Diese Seite bietet eine allgemeine Übersicht über die Konzepte und Features von Container Threat Detection.
Was ist Container Threat Detection?
Container Threat Detection ist ein integrierter Dienst von Security Command Center, der kontinuierlich den Zustand von Container-Optimized OS-Knoten-Images überwacht. Der Dienst wertet alle Änderungen und Remote-Zugriffsversuche aus, um Laufzeitangriffe nahezu in Echtzeit zu erkennen.
Container Threat Detection erkennt die gängigsten Containerlaufzeit-Angriffe und benachrichtigt Sie in Security Command Center und optional in Cloud Logging. Container Threat Detection umfasst mehrere Erkennungsfunktionen, einschließlich verdächtiger Binärdateien und Bibliotheken, und erkennt schädlichen Bash- und Python-Code mithilfe von Natural Language Processing (NLP).
Container Threat Detection ist nur mit der Premium- oder Enterprise-Stufe von Security Command Center verfügbar.
Funktionsweise von Container Threat Detection
Die Container Threat Detection-Erkennung erfasst Low-Level-Verhalten im Gast-Kernel und in ausgeführten Skripts. Wenn Ereignisse erkannt werden, sieht der Ausführungspfad so aus:
Container Threat Detection übergibt Ereignisinformationen und Informationen, die den Container identifizieren, über ein DaemonSet im Nutzermodus an einen Detektordienst zur Analyse. Die Ereigniserhebung wird automatisch konfiguriert, wenn Container Threat Detection aktiviert ist.
Das Watcher-DaemonSet gibt Containerinformationen nach dem Best-Effort-Prinzip weiter. Containerinformationen können aus der gemeldeten Feststellung entfernt werden, wenn Kubernetes und die Containerlaufzeit die entsprechenden Containerinformationen nicht rechtzeitig liefern.
Der Erkennungsdienst analysiert Ereignisse, um festzustellen, ob ein Ereignis auf einen Vorfall hindeutet. Die Bash- und Python-Scripts werden mithilfe von NLP analysiert, um festzustellen, ob der ausgeführte Code schädlich ist.
Wenn der Detektordienst einen Vorfall identifiziert, wird der Vorfall als Ergebnis in Security Command Center und optional in Cloud Logging geschrieben.
- Wenn der Detektordienst keinen Vorfall identifiziert, werden die Informationen nicht gespeichert.
- Alle Daten im Kernel und im Detektordienst sind sitzungsspezifisch und werden nicht dauerhaft gespeichert.
Sie können sich die Details der Ergebnisse in der Security Command Center-Console ansehen und die Ergebnisinformationen untersuchen. Ob Sie Ergebnisse aufrufen und bearbeiten können, hängt von den Rollen ab, die Ihnen zugewiesen wurden. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
Hinweise
Andere Sicherheitserkennungstools, die in Ihrem Cluster installiert sind, können die Leistung von Container Threat Detection beeinträchtigen und zu Fehlfunktionen führen. Wir empfehlen, keine anderen Sicherheitserkennungstools in Ihrem Cluster zu installieren, wenn der Cluster bereits durch die Container-Bedrohungserkennung geschützt ist.
Container Threat Detection-Detektoren
Container Threat Detection umfasst die folgenden Detektoren:
| Detektor | Beschreibung | Eingaben für die Erkennung |
|---|---|---|
| Ausgeführte Binärdatei hinzugeführt | Eine Binärdatei, die nicht Teil des ursprünglichen Container-Images war, wurde ausgeführt. Wenn eine hinzugefügte Binärdatei von einem Angreifer ausgeführt wird, ist dies möglicherweise ein Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und beliebige Befehle ausführt. Dieser Detektor ist standardmäßig deaktiviert. Eine Anleitung zum Aktivieren finden Sie unter Container Threat Detection testen. | Der Detektor sucht nach einer Binärdatei, die nicht Teil des ursprünglichen Container-Images war oder vom ursprünglichen Container-Image geändert wurde. |
| Hinzugefügte Mediathek geladen | Eine Bibliothek, die nicht Teil des ursprünglichen Container-Image war, wurde geladen. Wenn eine hinzugefügte Bibliothek geladen wird, ist der Angreifer möglicherweise in der Lage, die Arbeitslast zu steuern und beliebigen Code auszuführen. Dieser Detektor ist standardmäßig deaktiviert. Eine Anleitung zum Aktivieren finden Sie unter Container Threat Detection testen. | Der Detektor sucht nach einer geladenen Bibliothek, die nicht Teil des ursprünglichen Container-Image war oder gegenüber dem ursprünglichen Container-Image geändert wurde. |
| Zugriff auf Anmeldedaten: Nach privaten Schlüsseln oder Passwörtern suchen | Es wurde ein Befehl ausgeführt, um in der Containerumgebung nach privaten Schlüsseln, Passwörtern oder anderen vertraulichen Anmeldedaten zu suchen. Dies weist auf einen potenziellen Versuch hin, Authentifizierungsdaten abzufangen. Angreifer suchen häufig nach Anmeldedatendateien, um unbefugten Zugriff auf Systeme zu erhalten, Berechtigungen zu eskalieren oder sich lateral innerhalb der Umgebung zu bewegen. Das Erkennen solcher Aktivitäten ist entscheidend, um Sicherheitsverstöße zu verhindern. | Dieser Detector überwacht bekannte Befehle, mit denen private Schlüssel, Passwörter oder Anmeldedatendateien gefunden werden. Das Vorhandensein solcher Suchanfragen in einer containerisierten Umgebung kann auf Erkundungsversuche oder eine aktive Manipulation hinweisen. |
| Ausführung: Ausgeführte schädliche Binärdatei hinzugefügt | Eine Binärdatei, die die folgenden Bedingungen erfüllt, wurde ausgeführt:
Wenn eine hinzugefügte schädliche Binärdatei ausgeführt wird, ist dies ein starkes Indiz dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. | Der Detektor sucht nach einer Binärdatei, die nicht Teil des ursprünglichen Container-Images war und aufgrund von Bedrohungsinformationen als schädlich eingestuft wurde. |
| Ausführung: Hinzugefügte schädliche Mediathek geladen | Es wurde eine Bibliothek geladen, die die folgenden Bedingungen erfüllt:
Wenn eine hinzugefügte schädliche Bibliothek geladen wird, ist dies ein starkes Indiz dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. | Der Detektor sucht nach einer geladenen Bibliothek, die nicht Teil des ursprünglichen Container-Images war und aufgrund von Bedrohungsinformationen als schädlich eingestuft wurde. |
| Ausführung: Eingebaute schädliche Binärdatei ausgeführt | Eine Binärdatei, die die folgenden Bedingungen erfüllt, wurde ausgeführt:
Wenn eine eingebettete schädliche Binärdatei ausgeführt wird, ist dies ein Zeichen dafür, dass der Angreifer schädliche Container bereitstellt. Möglicherweise haben sie die Kontrolle über ein legitimes Image-Repository oder eine Container-Build-Pipeline übernommen und eine schädliche Binärdatei in das Container-Image eingeschleust. | Der Detektor sucht nach einer Binärdatei, die im ursprünglichen Container-Image enthalten war und auf Grundlage von Bedrohungsinformationen als schädlich eingestuft wurde. |
| Ausführung: Container-Escape | Innerhalb des Containers wurde ein Prozess ausgeführt, der versuchte, die Isolation des Containers zu durchbrechen und dem Angreifer möglicherweise Zugriff auf das Hostsystem zu gewähren. Wenn ein Container-Escape-Versuch erkannt wird, kann dies darauf hindeuten, dass ein Angreifer Sicherheitslücken ausnutzt, um aus dem Container auszubrechen. Dadurch kann der Angreifer unbefugten Zugriff auf das Hostsystem oder die gesamte Infrastruktur erhalten und so die gesamte Umgebung schädigen. | Der Detector überwacht Prozesse, die versuchen, Containergrenzen mit bekannten Escape-Techniken oder Binärprogrammen auszunutzen. Diese Prozesse werden von der Threat Intelligence als potenzielle Angriffe auf das zugrunde liegende Hostsystem gekennzeichnet. |
| Ausführung: Ausführung des Kubernetes-Angriffstools | In der Umgebung wurde ein Kubernetes-spezifisches Angriffstool ausgeführt. Dies könnte darauf hindeuten, dass ein Angreifer Kubernetes-Clusterkomponenten anvisiert. Wenn ein Angriffstool in der Kubernetes-Umgebung ausgeführt wird, könnte das darauf hindeuten, dass ein Angreifer Zugriff auf den Cluster erhalten hat und das Tool verwendet, um Kubernetes-spezifische Sicherheitslücken oder Konfigurationen auszunutzen. | Der Detector sucht nach Kubernetes-Angriffstools, die ausgeführt werden und anhand von Intelligence-Daten als potenzielle Bedrohungen eingestuft werden. Der Detector löst Benachrichtigungen aus, um potenzielle Manipulationen im Cluster zu beheben. |
| Ausführung: Ausführung des lokalen Reconnaissance-Tools | Ein lokales Aufklärungstool, das normalerweise nicht mit dem Container oder der Umgebung verknüpft ist, wurde ausgeführt. Dies deutet auf einen Versuch hin, interne Systeminformationen zu erfassen. Wenn ein Aufklärungstool ausgeführt wird, kann das darauf hindeuten, dass der Angreifer versucht, die Infrastruktur zu kartieren, Sicherheitslücken zu identifizieren oder Daten zu Systemkonfigurationen zu erfassen, um seine nächsten Schritte zu planen. | Der Detector überwacht bekannte Aufklärungstools, die in der Umgebung ausgeführt werden und über Threat Intelligence identifiziert wurden. Dies könnte auf die Vorbereitung weiterer schädlicher Aktivitäten hinweisen. |
| Ausführung: Ausgeführter schädlicher Python-Code (Vorabversion) | Ein ML-Modell (maschinelles Lernen) hat den angegebenen Python-Code als schädlich identifiziert. Angreifer können Python verwenden, um Tools oder andere Dateien von einem externen System in eine manipulierte Umgebung zu übertragen und Befehle ohne Binärdateien auszuführen. | Der Detektor verwendet NLP-Techniken, um den Inhalt des ausgeführten Python-Codes zu bewerten. Da dieser Ansatz nicht auf Signaturen basiert, können Detektoren bekannte und neue Python-Malware erkennen. |
| Ausführung: Modifizierte schädliche Binärdatei ausgeführt | Eine Binärdatei, die die folgenden Bedingungen erfüllt, wurde ausgeführt:
Wenn eine modifizierte schädliche Binärdatei ausgeführt wird, ist dies ein starkes Indiz dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. | Der Detektor sucht nach einer ausführbaren Binärdatei, die ursprünglich im Container-Image enthalten war, aber während der Laufzeit geändert wurde und auf Grundlage von Bedrohungsinformationen als schädlich eingestuft wurde. |
| Ausführung: Modifizierte schädliche Bibliothek geladen | Es wurde eine Bibliothek geladen, die die folgenden Bedingungen erfüllt:
Wenn eine modifizierte schädliche Bibliothek geladen wird, ist dies ein starkes Indiz dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. | Der Detektor sucht nach einer geladenen Bibliothek, die ursprünglich im Container-Image enthalten war, aber während der Laufzeit geändert wurde und aufgrund von Bedrohungsinformationen als schädlich eingestuft wurde. |
| Ausführung: Netcat-Codeausführung per Fernzugriff in Containern | Netcat, ein vielseitiges Netzwerkdienstprogramm, wurde in der Containerumgebung ausgeführt. Dies könnte auf einen Versuch hindeuten, unbefugten Remotezugriff herzustellen oder Daten zu exfiltrieren. Die Verwendung von Netcat in einer containerisierten Umgebung kann ein Hinweis auf den Versuch eines Angreifers sein, eine Reverse-Shell zu erstellen, laterale Bewegungen zu ermöglichen oder beliebige Befehle auszuführen, die die Systemintegrität gefährden könnten. | Der Detector überwacht die Ausführung von Netcat im Container, da seine Verwendung in Produktionsumgebungen ungewöhnlich ist und auf einen Versuch hinweisen kann, Sicherheitskontrollen zu umgehen oder Remote-Befehle auszuführen. |
| Ausführung: Programm mit nicht zulässiger HTTP-Proxy-Umgebung ausgeführt | Ein Programm wurde mit einer nicht zulässigen HTTP-Proxy-Umgebungsvariablen ausgeführt. Dies kann auf einen Versuch hindeuten, Sicherheitskontrollen zu umgehen, Traffic zu schädlichen Zwecken umzuleiten oder Daten über nicht autorisierte Kanäle zu exfiltrieren. Angreifer können nicht zulässige HTTP-Proxys konfigurieren, um vertrauliche Informationen abzufangen, Traffic über schädliche Server zu leiten oder verdeckte Kommunikationskanäle zu erstellen. Die Ausführung von Programmen mit diesen Umgebungsvariablen zu erkennen, ist entscheidend für die Aufrechterhaltung der Netzwerksicherheit und die Verhinderung von Datenpannen. | Dieser Detektor überwacht die Ausführung von Programmen mit HTTP-Proxy-Umgebungsvariablen, die ausdrücklich nicht zulässig sind. Die Verwendung dieser Proxys, insbesondere wenn sie unerwartet ist, kann auf schädliche Aktivitäten hinweisen und erfordert eine sofortige Untersuchung. |
| Datenexfiltration: Tools zum Remote-Dateikopieren in Containern starten | Im Container wurde die Ausführung eines Tools zum Kopieren von Remotedateien erkannt. Dies weist auf eine potenzielle Datenexfiltration, eine laterale Bewegung oder die Bereitstellung schädlicher Nutzlasten hin. Angreifer verwenden diese Tools häufig, um vertrauliche Daten außerhalb des Containers zu übertragen, sich lateral im Netzwerk zu bewegen, um andere Systeme zu manipulieren, oder Malware für weitere schädliche Aktivitäten einzuschleusen. Die Verwendung von Tools zum Remote-Dateikopieren zu erkennen, ist entscheidend, um Datenpannen, unbefugten Zugriff und weitere Manipulationen des Containers und möglicherweise des Hostsystems zu verhindern. | Dieser Detector überwacht die Ausführung bekannter Tools zum Kopieren von Remotedateien in der Containerumgebung. Ihre Anwesenheit, insbesondere wenn sie unerwartet ist, kann auf schädliche Aktivitäten hinweisen. |
| Auswirkung: Bulk-Daten vom Laufwerk entfernen | Es wurde ein Prozess erkannt, der Bulk-Datenlöschvorgänge ausführt. Dies kann auf einen Versuch hindeuten, Beweise zu vernichten, Dienste zu stören oder einen Datenlöschangriff in der Containerumgebung auszuführen. Angreifer können große Datenmengen entfernen, um ihre Spuren zu verwischen, Abläufe zu sabotieren oder die Bereitstellung von Ransomware vorzubereiten. Wenn Sie solche Aktivitäten erkennen, können Sie potenzielle Bedrohungen identifizieren, bevor es zu kritischen Datenverlusten kommt. | Der Detector überwacht Befehle und Prozesse, die mit dem Löschen großer Datenmengen oder anderen Tools zum Löschen von Daten in Verbindung stehen, um verdächtige Aktivitäten zu erkennen, die die Systemintegrität gefährden könnten. |
| Auswirkungen: Verdächtige Krypto-Mining-Aktivitäten mit dem Stratum-Protokoll | Es wurde ein Prozess erkannt, der über das Stratum-Protokoll kommuniziert, das häufig von Kryptowährung-Mining-Software verwendet wird. Diese Aktivität weist auf potenziell nicht autorisierte Mining-Vorgänge in der Containerumgebung hin. Angreifer nutzen häufig Krypto-Miner, um Systemressourcen zu finanziellen Zwecken zu nutzen. Dies führt zu Leistungseinbußen, höheren Betriebskosten und potenziellen Sicherheitsrisiken. Wenn Sie solche Aktivitäten erkennen, können Sie Ressourcenmissbrauch und unbefugte Zugriffe minimieren. | Dieser Detektor überwacht die bekannte Nutzung des Stratum-Protokolls in der Umgebung. Da legitime Containerlasten in der Regel nicht Stratum verwenden, kann dessen Vorhandensein auf nicht autorisierte Mining-Vorgänge oder einen manipulierten Container hinweisen. |
| Schädliches Script ausgeführt | Ein ML-Modell (maschinelles Lernen) hat den angegebenen Bash-Code als schädlich identifiziert. Angreifer können Bash verwenden, um Tools oder andere Dateien von einem externen System in eine manipulierte Umgebung zu übertragen und Befehle ohne Binärdateien auszuführen. | Der Detektor verwendet NLP-Techniken, um den Inhalt des ausgeführten Bash-Codes zu bewerten. Da dieser Ansatz nicht auf Signaturen basiert, können Detektoren bekannte und neue schädliche Bash-Scripts erkennen. |
| Schädliche URL beobachtet | Container Threat Detection hat eine schädliche URL in der Argumentliste eines laufenden Prozesses erkannt. | Der Detector prüft URLs, die in der Argumentliste laufender Prozesse gefunden werden, anhand der Listen unsicherer Webressourcen, die vom Google-Dienst Safe Browsing verwaltet werden. Wenn eine URL fälschlicherweise als Phishing oder Malware eingestuft wird, melden Sie sie unter Unvollständige Daten melden. |
| Reverse Shell | Ein Prozess, bei dem die Stream-Weiterleitung an einen Remote-Socket gestartet wurde. Mit einer Reverse-Shell kann ein Angreifer von einer manipulierten Arbeitslast aus mit einer vom Angreifer kontrollierten Maschine kommunizieren. Der Angreifer kann dann die Arbeitslast ausführen und steuern, z. B. als Teil eines Botnets. | Der Detektor sucht nach stdin, gebunden an einen Remote-Socket. |
| Unerwartete untergeordnete Shell | Ein Prozess, der normalerweise keine Shells aufruft, hat einen Shell-Prozess gestartet. | Der Detektor überwacht alle Prozessausführungen. Wenn eine Shell aufgerufen wird, generiert der Detektor ein Ergebnis, wenn der übergeordnete Prozess normalerweise keine Shells aufruft. |
Nächste Schritte
- Weitere Informationen zur Verwendung von Container Threat Detection
- Weitere Informationen zum Testen von Container Threat Detection
- Weitere Informationen zum Untersuchen und Entwickeln von Reaktionsplänen für Bedrohungen.
- Informationen zu Artefaktanalyse und Scannen auf Sicherheitslücken