转到“来源和服务”页面
    2. Container Threat Detection 列下,选择您升级的每个集群旁边,选择开启

如需了解详情,请参阅 配置 Security Command Center

审核发现结果

当 Container Threat Detection 生成发现结果时,您可以在 Security Command Center 中查看这些发现结果,或者在 Cloud Logging 中 配置 Security Command Center 接收器 将日志写入 Google Cloud 的运维套件。要生成发现和验证您的配置,您可以有意触发检测器和 测试 Container Threat Detection

Container Threat Detection 具有以下延迟时间:

  • 新初始配置的组织的启用延迟一小时。
  • 新创建的集群的激活延迟时间(一小时)。
  • 已启用的集群中的威胁检测延迟时间分钟数。

在 Security Command Center 中审核发现结果

要在 Security Command Center 中查看 Container Threat Detection 发现结果,请执行以下操作:

  1. 转到 Google Cloud Console 中的 Security Command Center 发现结果标签页。
    转到“发现结果”标签页
  2. 查看方式旁边,点击来源类型
  3. 来源类型列表中,选择Container Threat Detection
  4. 如需查看特定发现结果的详细信息,请点击 category 下的发现结果名称。“发现结果详情”面板展开即可显示以下信息:
    • 发现结果类型,例如“添加了二进制操作”
    • 来源:“Container Threat Detection”
    • 事件时间:发现结果的时间
    • 发现结果 ID:发现结果的唯一标识符
    • 资源名称:受影响的 GKE 集群
    • 带有更多信息的发现结果属性:
      • 容器名称
      • 容器创建时间
      • 容器映像 URI 和 ID
      • 基于检测器的其他字段。例如,逆向 shell 发现结果包括远程主机的 IP 地址。

在 Cloud Logging 中查看发现结果

如需在 Cloud Logging 中查看 Container Threat Detection 发现结果,请执行以下操作:

  1. 转到 Cloud Console 中的 Cloud Logging 的“日志查看器”页面。
    转到“日志查看器”页面
  2. 日志查看器 页面上,点击 选择,然后点击您存储 Container Threat Detection 日志的项目。
  3. 在资源下拉列表中,选择 Cloud Threat Detector
    • 要查看所有检测器的发现结果,请选择 all detector_name
    • 要查看特定检测器的发现结果,请选择其名称。

示例发现结果

请参阅 Container Threat Detection 检测器以查看示例发现结果。

后续步骤