Cette page offre une présentation générale des concepts et fonctionnalités de Container Threat Detection.
Qu'est-ce que Container Threat Detection ?
Container Threat Detection est un service intégré de Security Command Center qui surveille en permanence l'état des images de nœud Container-Optimized OS. Le service évalue presque en temps réel toutes les modifications et toutes les tentatives d'accès à distance pour détecter les attaques visant l'environnement d'exécution.
Container Threat Detection détecte les attaques les plus courantes visant l'environnement d'exécution des conteneurs, et vous alerte dans Security Command Center et, éventuellement, dans Cloud Logging. Container Threat Detection inclut plusieurs fonctionnalités de détection, y compris les bibliothèques et les binaires suspects, et utilise le traitement du langage naturel (NLP) pour détecter le code Bash et Python malveillant.
Container Threat Detection n'est disponible qu'avec les niveaux Premium ou Enterprise de Security Command Center.
Fonctionnement de Container Threat Detection
L'instrumentation de détection Container Threat Detection collecte le comportement de bas niveau dans le noyau invité et les scripts exécutés. Voici le chemin d'exécution lorsque des événements sont détectés :
Container Threat Detection transmet les informations sur l'événement et les informations qui identifient le conteneur via un DaemonSet en mode utilisateur à un service de détecteur pour analyse. La collecte d'événements est configurée automatiquement lorsque Container Threat Detection est activé.
Le DaemonSet du moniteur transmet les informations sur le conteneur dans la mesure du possible. Les informations sur le conteneur peuvent être supprimées du résultat signalé si Kubernetes et l'environnement d'exécution du conteneur ne parviennent pas à fournir les informations de conteneur correspondantes à temps.
Le service de détecteur analyse les événements pour déterminer si un événement indique un incident. Les scripts Bash et Python sont analysés avec le TLN afin de déterminer si le code exécuté est malveillant.
Si le service de détecteur identifie un incident, celui-ci est écrit en tant que résultat dans Security Command Center et, éventuellement, dans Cloud Logging.
- Si le service de détecteur n'identifie pas d'incident, les informations de résultats ne sont pas stockées.
- Toutes les données du noyau et du service de détecteur sont éphémères et aucune d'entre elles n'est stockée de manière permanente.
Vous pouvez consulter les détails de résultats dans la console Security Command Center et examiner les informations de résultats. Votre capacité à afficher et modifier les résultats est déterminée par les rôles qui vous sont attribués. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.
Remarques
D'autres outils de détection de la sécurité installés dans votre cluster peuvent affecter les performances de Container Threat Detection et entraîner son dysfonctionnement. Nous vous recommandons de ne pas installer d'autres outils de détection de la sécurité dans votre cluster s'il est déjà protégé par la détection des menaces de conteneur.
Détecteurs de Container Threat Detection
Container Threat Detection inclut les détecteurs suivants :
| Détecteur | Description | Entrées de détection |
|---|---|---|
| Fichier binaire ajouté exécuté |
Un fichier binaire ne faisant pas partie de l'image de conteneur d'origine a été exécuté. Si un binaire ajouté est exécuté par un pirate informatique, il est possible qu'un pirate informatique ait le contrôle de la charge de travail et qu'il exécute des commandes arbitraires. Ce détecteur est désactivé par défaut. Pour savoir comment l'activer, consultez Tester Container Threat Detection. |
Le détecteur recherche un fichier binaire en cours d'exécution qui ne fait pas partie de l'image de conteneur d'origine ou qui a été modifié à partir de l'image de conteneur d'origine. |
| Ajout de bibliothèque chargée |
Une bibliothèque ne faisant pas partie de l'image de conteneur d'origine a été chargée. Si une bibliothèque ajoutée est chargée, il est possible qu'un pirate informatique ait le contrôle de la charge de travail et qu'il exécute du code arbitraire. Ce détecteur est désactivé par défaut. Pour savoir comment l'activer, consultez Tester Container Threat Detection. |
Le détecteur recherche une bibliothèque en cours de chargement ne faisant pas partie de l'image de conteneur d'origine, ou qui a été modifiée à partir de l'image de conteneur d'origine. |
| Commande et contrôle: outil de stéganographie détecté |
Un programme a été exécuté, identifié comme un outil de stéganographie couramment trouvé dans les environnements Unix, ce qui indique une tentative potentielle de dissimulation de la communication ou du transfert de données. Les pirates informatiques peuvent utiliser des techniques stéganographiques pour intégrer des instructions de commande et de contrôle (C2) malveillantes ou des données exfiltrées dans des fichiers numériques apparemment inoffensifs, afin d'échapper à la surveillance et à la détection de sécurité standards. Il est essentiel d'identifier l'utilisation de tels outils pour détecter les activités malveillantes cachées. |
Ce détecteur surveille l'exécution d'outils de stéganographie connus. La présence de tels outils suggère un effort délibéré visant à masquer le trafic réseau ou à exfiltrer des données, ce qui peut établir des canaux de communication occultes à des fins malveillantes. |
| Accès aux identifiants: rechercher des clés privées ou des mots de passe |
Une commande a été exécutée pour rechercher des clés privées, des mots de passe ou d'autres identifiants sensibles dans l'environnement du conteneur, ce qui indique une tentative potentielle de récupération de données d'authentification. Les pirates informatiques recherchent souvent des fichiers d'identifiants pour obtenir un accès non autorisé aux systèmes, accroître leurs droits ou se déplacer latéralement dans l'environnement. La détection de ces activités est essentielle pour éviter les violations de sécurité. |
Ce détecteur surveille les commandes connues utilisées pour localiser des clés privées, des mots de passe ou des fichiers d'identifiants. La présence de telles recherches dans un environnement conteneurisé peut suggérer des efforts de reconnaissance ou une violation active. |
| Contournement des défenses: lancer l'outil de compilation de code dans un conteneur |
Un processus a été lancé pour lancer un outil de compilation de code dans l'environnement de conteneur, ce qui indique une tentative potentielle de créer ou de modifier du code exécutable dans un contexte isolé. Les pirates informatiques peuvent utiliser des compilateurs de code dans des conteneurs pour développer des charges utiles malveillantes, injecter du code dans des binaires existants ou créer des outils pour contourner les contrôles de sécurité, tout en opérant dans un environnement moins surveillé pour éviter d'être détectés sur le système hôte. |
Ce détecteur surveille l'exécution d'outils de compilation de code connus dans les conteneurs. La présence d'une telle activité suggère une tentative potentielle de développement ou de modification de code malveillant dans le conteneur, éventuellement comme tactique d'évasion de la défense pour falsifier des composants système ou un logiciel client. |
| Exécution: fichier binaire malveillant ajouté exécuté |
Un binaire répondant aux conditions suivantes a été exécuté:
Si un binaire malveillant ajouté est exécuté, il s'agit d'un signe fort qu'un pirate informatique a le contrôle de la charge de travail et qu'il exécute un logiciel malveillant. |
Le détecteur recherche un fichier binaire en cours d'exécution qui ne fait pas partie de l'image de conteneur d'origine et qui a été identifié comme malveillant sur la base d'informations sur les menaces. |
| Exécution: bibliothèque malveillante ajoutée chargée |
Une bibliothèque qui remplit les conditions suivantes a été chargée:
Si une bibliothèque malveillante ajoutée est chargée, il est fort probable qu'un pirate informatique ait le contrôle de la charge de travail et qu'il exécute un logiciel malveillant. |
Le détecteur recherche une bibliothèque en cours de chargement qui ne faisait pas partie de l'image de conteneur d'origine et qui a été identifiée comme malveillante sur la base d'informations sur les menaces. |
| Exécution: fichier binaire malveillant intégré exécuté |
Un binaire répondant aux conditions suivantes a été exécuté:
Si un binaire malveillant intégré est exécuté, cela signifie que le pirate informatique déploie des conteneurs malveillants. Il est possible qu'il ait pris le contrôle d'un dépôt d'images légitime ou d'un pipeline de compilation de conteneur, et injecté un binaire malveillant dans l'image du conteneur. |
Le détecteur recherche un fichier binaire en cours d'exécution qui était inclus dans l'image de conteneur d'origine et qui a été identifié comme malveillant sur la base d'informations sur les menaces. |
| Exécution: fuite du conteneur |
Un processus a été exécuté dans le conteneur et a tenté de briser l'isolation du conteneur, ce qui a potentiellement donné au pirate informatique accès au système hôte. Si une tentative d'évasion de conteneur est détectée, cela peut indiquer qu'un pirate informatique exploite des failles pour s'échapper du conteneur. Par conséquent, le pirate informatique peut obtenir un accès non autorisé au système hôte ou à l'infrastructure plus large, compromettant l'ensemble de l'environnement. |
Le détecteur surveille les processus qui tentent d'exploiter les limites des conteneurs qui utilisent des techniques ou des binaires d'évasion connus. Ces processus sont signalés par l'intelligence sur les menaces comme des attaques potentielles ciblant le système hôte sous-jacent. |
| Exécution: exécution de la faille Ingress Nightmare (bêta) |
L'exécution de CVE-2025-1974 peut être détectée en surveillant les exécutions Nginx avec des arguments qui incluent des références au système de fichiers
Cette classe de failles peut permettre à des acteurs malveillants d'exécuter du code arbitraire dans le contrôleur |
Ce détecteur surveille le conteneur ingress-nginx pour les exécutions Nginx dont les arguments incluent des références au système de fichiers /proc, ce qui indique une exécution de code à distance potentielle.
|
| Exécution: exécution de l'outil d'attaque Kubernetes |
Un outil d'attaque spécifique à Kubernetes a été exécuté dans l'environnement, ce qui peut indiquer qu'un pirate informatique cible les composants du cluster Kubernetes. Si un outil d'attaque est exécuté dans l'environnement Kubernetes, cela peut suggérer qu'un pirate informatique a accédé au cluster et qu'il utilise l'outil pour exploiter des failles ou des configurations spécifiques à Kubernetes. |
Le détecteur recherche les outils d'attaque Kubernetes en cours d'exécution et identifiés comme des menaces potentielles en fonction des données d'intelligence. Le détecteur déclenche des alertes pour atténuer les compromissions potentielles dans le cluster. |
| Exécution: exécution de l'outil de reconnaissance local |
Un outil de reconnaissance local qui n'est généralement pas associé au conteneur ou à l'environnement a été exécuté, ce qui suggère une tentative de collecte d'informations système internes. Si un outil de reconnaissance est exécuté, cela suggère que le pirate informatique tente peut-être de cartographier l'infrastructure, d'identifier les failles ou de collecter des données sur les configurations système pour planifier ses prochaines étapes. |
Le détecteur surveille les outils de reconnaissance connus exécutés dans l'environnement, identifiés grâce à l'intelligence sur les menaces, ce qui peut indiquer une préparation à des activités plus malveillantes. |
| Exécution: code Python malveillant exécuté |
Un modèle de machine learning a identifié le code Python spécifié comme malveillant. Les pirates informatiques peuvent utiliser Python pour transférer des outils ou d'autres fichiers d'un système externe vers un environnement compromis afin d'exécuter des commandes sans binaires. |
Le détecteur utilise des techniques de TLN pour évaluer le contenu du code Python exécuté. Étant donné que cette approche n'est pas basée sur les signatures, les détecteurs peuvent identifier les Python connus et nouveaux. |
| Exécution: fichier binaire malveillant modifié exécuté |
Un binaire répondant aux conditions suivantes a été exécuté:
Si un fichier binaire malveillant modifié est exécuté, il s'agit d'un signe fort qu'un pirate informatique a le contrôle de la charge de travail et qu'il exécute un logiciel malveillant. |
Le détecteur recherche un fichier binaire en cours d'exécution qui était initialement inclus dans l'image du conteneur, mais qui a été modifié au moment de l'exécution et identifié comme malveillant sur la base de la CTI. |
| Exécution: bibliothèque malveillante modifiée chargée |
Une bibliothèque qui remplit les conditions suivantes a été chargée:
Si une bibliothèque malveillante modifiée est chargée, il s'agit d'un signe fort qu'un pirate informatique a le contrôle de la charge de travail et qu'il exécute un logiciel malveillant. |
Le détecteur recherche une bibliothèque en cours de chargement qui était initialement incluse dans l'image du conteneur, mais qui a été modifiée au moment de l'exécution et identifiée comme malveillante d'après la CTI. |
| Exécution: exécution de code à distance Netcat dans un conteneur |
Netcat, un utilitaire réseau polyvalent, a été exécuté dans l'environnement de conteneur, ce qui peut indiquer une tentative d'établissement d'un accès à distance non autorisé ou d'exfiltration de données. L'utilisation de Netcat dans un environnement conteneurisé peut signaler une tentative de pirate informatique visant à créer un shell inverse, à activer le mouvement latéral ou à exécuter des commandes arbitraires, ce qui pourrait compromettre l'intégrité du système. |
Le détecteur surveille l'exécution de Netcat dans le conteneur, car son utilisation dans les environnements de production est inhabituelle et peut signaler une tentative de contournement des contrôles de sécurité ou d'exécution de commandes à distance. |
| Exécution: possible exécution de commande à distance détectée |
Un processus a été détecté en créant des commandes UNIX courantes via une connexion de socket réseau, ce qui indique une tentative potentielle d'établir des fonctionnalités d'exécution de commandes à distance non autorisées. Les pirates informatiques utilisent souvent des techniques qui imitent les shells inversés pour obtenir un contrôle interactif sur un système compromis, ce qui leur permet d'exécuter des commandes arbitraires à distance et de contourner les mesures de sécurité réseau standards, telles que les restrictions de pare-feu. La détection de l'exécution de commandes via un socket est un indicateur fort d'accès à distance malveillant. |
Ce détecteur surveille la création de sockets réseau, suivie de l'exécution de commandes shell UNIX standards. Ce modèle suggère une tentative de création d'un canal caché pour l'exécution de commandes à distance, ce qui peut permettre d'autres activités malveillantes sur l'hôte compromis. |
| Exécution: exécution du programme avec un environnement de proxy HTTP non autorisé |
Un programme a été exécuté avec une variable d'environnement de proxy HTTP non autorisée. Cela peut indiquer une tentative de contournement des contrôles de sécurité, de redirection du trafic à des fins malveillantes ou d'exfiltration de données via des canaux non autorisés. Les pirates informatiques peuvent configurer des proxys HTTP non autorisés pour intercepter des informations sensibles, acheminer le trafic via des serveurs malveillants ou établir des canaux de communication masqués. La détection de l'exécution de programmes avec ces variables d'environnement est essentielle pour maintenir la sécurité du réseau et éviter les violations de données. |
Ce détecteur surveille l'exécution de programmes avec des variables d'environnement de proxy HTTP spécifiquement interdites. L'utilisation de ces proxys, en particulier lorsqu'elle est inattendue, peut indiquer une activité malveillante et nécessite une enquête immédiate. |
| Exfiltration: lancement d'outils de copie de fichiers à distance dans un conteneur |
L'exécution d'un outil de copie de fichiers à distance a été détectée dans le conteneur, ce qui indique une potentielle exfiltration de données, une migration latérale ou le déploiement de charges utiles malveillantes. Les pirates informatiques utilisent souvent ces outils pour transférer des données sensibles en dehors du conteneur, se déplacer latéralement sur le réseau pour compromettre d'autres systèmes ou introduire des logiciels malveillants pour d'autres activités malveillantes. La détection de l'utilisation d'outils de copie de fichiers à distance est essentielle pour éviter les violations de données, les accès non autorisés et les autres compromissions du conteneur et potentiellement du système hôte. |
Ce détecteur surveille l'exécution d'outils de copie de fichiers à distance connus dans l'environnement du conteneur. Leur présence, en particulier lorsqu'elle est inattendue, peut indiquer une activité malveillante. |
| Impact: Détection des lignes de commande malveillantes |
Une commande a été exécutée avec des arguments connus pour être potentiellement destructeurs, tels que des tentatives de suppression de fichiers système critiques ou de modification de configurations liées aux mots de passe. Les pirates informatiques peuvent émettre des lignes de commande malveillantes pour provoquer l'instabilité du système, empêcher la récupération en supprimant des fichiers essentiels ou obtenir un accès non autorisé en manipulant les identifiants utilisateur. La détection de ces modèles de commande spécifiques est essentielle pour éviter un impact important sur le système. |
Ce détecteur surveille l'exécution d'arguments de ligne de commande correspondant à des modèles associés à des dommages système ou à une élévation des privilèges. La présence de telles commandes indique une tentative active potentielle d'avoir un impact négatif sur la disponibilité ou la sécurité du système. |
| Impact: suppression des données groupées du disque |
Un processus a été détecté effectuant des opérations de suppression de données groupées, ce qui peut indiquer une tentative d'effacement de preuves, de perturbation des services ou d'exécution d'une attaque de suppression de données dans l'environnement de conteneur. Les pirates informatiques peuvent supprimer de grands volumes de données pour effacer leurs traces, saboter des opérations ou se préparer au déploiement de rançongiciels. La détection de ces activités permet d'identifier les menaces potentielles avant qu'une perte de données critique ne se produise. |
Le détecteur surveille les commandes et les processus associés à la suppression de données groupée ou à d'autres outils d'effacement de données afin d'identifier toute activité suspecte pouvant compromettre l'intégrité du système. |
| Impact: activité de minage de cryptomonnaie suspecte à l'aide du protocole Stratum |
Un processus a été détecté en communication via le protocole Stratum, qui est couramment utilisé par les logiciels de minage de cryptomonnaie. Cette activité suggère des opérations d'extraction non autorisées potentielles dans l'environnement de conteneur. Les pirates informatiques déploient souvent des mineurs de cryptomonnaies pour exploiter les ressources système à des fins de gain financier, ce qui entraîne une dégradation des performances, une augmentation des coûts opérationnels et des risques de sécurité potentiels. La détection de ces activités permet de limiter les utilisations abusives des ressources et les accès non autorisés. |
Ce détecteur surveille l'utilisation connue du protocole Stratum dans l'environnement. Étant donné que les charges de travail de conteneur légitimes n'utilisent généralement pas Stratum, sa présence peut indiquer des opérations d'extraction non autorisées ou un conteneur compromis. |
| Script malveillant exécuté |
Un modèle de machine learning a identifié le code Bash spécifié comme malveillant. Les pirates informatiques peuvent utiliser Bash pour transférer des outils ou d'autres fichiers d'un système externe vers un environnement compromis afin d'exécuter des commandes sans binaires. |
Le détecteur utilise des techniques de TLN pour évaluer le contenu du code Bash exécuté. Étant donné que cette approche n'est pas basée sur les signatures, les détecteurs peuvent identifier les bash malveillants connus et nouveaux. |
| URL malveillante détectée | Container Threat Detection a observé une URL malveillante dans la liste d'arguments d'un processus en cours d'exécution. | Le détecteur vérifie les URL observées dans la liste d'arguments des processus en cours d'exécution par rapport aux listes de ressources Web non sécurisées gérées par le service Navigation sécurisée de Google. Si une URL est classée à tort comme hameçonnage ou logiciel malveillant, signalez-la sur la page Signaler des données incorrectes. |
| Interface système inversée |
Un processus a commencé par une redirection de flux vers un socket connecté distant. Grâce à l'interface système inversée, un pirate informatique peut communiquer à partir d'une charge de travail compromise vers une machine contrôlée par un pirate informatique. Le pirate informatique peut ensuite commander et contrôler la charge de travail, par exemple dans le cadre d'un botnet. |
Le détecteur recherche stdin lié à un socket distant.
|
| Shell enfant inattendu | Un processus qui n'appelle normalement pas de shells a généré un processus shell. | Le détecteur surveille toutes les exécutions de processus. Lorsqu'un shell est appelé, le détecteur génère un résultat si le processus parent n'appelle généralement pas de shell. |
Étape suivante
- Découvrez comment utiliser Container Threat Detection.
- Découvrez comment tester Container Threat Detection.
- Découvrez comment examiner et développer des plans d'intervention sur les menaces.
- Découvrez Artifact Analysis et l'analyse des failles.