Container Threat Detection – Übersicht

Diese Seite bietet eine allgemeine Übersicht über die Konzepte und Features von Container Threat Detection.

Was ist Container Threat Detection?

Container Threat Detection ist ein integrierter Dienst von Security Command Center, der kontinuierlich den Zustand von Container-Optimized OS-Knoten-Images überwacht. Der Dienst wertet alle Änderungen und Remote-Zugriffsversuche aus, um Laufzeitangriffe nahezu in Echtzeit zu erkennen.

Container Threat Detection erkennt die gängigsten Containerlaufzeit-Angriffe und benachrichtigt Sie in Security Command Center und optional in Cloud Logging. Container Threat Detection umfasst mehrere Erkennungsfunktionen, einschließlich verdächtiger Binärdateien und Bibliotheken, und erkennt schädlichen Bash- und Python-Code mithilfe von Natural Language Processing (NLP).

Container Threat Detection ist nur mit der Premium- oder Enterprise-Stufe von Security Command Center verfügbar.

Funktionsweise von Container Threat Detection

Die Container Threat Detection-Erkennung erfasst Low-Level-Verhalten im Gast-Kernel und in ausgeführten Skripts. Wenn Ereignisse erkannt werden, sieht der Ausführungspfad so aus:

  1. Container Threat Detection übergibt Ereignisinformationen und Informationen, die den Container identifizieren, über ein DaemonSet im Nutzermodus an einen Detektordienst zur Analyse. Die Ereigniserhebung wird automatisch konfiguriert, wenn Container Threat Detection aktiviert ist.

    Das Watcher-DaemonSet gibt Containerinformationen nach dem Best-Effort-Prinzip weiter. Containerinformationen können aus der gemeldeten Feststellung entfernt werden, wenn Kubernetes und die Containerlaufzeit die entsprechenden Containerinformationen nicht rechtzeitig liefern.

  2. Der Erkennungsdienst analysiert Ereignisse, um festzustellen, ob ein Ereignis auf einen Vorfall hindeutet. Bash- und Python-Code wird mithilfe von NLP analysiert, um festzustellen, ob der ausgeführte Code schädlich ist.

  3. Wenn der Detektordienst einen Vorfall identifiziert, wird der Vorfall als Ergebnis in Security Command Center und optional in Cloud Logging geschrieben.

    • Wenn der Detektordienst keinen Vorfall identifiziert, werden die Informationen nicht gespeichert.
    • Alle Daten im Kernel und im Detektordienst sind sitzungsspezifisch und werden nicht dauerhaft gespeichert.

Sie können sich die Details der Ergebnisse in der Security Command Center-Console ansehen und die Ergebnisinformationen untersuchen. Ob Sie Ergebnisse aufrufen und bearbeiten können, hängt von den Rollen ab, die Ihnen zugewiesen wurden. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.

Container Threat Detection-Detektoren

Container Threat Detection umfasst die folgenden Detektoren:

Detektor Beschreibung Eingaben für die Erkennung
Ausgeführte Binärdatei hinzugeführt

Eine Binärdatei, die nicht Teil des ursprünglichen Container-Images war, wurde ausgeführt.

Wenn eine hinzugefügte Binärdatei von einem Angreifer ausgeführt wird, ist dies möglicherweise ein Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und beliebige Befehle ausführt.

Der Detektor sucht nach einer Binärdatei, die nicht Teil des ursprünglichen Container-Image war oder vom ursprünglichen Container-Image geändert wurde.
Hinzugefügte Mediathek geladen

Eine Bibliothek, die nicht Teil des ursprünglichen Container-Image war, wurde geladen.

Wenn eine hinzugefügte Bibliothek geladen wird, ist der Angreifer möglicherweise in der Lage, die Arbeitslast zu steuern und beliebigen Code auszuführen.

Der Detektor sucht nach einer geladenen Bibliothek, die nicht Teil des ursprünglichen Container-Image war oder gegenüber dem ursprünglichen Container-Image geändert wurde.
Ausführung: Ausgeführte schädliche Binärdatei hinzugefügt

Eine Binärdatei, die die folgenden Bedingungen erfüllt, wurde ausgeführt:

  • Anhand von Threat Intelligence als schädlich identifiziert
  • Nicht Teil des ursprünglichen Container-Images

Wenn eine hinzugefügte schädliche Binärdatei ausgeführt wird, ist dies ein starkes Indiz dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt.

Der Detektor sucht nach einer Binärdatei, die nicht Teil des ursprünglichen Container-Images war und aufgrund von Bedrohungsinformationen als schädlich eingestuft wurde.
Ausführung: Hinzugefügte schädliche Mediathek geladen

Es wurde eine Bibliothek geladen, die die folgenden Bedingungen erfüllt:

  • Anhand von Threat Intelligence als schädlich identifiziert
  • Nicht Teil des ursprünglichen Container-Images

Wenn eine hinzugefügte schädliche Bibliothek geladen wird, ist dies ein starkes Indiz dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt.

Der Detektor sucht nach einer geladenen Bibliothek, die nicht Teil des ursprünglichen Container-Images war und aufgrund von Bedrohungsinformationen als schädlich eingestuft wurde.
Ausführung: Eingebaute schädliche Binärdatei ausgeführt

Eine Binärdatei, die die folgenden Bedingungen erfüllt, wurde ausgeführt:

  • Anhand von Threat Intelligence als schädlich identifiziert
  • Im ursprünglichen Container-Image enthalten

Wenn eine eingebettete schädliche Binärdatei ausgeführt wird, ist dies ein Zeichen dafür, dass der Angreifer schädliche Container bereitstellt. Möglicherweise haben sie die Kontrolle über ein legitimes Image-Repository oder eine Container-Build-Pipeline übernommen und eine schädliche Binärdatei in das Container-Image eingeschleust.

Der Detektor sucht nach einer Binärdatei, die im ursprünglichen Container-Image enthalten war und aufgrund von Bedrohungsinformationen als schädlich eingestuft wurde.
Ausführung: Ausführen von schädlichem Python-Code (Vorabversion)

Ein ML-Modell (maschinelles Lernen) hat den angegebenen Python-Code als schädlich identifiziert. Angreifer können Python verwenden, um Tools oder andere Dateien von einem externen System in eine manipulierte Umgebung zu übertragen und Befehle ohne Binärdateien auszuführen.

Der Detektor verwendet NLP-Techniken, um den Inhalt des ausgeführten Python-Codes zu bewerten. Da dieser Ansatz nicht auf Signaturen basiert, können Detektoren bekannte und neue Python-Malware erkennen.
Ausführung: Modifizierte schädliche Binärdatei ausgeführt

Eine Binärdatei, die die folgenden Bedingungen erfüllt, wurde ausgeführt:

  • Anhand von Threat Intelligence als schädlich identifiziert
  • Im ursprünglichen Container-Image enthalten
  • Während der Laufzeit aus dem ursprünglichen Container-Image geändert

Wenn eine modifizierte schädliche Binärdatei ausgeführt wird, ist dies ein starkes Indiz dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt.

Der Detektor sucht nach einer ausführbaren Binärdatei, die ursprünglich im Container-Image enthalten war, aber während der Laufzeit geändert wurde und auf Grundlage von Bedrohungsinformationen als schädlich eingestuft wurde.
Ausführung: Modifizierte schädliche Bibliothek geladen

Es wurde eine Bibliothek geladen, die die folgenden Bedingungen erfüllt:

  • Anhand von Threat Intelligence als schädlich identifiziert
  • Im ursprünglichen Container-Image enthalten
  • Während der Laufzeit aus dem ursprünglichen Container-Image geändert

Wenn eine modifizierte schädliche Bibliothek geladen wird, ist dies ein starkes Indiz dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt.

Der Detektor sucht nach einer geladenen Bibliothek, die ursprünglich im Container-Image enthalten war, aber während der Laufzeit geändert wurde und aufgrund von Bedrohungsinformationen als schädlich eingestuft wurde.
Schädliches Script ausgeführt

Ein ML-Modell (maschinelles Lernen) hat den angegebenen Bash-Code als schädlich identifiziert. Angreifer können Bash verwenden, um Tools oder andere Dateien von einem externen System in eine manipulierte Umgebung zu übertragen und Befehle ohne Binärdateien auszuführen.

Der Detektor verwendet NLP-Techniken, um den Inhalt des ausgeführten Bash-Codes zu bewerten. Da dieser Ansatz nicht auf Signaturen basiert, können Detektoren bekannte und neue schädliche Bash-Scripts identifizieren.
Schädliche URL beobachtet Container Threat Detection hat eine schädliche URL in der Argumentliste eines laufenden Prozesses erkannt. Der Detector prüft URLs, die in der Argumentliste laufender Prozesse erkannt werden, anhand der Listen unsicherer Webressourcen, die vom Google-Dienst Safe Browsing verwaltet werden. Wenn eine URL fälschlicherweise als Phishing oder Malware eingestuft wird, melden Sie sie unter Unvollständige Daten melden.
Reverse Shell

Ein Prozess, bei dem die Stream-Weiterleitung an einen Remote-Socket gestartet wurde.

Mit einer Reverse-Shell kann ein Angreifer von einer manipulierten Arbeitslast aus mit einer vom Angreifer kontrollierten Maschine kommunizieren. Der Angreifer kann dann die Arbeitslast ausführen und steuern, z. B. als Teil eines Botnets.

Der Detektor sucht nach stdin, gebunden an einen Remote-Socket.
Unerwartete untergeordnete Shell Ein Prozess, der normalerweise keine Shells aufruft, hat einen Shell-Prozess gestartet. Der Detektor überwacht alle Prozessausführungen. Wenn eine Shell aufgerufen wird, generiert der Detektor ein Ergebnis, wenn der übergeordnete Prozess normalerweise keine Shells aufruft.

Nächste Schritte