Cloud Run Threat Detection adalah layanan bawaan Security Command Center yang terus-menerus memantau status resource Cloud Run yang didukung untuk mendeteksi serangan runtime yang paling umum. Jika mendeteksi serangan, Cloud Run Threat Detection akan menghasilkan temuan di Security Command Center secara hampir real-time.
Detektor runtime Deteksi Ancaman Cloud Run memantau resource Cloud Run untuk menemukan biner dan library yang mencurigakan, serta menggunakan pemrosesan bahasa alami (NLP) untuk mendeteksi kode Bash dan Python berbahaya.
Selain itu, pendeteksi plane kontrol tersedia melalui Event Threat Detection. Detektor ini memantau aliran Cloud Logging organisasi atau project Anda untuk mendeteksi potensi serangan ke platform kontrol resource Cloud Run Anda.
Resource yang didukung
Cloud Run Threat Detection memantau resource berikut:
Lingkungan eksekusi yang didukung
Lingkungan eksekusi yang didukung berbeda untuk detektor runtime dan detektor platform kontrol.
Lingkungan eksekusi yang didukung untuk pendeteksi runtime
Detektor runtime Cloud Run Threat Detection hanya mendukung resource Cloud Run yang berjalan di lingkungan eksekusi generasi kedua. Pertimbangkan hal berikut sebelum mengaktifkan Cloud Run Threat Detection:
Saat mengaktifkan Cloud Run Threat Detection, Anda tidak dapat membuat layanan Cloud Run atau revisi layanan yang berjalan di lingkungan eksekusi generasi pertama. Layanan Cloud Run harus menggunakan lingkungan eksekusi generasi kedua. Sebaiknya uji beban kerja Anda di lingkungan eksekusi generasi kedua sebelum mengaktifkan Cloud Run Threat Detection.
Untuk mengaktifkan deteksi ancaman runtime untuk layanan, deploy revisi yang menetapkan lingkungan eksekusi layanan ke lingkungan eksekusi generasi kedua atau default.
Lingkungan eksekusi yang didukung untuk pendeteksi bidang kontrol
Detektor bidang kontrol mendukung lingkungan eksekusi generasi pertama dan kedua.
Cara kerja deteksi ancaman runtime Cloud Run Threat Detection
Saat Anda mengaktifkan Cloud Run Threat Detection, fitur ini akan mengumpulkan telemetri dari resource Cloud Run yang didukung untuk menganalisis proses, skrip, dan library yang mungkin menunjukkan serangan runtime. Berikut adalah jalur eksekusi saat peristiwa terdeteksi:
- Cloud Run Threat Detection menggunakan proses watcher untuk mengumpulkan informasi penampung dan peristiwa selama durasi lengkap beban kerja Cloud Run. Diperlukan waktu hingga 20 detik untuk memulai proses pengamat.
Cloud Run Threat Detection menganalisis informasi peristiwa yang dikumpulkan untuk menentukan apakah peristiwa tersebut menunjukkan adanya insiden. Alat ini menggunakan NLP untuk menganalisis skrip Bash dan Python untuk menemukan kode berbahaya.
Jika mengidentifikasi insiden, Cloud Run Threat Detection akan melaporkan insiden tersebut sebagai temuan di Security Command Center.
Jika Pendeteksian Ancaman Cloud Run tidak mengidentifikasi insiden, tidak ada informasi yang disimpan.
Semua data yang dikumpulkan bersifat sementara dan tidak disimpan secara permanen.
Untuk mengetahui informasi tentang cara meninjau temuan Cloud Run Threat Detection di konsol Google Cloud, lihat Meninjau temuan.
Masalah umum
- Instance layanan atau tugas Cloud Run Anda yang aktif lebih lama dari tujuh hari akan berhenti mengirim informasi telemetri.
- Jika proses watcher berhenti sebelum waktunya di instance layanan atau tugas Cloud Run yang sedang berjalan, proses watcher tidak akan dimulai ulang. Instance berhenti mengirim informasi telemetri ke Cloud Run Threat Detection. Log Cloud Run Threat Detection tidak ada di log instance. Tidak ada indikator bahwa proses pengamat telah berhenti.
Pendeteksi
Bagian ini mencantumkan detektor runtime dan bidang kontrol yang tersedia. Kami secara rutin menambahkan detektor baru seiring munculnya ancaman cloud baru.
Pendeteksi runtime
Cloud Run Threat Detection mencakup pendeteksi runtime berikut:
| Nama tampilan | Nama API | Deskripsi |
|---|---|---|
| Eksekusi: Program Biner Berbahaya yang Ditambahkan Dieksekusi | CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED |
Biner yang memenuhi kondisi berikut telah dieksekusi:
Jika biner berbahaya yang ditambahkan dieksekusi, ini adalah tanda kuat bahwa penyerang memiliki kontrol atas beban kerja dan mereka mengeksekusi software berbahaya. |
| Eksekusi: Menambahkan Library Berbahaya yang Dimuat | CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED |
Library yang memenuhi kondisi berikut telah dimuat:
Jika library berbahaya yang ditambahkan dimuat, ini adalah tanda kuat bahwa penyerang memiliki kontrol atas workload dan mereka menjalankan software berbahaya. |
| Eksekusi: Biner Berbahaya Bawaan Dijalankan | CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Biner yang memenuhi kondisi berikut telah dieksekusi:
Jika biner berbahaya bawaan dieksekusi, ini adalah tanda bahwa penyerang men-deploy penampung berbahaya. Mereka mungkin telah mendapatkan kontrol atas repositori image atau pipeline build container yang sah dan memasukkan biner berbahaya ke dalam image container. |
| Eksekusi: Container Escape | CLOUD_RUN_CONTAINER_ESCAPE |
Proses dieksekusi dalam penampung yang mencoba keluar dari isolasi penampung, menggunakan teknik escape atau biner yang diketahui. Jenis serangan ini dapat memberi penyerang akses ke sistem host. Proses ini diidentifikasi sebagai potensi ancaman berdasarkan data intelijen. Jika upaya container escape terdeteksi, hal ini mungkin menunjukkan bahwa penyerang mengeksploitasi kerentanan untuk keluar dari penampung. Akibatnya, penyerang mungkin mendapatkan akses tanpa izin ke sistem host atau infrastruktur yang lebih luas, sehingga membahayakan seluruh lingkungan. |
| Eksekusi: Eksekusi Alat Serangan Kubernetes | CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION |
Alat serangan khusus Kubernetes dijalankan dalam lingkungan, yang dapat menunjukkan bahwa penyerang menargetkan komponen cluster Kubernetes. Alat serangan ini diidentifikasi sebagai potensi ancaman berdasarkan data intelijen. Jika alat serangan dijalankan dalam lingkungan Kubernetes, hal ini dapat menunjukkan bahwa penyerang telah memperoleh akses ke cluster dan menggunakan alat tersebut untuk mengeksploitasi kerentanan atau konfigurasi khusus Kubernetes. |
| Eksekusi: Eksekusi Alat Pengintaian Lokal | CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Alat pengintaian lokal yang biasanya tidak dikaitkan dengan penampung atau lingkungan dijalankan, yang menunjukkan upaya untuk mengumpulkan informasi sistem internal. Alat pengintaian ini diidentifikasi sebagai potensi ancaman berdasarkan data intelijen. Jika alat pengintaian dijalankan, hal ini menunjukkan bahwa penyerang mungkin mencoba memetakan infrastruktur, mengidentifikasi kerentanan, atau mengumpulkan data tentang konfigurasi sistem untuk merencanakan langkah berikutnya. |
| Eksekusi: Python berbahaya dieksekusi (Pratinjau) | CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED |
Model machine learning mengidentifikasi kode Python yang ditentukan sebagai malicious. Penyerang dapat menggunakan Python untuk mentransfer alat atau file lainnya dari sistem eksternal ke lingkungan yang disusupi dan menjalankan perintah tanpa biner. Detektor menggunakan teknik NLP untuk mengevaluasi konten kode Python yang dijalankan. Karena pendekatan ini tidak didasarkan pada tanda tangan, detektor dapat mengidentifikasi kode Python yang dikenal dan baru. |
| Eksekusi: Biner Berbahaya yang Dimodifikasi Dieksekusi | CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED |
Biner yang memenuhi kondisi berikut telah dieksekusi:
Jika biner berbahaya yang dimodifikasi dieksekusi, ini adalah tanda kuat bahwa penyerang memiliki kontrol atas beban kerja dan mereka mengeksekusi software berbahaya. |
| Eksekusi: Library Berbahaya yang Diubah Dimuat | CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED |
Library yang memenuhi kondisi berikut telah dimuat:
Jika library berbahaya yang dimodifikasi dimuat, ini adalah tanda kuat bahwa penyerang memiliki kontrol atas beban kerja dan mereka menjalankan software berbahaya. |
| Skrip Berbahaya Dieksekusi | CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED |
Model machine learning mengidentifikasi kode Bash yang ditentukan sebagai berbahaya. Penyerang dapat menggunakan Bash untuk mentransfer alat atau file lainnya dari sistem eksternal ke lingkungan yang disusupi dan menjalankan perintah tanpa biner. Detektor menggunakan teknik NLP untuk mengevaluasi konten kode Bash yang dijalankan. Karena pendekatan ini tidak didasarkan pada tanda tangan, detektor dapat mengidentifikasi kode Bash berbahaya yang baru dan sudah dikenal. |
| URL Berbahaya Ditemukan | CLOUD_RUN_MALICIOUS_URL_OBSERVED |
Deteksi Ancaman Cloud Run mengamati URL berbahaya dalam daftar argumen proses yang sedang berjalan. Detektor memeriksa URL yang diamati dalam daftar argumen proses yang berjalan terhadap daftar resource web tidak aman yang dikelola oleh layanan Safe Browsing Google. Jika URL salah diklasifikasikan sebagai situs phishing atau malware, laporkan di Melaporkan Data yang Salah. |
| Reverse Shell | CLOUD_RUN_REVERSE_SHELL |
Proses dimulai dengan pengalihan streaming ke soket yang terhubung
jarak jauh. Pendeteksi mencari Dengan shell terbalik, penyerang dapat berkomunikasi dari workload yang disusupi ke mesin yang dikontrol penyerang. Penyerang kemudian dapat memerintahkan dan mengontrol beban kerja—misalnya, sebagai bagian dari botnet. |
| Shell Turunan yang Tidak Terduga | CLOUD_RUN_UNEXPECTED_CHILD_SHELL |
Proses yang biasanya tidak memanggil shell menghasilkan proses shell. Detektor memantau semua eksekusi proses. Saat shell dipanggil, detektor akan menghasilkan temuan jika proses induk diketahui biasanya tidak memanggil shell. |
Pendeteksi bidang kontrol
Pendeteksi bidang kontrol berikut tersedia melalui Event Threat Detection. Detektor ini diaktifkan secara default. Anda mengelola pendeteksi ini dengan cara yang sama seperti pendeteksi Event Threat Detection lainnya. Untuk informasi selengkapnya, lihat Menggunakan Event Threat Detection.
| Nama tampilan | Nama API | Jenis sumber log | Deskripsi |
|---|---|---|---|
| Dampak: Perintah Penambangan Kripto (Pratinjau) | CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS |
Cloud Audit Logs: Log audit Peristiwa Sistem IAM |
Perintah penambangan kripto tertentu dilampirkan ke tugas Cloud Run selama eksekusi. |
| Eksekusi: Image Docker Penambangan Kripto (Pratinjau) | CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES |
Cloud Audit Logs: Log audit Peristiwa Sistem IAM |
Image docker tertentu yang diketahui buruk telah dilampirkan ke layanan atau tugas Cloud Run yang baru atau yang sudah ada. |
| Eskalasi Hak Istimewa: SetIAMPolicy Akun Layanan Compute Engine Default (Pratinjau) | CLOUD_RUN_SERVICES_SET_IAM_POLICY |
Cloud Audit Logs: Log Aktivitas Admin |
Akun layanan Compute Engine default digunakan untuk menetapkan kebijakan IAM untuk layanan Cloud Run. Ini adalah potensi tindakan pasca-eksploitasi saat token Compute Engine disusupi dari layanan serverless. |
Langkah berikutnya
- Pelajari cara menggunakan Deteksi Ancaman Cloud Run.
- Pelajari cara menggunakan Event Threat Detection.