Présentation de Container Threat Detection

Cette page offre une présentation générale des concepts et fonctionnalités de Container Threat Detection.

Qu'est-ce que Container Threat Detection ?

Container Threat Detection est un service intégré à Security Command Center qui surveille en permanence l'état des images de nœuds Container-Optimized OS. Le service évalue presque en temps réel toutes les modifications et toutes les tentatives d'accès à distance pour détecter les attaques visant l'environnement d'exécution.

Container Threat Detection détecte les attaques les plus courantes visant l'environnement d'exécution des conteneurs, et vous alerte dans Security Command Center et, éventuellement, dans Cloud Logging. Container Threat Detection intègre plusieurs fonctionnalités de détection, comme les binaires suspects et et utilise le traitement du langage naturel (TLN) pour détecter les fichiers Bash malveillants et le code Python.

Container Threat Detection n'est disponible qu'avec le niveau Premium ou Enterprise. de Security Command Center.

Fonctionnement de Container Threat Detection

L’instrumentation de détection des menaces de Container Threat Detection collecte un comportement de bas niveau dans noyau invité et scripts exécutés. Voici le chemin d'exécution lorsque des événements sont détectés :

  1. Container Threat Detection transmet les informations d'événement et les informations permettant via un DaemonSet en mode utilisateur vers un service de détection l'analyse. La collecte des événements est configurée automatiquement Container Threat Detection est activé.

    Le DaemonSet de l'observateur transmet les informations du conteneur au mieux. Les informations sur le conteneur peuvent être supprimées du résultat signalé si le Kubernetes et l'environnement d'exécution du conteneur ne parviennent pas à fournir les informations sur le conteneur à temps.

  2. Le service de détecteur analyse les événements pour déterminer si un événement indique un incident. Bash et Python sont analysés avec le TLN pour déterminer si le code exécuté est malveillant.

  3. Si le service de détecteur identifie un incident, celui-ci est écrit en tant que résultat dans Security Command Center et, éventuellement, dans Cloud Logging.

    • Si le service de détecteur n'identifie pas d'incident, les informations de résultats ne sont pas stockées.
    • Toutes les données du noyau et du service de détecteur sont éphémères et aucune d'entre elles n'est stockée de manière permanente.

Vous pouvez afficher les détails des résultats dans la console Security Command Center et examiner trouver des informations. Votre capacité à afficher et modifier les résultats est déterminée par les rôles qui vous sont attribués. Pour en savoir plus sur les rôles Security Command Center, consultez Contrôle des accès :

Détecteurs de Container Threat Detection

Container Threat Detection inclut les détecteurs suivants :

Détecteur Description Entrées de détection
Fichier binaire ajouté exécuté

Un fichier binaire ne faisant pas partie de l'image de conteneur d'origine a été exécuté.

Si un fichier binaire ajouté est exécuté par un pirate informatique, il est possible qu'un pirate informatique ait le contrôle de la charge de travail et qu'il exécute des commandes arbitraires.

 Le détecteur recherche un fichier binaire en cours d'exécution qui ne fait pas partie de l'image de conteneur d'origine ou qui a été modifié à partir de l'image de conteneur d'origine.
Bibliothèque ajoutée chargée

Une bibliothèque ne faisant pas partie de l'image de conteneur d'origine a été chargée.

Si une bibliothèque ajoutée est chargée, il est possible qu'un pirate informatique ait le contrôle de la charge de travail et qu'il exécute du code arbitraire.

 Le détecteur recherche une bibliothèque en cours de chargement ne faisant pas partie de l'image de conteneur d'origine, ou qui a été modifiée à partir de l'image de conteneur d'origine.
Exécution: exécution du binaire malveillant ajouté

Un binaire répondant aux conditions suivantes a été exécuté:

  • Identifiés comme malveillants sur la base des renseignements sur les menaces
  • Ne fait pas partie de l'image de conteneur d'origine

Si un binaire malveillant ajouté est exécuté, c’est le signe qu’un attaquant a le contrôle de la charge de travail et exécute des logiciels malveillants.

Le détecteur recherche un binaire en cours d'exécution qui ne faisait pas partie du de l'image du conteneur d'origine. Il a été identifié comme malveillant sur la base de la menace et l'intelligence artificielle.
Exécution: ajout d'une bibliothèque malveillante chargée

Une bibliothèque répondant aux conditions suivantes a été chargée:

  • Identifiés comme malveillants sur la base des renseignements sur les menaces
  • Ne fait pas partie de l'image de conteneur d'origine

Si une bibliothèque malveillante ajoutée est chargée, c’est le signe qu’un attaquant a le contrôle de la charge de travail et exécute des logiciels malveillants.

Le détecteur recherche une bibliothèque en cours de chargement qui ne faisait pas partie du de l'image du conteneur d'origine. Il a été identifié comme malveillant sur la base de la menace et l'intelligence artificielle.
Exécution: un binaire malveillant intégré est exécuté

Un binaire répondant aux conditions suivantes a été exécuté:

  • Identifiés comme malveillants sur la base des renseignements sur les menaces
  • Inclus dans l'image de conteneur d'origine

Si un binaire malveillant intégré est exécuté, cela indique que l’attaquant déploie des conteneurs malveillants. Ils ont peut-être pris le contrôle un dépôt d'images légitimes ou un pipeline de compilation de conteneurs binaire malveillant dans l'image de conteneur.

Le détecteur recherche un binaire en cours d'exécution inclus dans le fichier de l'image du conteneur d'origine. Il a été identifié comme malveillant sur la base de la menace et l'intelligence artificielle.
Exécution: Python malveillant exécutéPreview Un modèle de machine learning a identifié le code Python spécifié comme étant malveillants. Les pirates informatiques peuvent utiliser Python pour transférer des outils ou d'autres des fichiers d’un système externe dans un environnement compromis et exécuter des commandes sans fichiers binaires. Le détecteur utilise des techniques de TLN pour évaluer du code Python exécuté. Comme cette approche n'est pas basée sur signatures, les détecteurs peuvent identifier des Pythons connus et nouveaux.
Exécution: exécution d'un binaire malveillant modifié

Un binaire répondant aux conditions suivantes a été exécuté:

  • Identifiés comme malveillants sur la base des renseignements sur les menaces
  • Inclus dans l'image de conteneur d'origine
  • Modifiée à partir de l'image de conteneur d'origine pendant l'exécution

Si un binaire malveillant modifié est exécuté, c’est le signe qu’un attaquant a le contrôle de la charge de travail et exécute des logiciels malveillants.

Le détecteur recherche un binaire en cours d'exécution qui était initialement inclus dans l'image de conteneur, mais modifié pendant l'exécution, et a été identifié comme et malveillants basés sur la Threat Intelligence.
Exécution: bibliothèque malveillante modifiée chargée

Une bibliothèque répondant aux conditions suivantes a été chargée:

  • Identifiés comme malveillants sur la base des renseignements sur les menaces
  • Inclus dans l'image de conteneur d'origine
  • Modifiée à partir de l'image de conteneur d'origine pendant l'exécution

    • Si une bibliothèque malveillante modifiée est chargée, c’est le signe qu’un attaquant a le contrôle de la charge de travail et exécute des logiciels malveillants.

    		Le détecteur recherche une bibliothèque en cours de chargement qui avait été incluse à l'origine. dans l'image de conteneur, mais modifié pendant l'exécution, et a été identifié comme et malveillants basés sur la Threat Intelligence.
    Script malveillant exécuté Un modèle de machine learning a identifié le code Bash spécifié comme étant malveillants. Les pirates informatiques peuvent utiliser Bash pour transférer des outils ou d’autres des fichiers d’un système externe dans un environnement compromis et exécuter des commandes sans fichiers binaires. Le détecteur utilise des techniques de TLN pour évaluer contenu du code Bash exécuté. Comme cette approche n'est pas basée sur signatures, les détecteurs peuvent identifier les bash malveillants connus et nouveaux.
    URL malveillante observée Container Threat Detection a observé une URL malveillante dans la liste d'arguments. d'un processus en cours d'exécution. Le détecteur vérifie les URL observées dans la liste d'arguments de des processus sur les listes de ressources Web non sécurisées sont gérés par Google Navigation sécurisée Google Cloud. Si une URL est classée à tort comme hameçonnage ou logiciel malveillant, le signaler à Rapports Données incorrectes :
    Interface système inversée

    Un processus a commencé par une redirection de flux vers un socket connecté distant.

    Grâce à l'interface système inversée, un pirate informatique peut communiquer à partir d'une charge de travail compromise vers une machine contrôlée par un pirate informatique. L’attaquant peut alors commande et contrôle la charge de travail, par exemple dans le cadre d'un botnet.

    		Le détecteur recherche stdin lié à un socket distant.
    Shell enfant inattendu

    Un processus qui n'appelle normalement pas de shells a généré un processus shell.

    Le détecteur surveille toutes les exécutions de processus. Lorsqu'une interface système est appelée, le détecteur génère un résultat si le processus parent n'appelle généralement pas de shells.

    Étape suivante