Présentation de Container Threat Detection

Cette page offre une présentation générale des concepts et fonctionnalités de Container Threat Detection.

Qu'est-ce que Container Threat Detection ?

Container Threat Detection est un service intégré à Security Command Center qui surveille en permanence l'état des images de nœuds Container-Optimized OS. Le service évalue presque en temps réel toutes les modifications et toutes les tentatives d'accès à distance pour détecter les attaques visant l'environnement d'exécution.

Container Threat Detection détecte les attaques les plus courantes visant l'environnement d'exécution des conteneurs, et vous alerte dans Security Command Center et, éventuellement, dans Cloud Logging. Container Threat Detection intègre plusieurs fonctionnalités de détection, comme les binaires suspects et et utilise le traitement du langage naturel (TLN) pour détecter les fichiers Bash malveillants et le code Python.

Container Threat Detection n'est disponible qu'avec le niveau Premium ou Enterprise. de Security Command Center.

Fonctionnement de Container Threat Detection

L'instrumentation de détection Container Threat Detection collecte le comportement de bas niveau dans le noyau invité et les scripts exécutés. Voici le chemin d'exécution lorsque des événements sont détectés :

  1. Container Threat Detection transmet les informations sur l'événement et les informations qui identifient le conteneur via un DaemonSet en mode utilisateur à un service de détecteur pour analyse. La collecte des événements est configurée automatiquement Container Threat Detection est activé.

    Le DaemonSet de l'observateur transmet les informations du conteneur au mieux. Les informations sur le conteneur peuvent être supprimées du résultat signalé si Kubernetes et l'environnement d'exécution du conteneur ne parviennent pas à fournir les informations sur le conteneur correspondant à temps.

  2. Le service de détecteur analyse les événements pour déterminer si un événement indique un incident. Bash et Python sont analysés avec le TLN afin de déterminer si le code exécuté est malveillant.

  3. Si le service de détecteur identifie un incident, celui-ci est écrit en tant que résultat dans Security Command Center et, éventuellement, dans Cloud Logging.

    • Si le service de détecteur n'identifie pas d'incident, les informations de résultats ne sont pas stockées.
    • Toutes les données du noyau et du service de détecteur sont éphémères et aucune d'entre elles n'est stockée de manière permanente.

Vous pouvez consulter les détails de résultats dans la console Security Command Center et examiner les informations de résultats. Votre capacité à afficher et modifier les résultats est déterminée par les rôles qui vous sont attribués. Pour en savoir plus sur les rôles Security Command Center, consultez Contrôle des accès :

Détecteurs de Container Threat Detection

Container Threat Detection inclut les détecteurs suivants :

Détecteur Description Entrées de détection
Fichier binaire ajouté exécuté

Un fichier binaire ne faisant pas partie de l'image de conteneur d'origine a été exécuté.

Si un fichier binaire ajouté est exécuté par un pirate informatique, il est possible qu'un pirate informatique ait le contrôle de la charge de travail et qu'il exécute des commandes arbitraires.

 Le détecteur recherche un fichier binaire en cours d'exécution qui ne fait pas partie de l'image de conteneur d'origine ou qui a été modifié à partir de l'image de conteneur d'origine.
Bibliothèque ajoutée chargée

Une bibliothèque ne faisant pas partie de l'image de conteneur d'origine a été chargée.

Si une bibliothèque ajoutée est chargée, il est possible qu'un pirate informatique ait le contrôle de la charge de travail et qu'il exécute du code arbitraire.

 Le détecteur recherche une bibliothèque en cours de chargement ne faisant pas partie de l'image de conteneur d'origine, ou qui a été modifiée à partir de l'image de conteneur d'origine.
Exécution: exécution du binaire malveillant ajouté

Un binaire répondant aux conditions suivantes a été exécuté:

  • Identifié comme malveillant d'après les renseignements sur les menaces
  • Ne fait pas partie de l'image de conteneur d'origine

Si un fichier binaire malveillant ajouté est exécuté, il est fort probable qu'un pirate informatique ait le contrôle de la charge de travail et qu'il exécute un logiciel malveillant.

Le détecteur recherche un fichier binaire en cours d'exécution qui ne fait pas partie de l'image de conteneur d'origine et qui a été identifié comme malveillant sur la base d'informations sur les menaces.
Exécution: ajout d'une bibliothèque malveillante chargée

Une bibliothèque répondant aux conditions suivantes a été chargée:

  • Identifiés comme malveillants sur la base des renseignements sur les menaces
  • Ne fait pas partie de l'image de conteneur d'origine

Si une bibliothèque malveillante ajoutée est chargée, il est fort probable qu'un pirate informatique ait le contrôle de la charge de travail et qu'il exécute un logiciel malveillant.

Le détecteur recherche une bibliothèque en cours de chargement qui ne faisait pas partie du de l'image du conteneur d'origine. Il a été identifié comme malveillant sur la base de la menace et l'intelligence artificielle.
Exécution: binaire malveillant intégré

Un binaire répondant aux conditions suivantes a été exécuté :

  • Identifié comme malveillant d'après les renseignements sur les menaces
  • Inclus dans l'image de conteneur d'origine

Si un binaire malveillant intégré est exécuté, cela indique que l’attaquant déploie des conteneurs malveillants. Ils ont peut-être pris le contrôle un dépôt d'images légitimes ou un pipeline de compilation de conteneurs binaire malveillant dans l'image de conteneur.

Le détecteur recherche un fichier binaire en cours d'exécution qui était inclus dans l'image de conteneur d'origine et qui a été identifié comme malveillant sur la base d'informations sur les menaces.
Exécution : code Python malveillant exécutéAperçu Un modèle de machine learning a identifié le code Python spécifié comme étant malveillants. Les pirates informatiques peuvent utiliser Python pour transférer des outils ou d'autres des fichiers d’un système externe dans un environnement compromis et exécuter des commandes sans binaires. Le détecteur utilise des techniques de TLN pour évaluer du code Python exécuté. Comme cette approche n'est pas basée sur signatures, les détecteurs peuvent identifier des Pythons connus et nouveaux.
Exécution: exécution d'un binaire malveillant modifié

Un binaire répondant aux conditions suivantes a été exécuté:

  • Identifié comme malveillant d'après les renseignements sur les menaces
  • Inclus dans l'image de conteneur d'origine
  • Modifiée à partir de l'image de conteneur d'origine pendant l'exécution

Si un binaire malveillant modifié est exécuté, c’est le signe qu’un attaquant a le contrôle de la charge de travail et exécute des logiciels malveillants.

Le détecteur recherche un fichier binaire en cours d'exécution qui était initialement inclus dans l'image du conteneur, mais qui a été modifié au moment de l'exécution et identifié comme malveillant d'après les informations sur les menaces.
Exécution: bibliothèque malveillante modifiée chargée

Une bibliothèque qui remplit les conditions suivantes a été chargée :

  • Identifiés comme malveillants sur la base des renseignements sur les menaces
  • Inclus dans l'image de conteneur d'origine
  • Modifiée à partir de l'image de conteneur d'origine pendant l'exécution

    • Si une bibliothèque malveillante modifiée est chargée, c’est le signe qu’un attaquant a le contrôle de la charge de travail et exécute des logiciels malveillants.

    		Le détecteur recherche une bibliothèque en cours de chargement qui avait été incluse à l'origine. dans l'image du conteneur, mais modifié pendant l'exécution, et a été identifié comme et malveillants basés sur la Threat Intelligence.
    Script malveillant exécuté Un modèle de machine learning a identifié le code Bash spécifié comme étant malveillants. Les pirates informatiques peuvent utiliser Bash pour transférer des outils ou d’autres des fichiers d’un système externe dans un environnement compromis et exécuter des commandes sans binaires. Le détecteur utilise des techniques de TLN pour évaluer contenu du code Bash exécuté. Comme cette approche n'est pas basée sur signatures, les détecteurs peuvent identifier les bash malveillants connus et nouveaux.
    URL malveillante observée Container Threat Detection a observé une URL malveillante dans la liste d'arguments. d'un processus en cours d'exécution. Le détecteur vérifie les URL observées dans la liste d'arguments de des processus sur les listes de ressources Web non sécurisées sont gérés par Google Navigation sécurisée Google Cloud. Si une URL est classée à tort comme hameçonnage ou logiciel malveillant, le signaler à Rapports Données incorrectes :
    Interface système inversée

    Un processus a commencé par une redirection de flux vers un socket connecté distant.

    Grâce à l'interface système inversée, un pirate informatique peut communiquer à partir d'une charge de travail compromise vers une machine contrôlée par un pirate informatique. Le pirate informatique peut ensuite commander et contrôler la charge de travail, par exemple dans le cadre d'un botnet.

    		Le détecteur recherche stdin lié à un socket distant.
    Shell enfant inattendu

    Un processus qui n'appelle normalement pas de shells a généré un processus shell.

    Le détecteur surveille toutes les exécutions de processus. Lorsqu'une interface système est appelée, le détecteur génère un résultat si le processus parent n'appelle généralement pas de shells.

    Étape suivante