このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。使用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。
概要
次のバイナリで実行されたバイナリ:
- 元のコンテナ イメージに含まれていた。
- コンテナ ランタイム中に変更された。
- 脅威インテリジェンスに基づいて悪意があると識別された。
一般に、攻撃者は最初の侵害後に搾取ツールやマルウェアをインストールします。
対処方法
この検出結果に対応する手順は次のとおりです。
ステップ 1: 検出結果の詳細を確認する
検出結果の確認の説明に従って、
Execution: Modified Malicious Binary Executedの検出結果を開きます。検出結果の詳細パネルが開き、[概要] タブが表示されます。[概要] タブで、次のセクションの情報を確認します。
- 検出された内容(特に次のフィールド):
- プログラム バイナリ: 変更されたバイナリの絶対パス。
- 引数: 変更されたバイナリを呼び出すときに指定する引数。
- コンテナ: 影響を受けるコンテナの名前。
- コンテナ URI: デプロイされているコンテナ イメージの名前。
- 影響を受けているリソース(特に次のフィールド):
- リソースの完全な名前: プロジェクト番号、ロケーション、クラスタ名を含むクラスタの完全なリソース名。
- 関連リンク(特に次のフィールド):
- VirusTotal インジケーター: VirusTotal の分析ページへのリンク。
- 検出された内容(特に次のフィールド):
[JSON] をクリックし、次のフィールドを確認します。
sourceProperties:VM_Instance_Name: Pod が実行された GKE ノードの名前。
ステップ 2: クラスタとノードを確認する
Google Cloud コンソールで [Kubernetes クラスタ] ページに移動します。
Google Cloud コンソールのツールバーで、必要に応じて
resource.project_display_nameに表示されているプロジェクトを選択します。検出結果の詳細の [概要] タブにある [リソースの完全な名前] 行のクラスタを選択します。クラスタとそのオーナーに関するメタデータをメモします。
[ノード] タブをクリックします。
VM_Instance_Nameに表示されているノードを選択します。[詳細] タブをクリックし、
container.googleapis.com/instance_idアノテーションをメモします。
ステップ 3: Pod を確認する
Google Cloud コンソールで [Kubernetes ワークロード] ページに移動します。
Google Cloud コンソールのツールバーで、必要に応じて
resource.project_display_nameに表示されているプロジェクトを選択します。必要に応じて、検出結果の詳細の [概要] タブにある [リソースの完全な名前] 行のクラスタと、[
Pod_Namespace] に表示されている Pod の Namespace でフィルタします。Pod_Nameに表示されている Pod を選択します。Pod とそのオーナーに関するメタデータをメモします。
ステップ 4: ログを確認する
Google Cloud コンソールで、[ログ エクスプローラ] に移動します。
Google Cloud コンソールのツールバーで、必要に応じて
resource.project_display_nameに表示されているプロジェクトを選択します。[期間の選択] を目的の期間に設定します。
読み込まれたページで、次の操作を行います。
- 次のフィルタを使用して、
Pod_Nameの Pod ログを検索します。resource.type="k8s_container"resource.labels.project_id="resource.project_display_name"resource.labels.location="location"resource.labels.cluster_name="cluster_name"resource.labels.namespace_name="Pod_Namespace"resource.labels.pod_name="Pod_Name"
- 次のフィルタを使用して、クラスタの監査ログを検索します。
logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"resource.type="k8s_cluster"resource.labels.project_id="resource.project_display_name"resource.labels.location="location"resource.labels.cluster_name="cluster_name"Pod_Name
- 次のフィルタを使用して、GKE ノード コンソールのログを検索します。
resource.type="gce_instance"resource.labels.instance_id="instance_id"
- 次のフィルタを使用して、
ステップ 5: 実行中のコンテナを調査する
コンテナがまだ実行中の場合は、コンテナ環境を直接調査できる場合があります。
Google Cloud コンソールに移動します。
Google Cloud コンソールのツールバーで、必要に応じて
resource.project_display_nameに表示されているプロジェクトを選択します。「Cloud Shell をアクティブにする」
をクリックします。次のコマンドを実行して、クラスタの GKE 認証情報を取得します。
ゾーンクラスタの場合:
gcloud container clusters get-credentials cluster_name --zone location --project project_nameリージョン クラスタの場合:
gcloud container clusters get-credentials cluster_name --region location --project project_name次のように置き換えます。
cluster_name:resource.labels.cluster_nameに表示されているクラスタlocation:resource.labels.locationに表示されているロケーションproject_name:resource.project_display_nameに表示されているプロジェクト名
変更された悪意のあるバイナリを取得します。
kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name local_filelocal_fileは、変更された悪意のあるライブラリを格納するローカルパスに置き換えます。コンテナ環境に接続します。
kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/shこのコマンドを実行するには、コンテナの
/bin/shにシェルがインストールされている必要があります。
ステップ 6: 攻撃とレスポンスの手法を調査する
- この検出結果タイプに対応する MITRE ATT&CK フレームワーク エントリ(Ingress Tool Transfer、Native API)を確認します。
- [VirusTotal インジケーター] でリンクをクリックして、VirusTotal で悪意があるというフラグが付いているバイナリの SHA-256 ハッシュ値を確認します。VirusTotal は、悪意のある可能性のあるファイル、URL、ドメイン、IP アドレスに関するコンテキストを提供する Alphabet 社のサービスです。
- 対応計画を策定するには、独自の調査結果と MITRE の調査、VirusTotal の分析を組み合わせる必要があります。
ステップ 7: レスポンスを実装する
次の対応計画は、この検出結果に適切な場合もありますが、運用に影響する可能性もあります。調査で収集した情報を慎重に評価して、検出結果を解決する最適な方法を判断してください。
次のステップ
- Security Command Center で脅威の検出結果を操作する方法を学習する。
- 脅威の検出結果のインデックスを参照する。
- Google Cloud コンソールで検出結果を確認する方法を学習する。
- 脅威の検出結果を生成するサービスについて学習する。