Questa pagina fornisce una panoramica generale dei concetti e delle funzionalità di Container Threat Detection.
Che cos'è Container Threat Detection?
Container Threat Detection è un servizio integrato di Security Command Center che monitora continuamente lo stato delle immagini dei nodi Container-Optimized OS. Il servizio valuta tutte le modifiche e i tentativi di accesso remoto per rilevare gli attacchi in fase di runtime quasi in tempo reale.
Container Threat Detection rileva gli attacchi runtime ai container più comuni e ti avvisa in Security Command Center e, facoltativamente, in Cloud Logging. Container Threat Detection include diverse funzionalità di rilevamento, tra cui librerie e file binari sospetti, e utilizza l'elaborazione del linguaggio naturale (NLP) per rilevare codice Bash e Python dannoso.
Container Threat Detection è disponibile solo con il livello Premium o Enterprise di Security Command Center.
Come funziona Container Threat Detection
L'instrumentazione di rilevamento di Container Threat Detection raccoglie comportamenti di basso livello nel kernel guest e negli script eseguiti. Di seguito è riportato il percorso di esecuzione quando vengono rilevati eventi:
Container Threat Detection trasmette le informazioni sugli eventi e quelle che identificano il container tramite un DaemonSet in modalità utente a un servizio di rilevamento per l'analisi. La raccolta degli eventi viene configurata automaticamente quando Container Threat Detection è abilitato.
Il DaemonSet watcher trasmette le informazioni sui container nel miglior modo possibile. Le informazioni sul contenitore possono essere eliminate dal risultato segnalato se Kubernetes e il runtime del contenitore non riescono a fornire le informazioni corrispondenti sul contenitore in tempo.
Il servizio di rilevamento analizza gli eventi per determinare se un evento è indicativo di un incidente. Gli script Bash e Python vengono analizzati con l'elaborazione del linguaggio naturale per determinare se il codice eseguito è dannoso.
Se il servizio di rilevamento identifica un incidente, questo viene scritto come risultato in Security Command Center e, facoltativamente, in Cloud Logging.
- Se il servizio di rilevamento non identifica un incidente, le informazioni non vengono memorizzate.
- Tutti i dati nel kernel e nel servizio di rilevamento sono effimeri e non vengono archiviati in modo permanente.
Puoi visualizzare i dettagli dei risultati nella console Security Command Center ed esaminare le informazioni sui risultati. La tua capacità di visualizzare e modificare i risultati è determinata dai ruoli che ti vengono concessi. Per ulteriori informazioni sui ruoli di Security Command Center, consulta Controllo dell'accesso.
Considerazioni
Altri strumenti di rilevamento della sicurezza installati nel cluster possono compromettere le prestazioni di Container Threat Detection e causarne il malfunzionamento. Ti consigliamo di non installare altri strumenti di rilevamento della sicurezza nel cluster se il cluster è già protetto da Container Threat Detection.
Considerazioni sull'utilizzo dei rilevatori di monitoraggio dei file
Container Threat Detection include una serie di rilevatori che monitorano le operazioni sui file alla ricerca di accesso o modifiche a file di sistema critici. Questi rilevatori monitorano le operazioni sui file che si verificano sul nodo. I carichi di lavoro con I/O di file significativi, come i sistemi CI/CD, potrebbero potenzialmente subire un calo delle prestazioni quando questi rilevatori sono abilitati. Per evitare impatti imprevisti, questi rilevatori sono disattivati per impostazione predefinita. La descrizione di ogni rilevatore include un link alle istruzioni per l'attivazione. Ti consigliamo di valutare l'impatto su qualsiasi workload prima di attivare i rilevatori di monitoraggio dei file in produzione.
Rilevatori di Container Threat Detection
Container Threat Detection include i seguenti rilevatori:
| Rilevatore | Modulo | Descrizione | Input per il rilevamento |
|---|---|---|---|
| File binario aggiuntivo eseguito | ADDED_BINARY_EXECUTED |
È stato eseguito un binario che non faceva parte dell'immagine container originale. Se un binario aggiunto viene eseguito da un utente malintenzionato, è un possibile segno che l'utente malintenzionato ha il controllo del workload e sta eseguendo comandi arbitrari. Questo rilevatore è disattivato per impostazione predefinita. Per istruzioni su come abilitarlo, vedi Testare Container Threat Detection. I risultati sono classificati come gravità Bassa. |
Il rilevatore cerca un binario in esecuzione che non faceva parte dell'immagine container originale o che è stato modificato rispetto all'immagine container originale. |
| Libreria aggiuntiva caricata | ADDED_LIBRARY_LOADED |
È stata caricata una libreria che non faceva parte dell'immagine container originale. Se una libreria aggiunta viene caricata, è un possibile segnale che un malintenzionato ha il controllo del workload e sta eseguendo codice arbitrario. Questo rilevatore è disattivato per impostazione predefinita. Per istruzioni su come abilitarlo, vedi Testare Container Threat Detection. I risultati sono classificati come gravità Bassa. |
Il rilevatore cerca una libreria caricata che non faceva parte dell'immagine container originale o che è stata modificata rispetto all'immagine container originale. |
| Raccolta: Modifica Pam.d (anteprima) | PAM_D_MODIFICATION |
Uno dei file binari o di configurazione nella directory PAM è ampiamente utilizzato per l'autenticazione in Linux. Gli autori degli attacchi possono modificare i file binari o di configurazione per stabilire un accesso persistente. Si tratta di un rilevatore di monitoraggio dei file e ha requisiti specifici per la versione di GKE. Questo rilevatore è disattivato per impostazione predefinita. Per istruzioni su come abilitarlo, vedi Testare Container Threat Detection. |
Questo rilevatore monitora le modifiche ai file della libreria condivisa PAM e ai file di configurazione dell'autorizzazione correlati. |
| Comando e controllo: strumento di steganografia rilevato | STEGANOGRAPHY_TOOL_DETECTED |
È stato eseguito un programma identificato come strumento di steganografia comunemente presente in ambienti simili a Unix, il che indica un potenziale tentativo di nascondere la comunicazione o il trasferimento di dati. Gli autori degli attacchi potrebbero utilizzare tecniche steganografiche per incorporare istruzioni di comando e controllo (C2) dannose o dati esfiltrati all'interno di file digitali apparentemente innocui, con l'obiettivo di eludere il monitoraggio e il rilevamento della sicurezza standard. Identificare l'utilizzo di questi strumenti è fondamentale per scoprire attività dannose nascoste. I risultati sono classificati come gravità Critica. |
Questo rilevatore monitora l'esecuzione di strumenti di steganografia noti. La presenza di questi strumenti suggerisce uno sforzo deliberato per offuscare il traffico di rete o esfiltrare dati, stabilendo potenzialmente canali di comunicazione segreti per scopi dannosi. |
| Accesso con credenziali: accedi ai file sensibili sui nodi (anteprima) | ACCESS_SENSITIVE_FILES_ON_NODES |
È stato eseguito un programma che ha eseguito l'accesso a Gli autori degli attacchi potrebbero accedere ai file di autorizzazione per copiare gli hash delle password. Si tratta di un rilevatore di monitoraggio dei file e ha requisiti specifici per la versione di GKE. Questo rilevatore è disattivato per impostazione predefinita. Per istruzioni su come abilitarlo, vedi Testare Container Threat Detection. |
Il rilevatore cerca accessi a file di sistema sensibili come
/etc/shadow e file SSH authorized_keys.
|
| Accesso con credenziali: trova Google Cloud Credenziali | FIND_GCP_CREDENTIALS |
È stato eseguito un comando per cercare Google Cloud chiavi private, password o altre credenziali sensibili all'interno dell'ambiente del container. Un malintenzionato potrebbe utilizzare credenziali Google Cloud rubate per ottenere l'accesso illegittimo a dati o risorse sensibili all'interno dell'ambiente Google Cloud di destinazione. I risultati sono classificati come gravità Bassa. Questo rilevatore è disattivato per impostazione predefinita. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa. Per istruzioni su come abilitarlo, vedi Testare Container Threat Detection. |
Questo rilevamento monitora i comandi find o grep
che tentano di individuare i file contenenti credenziali Google Cloud.
|
| Accesso alle credenziali: ricognizione chiave GPG | GPG_KEY_RECONNAISSANCE |
È stato eseguito un comando per cercare le chiavi di sicurezza GPG. Un malintenzionato potrebbe utilizzare chiavi di sicurezza GPG rubate per ottenere l'accesso non autorizzato a comunicazioni o file criptati. I risultati sono classificati come gravità Critica. |
Questo rilevatore monitora i comandi find o grep
che tentano di individuare le chiavi di sicurezza GPG.
|
| Accesso con credenziali: cerca chiavi private o password | SEARCH_PRIVATE_KEYS_OR_PASSWORDS |
È stato eseguito un comando per cercare chiavi private, password o altre credenziali sensibili all'interno dell'ambiente del container, indicando un potenziale tentativo di raccogliere dati di autenticazione. Gli autori degli attacchi spesso cercano file di credenziali per ottenere l'accesso non autorizzato ai sistemi, aumentare i privilegi o spostarsi lateralmente all'interno dell'ambiente. Il rilevamento di queste attività è fondamentale per prevenire violazioni della sicurezza. I risultati sono classificati come gravità Bassa. |
Questo rilevatore monitora i comandi noti utilizzati per individuare chiavi private, password o file di credenziali. La presenza di queste ricerche in un ambiente containerizzato potrebbe suggerire tentativi di ricognizione o una compromissione attiva. |
| Evasione della difesa: riga di comando del file ELF Base64 | BASE64_ELF_FILE_CMDLINE |
È stato eseguito un processo che contiene un argomento che è un file ELF (Executable and Linkable Format). Se viene rilevata l'esecuzione di un file ELF codificato, significa che un malintenzionato sta tentando di codificare dati binari per il trasferimento a righe di comando solo ASCII. Gli autori degli attacchi possono utilizzare questa tecnica per eludere il rilevamento ed eseguire codice dannoso incorporato in un file ELF. I risultati sono classificati come gravità Media. |
Questo rilevamento monitora gli argomenti del processo che contengono ELF
e sono codificati in Base64.
|
| Evasione della difesa: script Python con codifica Base64 eseguito | BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED |
È stato eseguito un processo che contiene un argomento che è uno script Python con codifica Base64. Se viene rilevata l'esecuzione di uno script Python codificato, significa che un malintenzionato sta tentando di codificare dati binari per il trasferimento a righe di comando solo ASCII. Gli autori degli attacchi possono utilizzare questa tecnica per eludere il rilevamento ed eseguire codice dannoso incorporato in uno script Python. I risultati sono classificati come gravità Media. |
Questo rilevamento monitora gli argomenti del processo che contengono
varie forme di python -c e sono codificati in Base64.
|
| Evasione della difesa: script shell con codifica Base64 eseguito | BASE64_ENCODED_SHELL_SCRIPT_EXECUTED |
È stato eseguito un processo che contiene un argomento che è uno script shell con codifica Base64. Se viene rilevata l'esecuzione di uno script shell codificato, significa che un malintenzionato sta tentando di codificare dati binari per il trasferimento a righe di comando solo ASCII. Gli autori degli attacchi possono utilizzare questa tecnica per eludere il rilevamento ed eseguire codice dannoso incorporato in uno script shell. I risultati sono classificati come gravità Media. |
Questo rilevamento monitora gli argomenti del processo per trovare quelli che contengono varie forme di comando shell con codifica base64. |
| Defense Evasion: Disable or Modify Linux Audit System (anteprima) | DISABLE_OR_MODIFY_LINUX_AUDIT_SYSTEM |
Uno dei file di configurazione o di logging del sistema di controllo è stato modificato. Si tratta di un rilevatore di monitoraggio dei file e ha requisiti specifici per la versione di GKE. Questo rilevatore è disattivato per impostazione predefinita. Per istruzioni su come abilitarlo, vedi Testare Container Threat Detection. |
Questo rilevatore monitora le modifiche alle configurazioni di logging,
come modifiche a file di configurazione o comandi specifici,
nonché la disattivazione di servizi di logging come
journalctl o auditctl.
|
| Evasione delle difese: avvia strumento di compilazione codice nel container | LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER |
È stato avviato un processo per lanciare uno strumento di compilazione del codice all'interno dell'ambiente container, il che indica un potenziale tentativo di creare o modificare codice eseguibile in un contesto isolato. Gli autori degli attacchi potrebbero utilizzare i compilatori di codice all'interno dei container per sviluppare payload dannosi, inserire codice in file binari esistenti o creare strumenti per aggirare i controlli di sicurezza, il tutto operando in un ambiente meno controllato per evitare il rilevamento sul sistema host. I risultati sono classificati come gravità Bassa. |
Questo rilevatore monitora l'esecuzione di strumenti di compilazione del codice noti all'interno dei container. La presenza di questa attività suggerisce un potenziale tentativo di sviluppare o modificare codice dannoso all'interno del container, forse come tattica di evasione della difesa per manomettere i componenti di sistema o il software client. |
| Evasione della difesa: certificato radice installato (anteprima) | ROOT_CERTIFICATE_INSTALLED |
Sul nodo è stato installato un certificato radice. Gli avversari potrebbero installare un certificato radice per evitare avvisi di sicurezza quando stabiliscono connessioni ai loro server web dannosi. Gli autori degli attacchi potrebbero effettuare attacchi man-in-the-middle, intercettando dati sensibili scambiati tra la vittima e i server dell'avversario, senza attivare alcun avviso. Si tratta di un rilevatore di monitoraggio dei file e ha requisiti specifici per la versione di GKE. Questo rilevatore è disattivato per impostazione predefinita. Per istruzioni su come abilitarlo, vedi Testare Container Threat Detection. |
Questo rilevatore monitora le modifiche al file del certificato radice. |
| Esecuzione: file binario aggiuntivo dannoso eseguito | ADDED_MALICIOUS_BINARY_EXECUTED |
È stato eseguito un binario che soddisfa le seguenti condizioni:
Se viene eseguito un binario dannoso aggiunto, è un chiaro segnale che un malintenzionato ha il controllo del workload e sta eseguendo software dannoso. I risultati sono classificati come gravità Critica. |
Il rilevatore cerca un binario in esecuzione che non faceva parte dell'immagine container originale ed è stato identificato come dannoso in base alle informazioni sulle minacce. |
| Esecuzione: libreria dannosa aggiuntiva caricata | ADDED_MALICIOUS_LIBRARY_LOADED |
È stata caricata una libreria che soddisfa le seguenti condizioni:
Se viene caricata una libreria dannosa aggiunta, è un chiaro segnale che un utente malintenzionato ha il controllo del carico di lavoro e sta eseguendo software dannoso. I risultati sono classificati come gravità Critica. |
Il rilevatore cerca una libreria caricata che non faceva parte dell'immagine container originale ed è stata identificata come dannosa in base alle informazioni sulle minacce. |
| Esecuzione: file binario dannoso integrato eseguito | BUILT_IN_MALICIOUS_BINARY_EXECUTED |
È stato eseguito un binario che soddisfa le seguenti condizioni:
Se viene eseguito un file binario dannoso integrato, è un segnale che l'attaccante sta eseguendo il deployment di container dannosi. Potrebbero aver ottenuto il controllo di un repository di immagini o di una pipeline di build di container legittimi e aver inserito un binario dannoso nell'immagine container. I risultati sono classificati come gravità Critica. |
Il rilevatore cerca un file binario in esecuzione incluso nell'immagine container originale e identificato come dannoso in base all'intelligence sulle minacce. |
| Esecuzione: container escape | CONTAINER_ESCAPE |
All'interno del container è stato eseguito un processo che ha tentato di uscire dall'isolamento del container, dando potenzialmente all'attaccante l'accesso al sistema host. Se viene rilevato un tentativo di attacco container escape, potrebbe indicare che un malintenzionato sta sfruttando le vulnerabilità per uscire dal container. Di conseguenza, l'aggressore potrebbe ottenere l'accesso non autorizzato al sistema host o a un'infrastruttura più ampia, compromettendo l'intero ambiente. I risultati sono classificati come gravità Critica. |
Il rilevatore monitora i processi che tentano di sfruttare i limiti dei container che utilizzano tecniche o file binari di escape noti. Questi processi sono contrassegnati dall'intelligence sulle minacce come potenziali attacchi che prendono di mira il sistema host sottostante. |
| Esecuzione: esecuzione senza file in /memfd: | FILELESS_EXECUTION_DETECTION_MEMFD |
È stato eseguito un processo utilizzando un descrittore di file in memoria. Se un processo viene avviato da un file in memoria, ciò potrebbe indicare che un utente malintenzionato sta tentando di aggirare altri metodi di rilevamento per eseguire codice dannoso. I risultati sono classificati come gravità Alta. |
Il rilevatore monitora i processi eseguiti da
/memfd:.
|
| Esecuzione: Esecuzione della vulnerabilità Ingress Nightmare (anteprima) | INGRESS_NIGHTMARE_VULNERABILITY_EXPLOITATION |
L'esecuzione di CVE-2025-1974
può essere rilevata monitorando le esecuzioni di Nginx con argomenti che
includono riferimenti al file system
Questa classe di vulnerabilità può consentire a utenti malintenzionati di eseguire
codice arbitrario all'interno del controller I risultati sono classificati come gravità Media. |
Questo rilevatore monitora il container ingress-nginx per
le esecuzioni di Nginx che hanno argomenti che includono riferimenti al
file system /proc, indicando una potenziale esecuzione di codice remoto.
|
| Esecuzione: esecuzione dello strumento di attacco Kubernetes | KUBERNETES_ATTACK_TOOL_EXECUTION |
Nell'ambiente è stato eseguito uno strumento di attacco specifico per Kubernetes, il che potrebbe indicare che un malintenzionato sta prendendo di mira i componenti del cluster Kubernetes. Se uno strumento di attacco viene eseguito all'interno dell'ambiente Kubernetes, ciò potrebbe suggerire che un malintenzionato ha ottenuto l'accesso al cluster e sta utilizzando lo strumento per sfruttare vulnerabilità o configurazioni specifiche di Kubernetes. I risultati sono classificati come gravità Critica. |
Il rilevatore cerca strumenti di attacco Kubernetes in esecuzione e identificati come potenziali minacce in base ai dati di intelligence. Il detector attiva avvisi per mitigare potenziali compromissioni nel cluster. |
| Esecuzione: esecuzione dello strumento di ricognizione locale | LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
È stato eseguito uno strumento di ricognizione locale non associato in genere al container o all'ambiente, il che suggerisce un tentativo di raccogliere informazioni sul sistema interno. Se viene eseguito uno strumento di ricognizione, ciò suggerisce che l'attaccante potrebbe tentare di mappare l'infrastruttura, identificare le vulnerabilità o raccogliere dati sulle configurazioni di sistema per pianificare i passaggi successivi. I risultati sono classificati come gravità Critica. |
Il rilevatore monitora l'esecuzione di strumenti di ricognizione noti all'interno dell'ambiente, identificati tramite la threat intelligence, che potrebbero indicare la preparazione di attività più dannose. |
| Esecuzione: Python dannoso eseguito | MALICIOUS_PYTHON_EXECUTED |
Un modello di machine learning ha identificato il codice Python specificato come dannoso. Gli autori degli attacchi possono utilizzare Python per trasferire strumenti o altri file da un sistema esterno a un ambiente compromesso ed eseguire comandi senza file binari. I risultati sono classificati come gravità Critica. |
Il rilevatore utilizza tecniche di NLP per valutare il contenuto del codice Python eseguito. Poiché questo approccio non si basa sulle firme, i rilevatori possono identificare Python noti e nuovi. |
| Esecuzione: file binario dannoso modificato eseguito | MODIFIED_MALICIOUS_BINARY_EXECUTED |
È stato eseguito un binario che soddisfa le seguenti condizioni:
Se viene eseguito un binario dannoso modificato, è un chiaro segnale che un malintenzionato ha il controllo del workload e sta eseguendo software dannoso. I risultati sono classificati come gravità Critica. |
Il rilevatore cerca un file binario in esecuzione che in origine era incluso nell'immagine container, ma è stato modificato durante l'esecuzione ed è stato identificato come dannoso in base all'intelligence sulle minacce. |
| Esecuzione: libreria dannosa modificata caricata | MODIFIED_MALICIOUS_LIBRARY_LOADED |
È stata caricata una libreria che soddisfa le seguenti condizioni:
Se viene caricata una libreria dannosa modificata, è un chiaro segnale che un malintenzionato ha il controllo del carico di lavoro e sta eseguendo software dannoso. I risultati sono classificati come gravità Critica. |
Il rilevatore cerca una libreria caricata originariamente inclusa nell'immagine container, ma modificata durante l'esecuzione e identificata come dannosa in base alle informazioni sulle minacce. |
| Esecuzione: esecuzione di codice remoto Netcat nel container | NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER |
Netcat, un'utilità di rete versatile, è stata eseguita all'interno dell'ambiente container, il che potrebbe indicare un tentativo di stabilire un accesso remoto non autorizzato o di esfiltrare dati. L'utilizzo di Netcat in un ambiente containerizzato potrebbe segnalare il tentativo di un aggressore di creare una shell inversa, consentire il movimento laterale o eseguire comandi arbitrari, il che potrebbe compromettere l'integrità del sistema. I risultati sono classificati come gravità Bassa. |
Il rilevatore monitora l'esecuzione di Netcat all'interno del container, perché il suo utilizzo negli ambienti di produzione è raro e potrebbe segnalare un tentativo di aggirare i controlli di sicurezza o eseguire comandi remoti. |
| Esecuzione: possibile esecuzione di comandi arbitrari tramite CUPS (CVE-2024-47177) | POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS |
Un utente non root ha eseguito
Questa regola rileva l'esecuzione del processo I risultati sono classificati come gravità Critica. |
Il rilevatore cerca qualsiasi processo shell che sia un processo secondario del processo foomatic-rip.
|
| Esecuzione: possibile esecuzione di comando remoto rilevata | POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED |
È stato rilevato un processo che genera comandi UNIX comuni tramite una connessione socket di rete, il che indica un potenziale tentativo di stabilire funzionalità di esecuzione di comandi remoti non autorizzate. Gli autori degli attacchi utilizzano spesso tecniche che imitano le shell inverse per ottenere il controllo interattivo su un sistema compromesso, consentendo loro di eseguire comandi arbitrari da remoto e aggirare le misure di sicurezza di rete standard, come le restrizioni del firewall. Il rilevamento dell'esecuzione di comandi su un socket è un forte indicatore di accesso remoto dannoso. I risultati sono classificati come gravità Media. |
Questo rilevatore monitora la creazione di socket di rete seguita dall'esecuzione di comandi shell UNIX standard. Questo pattern suggerisce un tentativo di creare un canale segreto per l'esecuzione di comandi remoti, che potrebbe consentire ulteriori attività dannose sull'host compromesso. |
| Esecuzione: Program Run with Disallowed HTTP Proxy Env | PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV |
È stato eseguito un programma con una variabile di ambiente proxy HTTP non consentita. Ciò può indicare un tentativo di aggirare i controlli di sicurezza, reindirizzare il traffico per scopi dannosi o estrarre dati tramite canali non autorizzati. Gli autori degli attacchi potrebbero configurare proxy HTTP non consentiti per intercettare informazioni sensibili, instradare il traffico attraverso server dannosi o stabilire canali di comunicazione segreti. Il rilevamento dell'esecuzione di programmi con queste variabili di ambiente è fondamentale per mantenere la sicurezza della rete e prevenire violazioni dei dati. I risultati sono classificati come gravità Bassa. |
Questo rilevatore monitora l'esecuzione di programmi con variabili di ambiente proxy HTTP che sono specificamente vietate. L'utilizzo di questi proxy, in particolare se inaspettato, può indicare attività dannose e richiede un'indagine immediata. |
| Esecuzione: Socat Reverse Shell Detected | SOCAT_REVERSE_SHELL_DETECTED |
Il comando Questa regola rileva l'esecuzione di socat per creare una shell inversa reindirizzando i descrittori di file stdin, stdout e stderr. Si tratta di una tecnica comune utilizzata dagli aggressori per ottenere l'accesso remoto a un sistema compromesso. I risultati sono classificati come gravità Media. |
Il rilevatore cerca qualsiasi processo shell che sia il processo secondario
di un processo socat.
|
| Esecuzione: Modifica Cron sospetta (Anteprima) | SUSPICIOUS_CRON_MODIFICATION |
È stato modificato un file di configurazione
Le modifiche ai job Si tratta di un rilevatore di monitoraggio dei file e ha requisiti specifici per la versione di GKE. Questo rilevatore è disattivato per impostazione predefinita. Per istruzioni su come abilitarlo, vedi Testare Container Threat Detection. |
Questo rilevatore monitora le modifiche ai file di configurazione di cron.
|
| Esecuzione: Oggetto condiviso OpenSSL sospetto caricato | SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED |
OpenSSL è stato eseguito per caricare un oggetto condiviso personalizzato. Gli autori di attacchi potrebbero caricare librerie personalizzate e sostituire quelle esistenti utilizzate da OpenSSL per eseguire codice dannoso. Il suo utilizzo in produzione è raro e dovrebbe giustificare un'indagine immediata. I risultati sono classificati come gravità Critica. |
Questo rilevatore monitora l'esecuzione del comando
openssl engine per caricare i file
.so personalizzati.
|
| Esfiltrazione: avvia strumenti di copia file remoti nel container | LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER |
È stata rilevata l'esecuzione di uno strumento di copia di file remoti all'interno del container, il che indica una potenziale esfiltrazione di dati, un movimento laterale o la distribuzione di payload dannosi. Gli aggressori spesso utilizzano questi strumenti per trasferire dati sensibili al di fuori del container, spostarsi lateralmente all'interno della rete per compromettere altri sistemi o introdurre malware per ulteriori attività dannose. Il rilevamento dell'utilizzo di strumenti di copia remota dei file è fondamentale per prevenire violazioni dei dati, accessi non autorizzati e ulteriori compromissioni del container e potenzialmente del sistema host. I risultati sono classificati come gravità Bassa. |
Questo rilevatore monitora l'esecuzione di strumenti di copia file remoti noti all'interno dell'ambiente container. La loro presenza, soprattutto se inaspettata, potrebbe indicare un'attività dannosa. |
| Impatto: Rileva cmdline dannose | DETECT_MALICIOUS_CMDLINES |
È stato eseguito un comando con argomenti noti per essere potenzialmente distruttivi, ad esempio tentativi di eliminare file di sistema critici o modificare configurazioni relative alle password. Gli autori degli attacchi potrebbero emettere righe di comando dannose per causare instabilità del sistema, impedire il ripristino eliminando file essenziali o ottenere l'accesso non autorizzato manipolando le credenziali utente. Il rilevamento di questi pattern di comando specifici è fondamentale per evitare un impatto significativo sul sistema. I risultati sono classificati come gravità Critica. |
Questo rilevatore monitora l'esecuzione di argomenti della riga di comando che corrispondono a pattern associati a danni al sistema o escalation dei privilegi. La presenza di questi comandi indica un potenziale tentativo attivo di influire negativamente sulla disponibilità o sulla sicurezza del sistema. |
| Impatto: Rimuovi dati collettivi dal disco | REMOVE_BULK_DATA_FROM_DISK |
È stato rilevato un processo che esegue operazioni di eliminazione collettiva dei dati, il che potrebbe indicare un tentativo di cancellare prove, interrompere i servizi o eseguire un attacco di cancellazione dei dati all'interno dell'ambiente del container. I malintenzionati potrebbero rimuovere grandi volumi di dati per coprire le loro tracce, sabotare le operazioni o prepararsi per l'implementazione di ransomware. Il rilevamento di queste attività aiuta a identificare potenziali minacce prima che si verifichi una perdita di dati critica. I risultati sono classificati come gravità Bassa. |
Il rilevatore monitora i comandi e i processi associati all'eliminazione di dati collettivi o ad altri strumenti di cancellazione dei dati per identificare attività sospette che potrebbero compromettere l'integrità del sistema. |
| Impatto: attività sospetta di cryptomining mediante il protocollo Stratum | SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL |
È stato rilevato un processo di comunicazione tramite il protocollo Stratum, che viene comunemente utilizzato dal software di mining di criptovalute. Questa attività suggerisce potenziali operazioni di mining non autorizzate all'interno dell'ambiente del container. Gli autori degli attacchi spesso implementano crypto miner per sfruttare le risorse di sistema a scopo di ottenere un guadagno finanziario, con conseguente riduzione delle prestazioni, aumento dei costi operativi e potenziali rischi per la sicurezza. Il rilevamento di queste attività contribuisce a mitigare l'abuso delle risorse e l'accesso non autorizzato. I risultati sono classificati come gravità Alta. |
Questo rilevatore monitora l'utilizzo noto del protocollo Stratum all'interno dell'ambiente. Poiché i carichi di lavoro dei container legittimi in genere non utilizzano Stratum, la sua presenza potrebbe indicare operazioni di mining non autorizzate o un container compromesso. |
| Script dannoso eseguito | MALICIOUS_SCRIPT_EXECUTED |
Un modello di machine learning ha identificato il codice Bash specificato come dannoso. Gli autori degli attacchi possono utilizzare Bash per trasferire strumenti o altri file da un sistema esterno a un ambiente compromesso ed eseguire comandi senza file binari. I risultati sono classificati come gravità Critica. |
Il rilevatore utilizza tecniche di NLP per valutare i contenuti del codice Bash eseguito. Poiché questo approccio non si basa su firme, i rilevatori possono identificare bash dannosi noti e nuovi. |
| Rilevato URL dannoso | MALICIOUS_URL_OBSERVED |
Container Threat Detection ha rilevato un URL dannoso nell'elenco degli argomenti di un processo in esecuzione. I risultati sono classificati come gravità Media. |
Il rilevatore controlla gli URL osservati nell'elenco degli argomenti dei processi in esecuzione rispetto agli elenchi di risorse web non sicure gestiti dal servizio Navigazione sicura di Google. Se un URL viene classificato erroneamente come phishing o malware, segnalalo all'indirizzo Segnalazione di dati errati. |
| Persistenza: modifica ld.so.preload (anteprima) | MODIFY_LD_SO_PRELOAD |
È stato effettuato un tentativo di modificare il file
Le modifiche a Si tratta di un rilevatore di monitoraggio dei file e ha requisiti specifici per la versione di GKE. Questo rilevatore è disattivato per impostazione predefinita. Per istruzioni su come abilitarlo, vedi Testare Container Threat Detection. |
Questo rilevatore monitora i tentativi di modificare il file ld.so.preload. |
| Escalation dei privilegi: abuso di Sudo per l'escalation dei privilegi (CVE-2019-14287) | ABUSE_OF_SUDO_FOR_PRIVILEGE_ESCALATION |
Questo rilevamento segnala un tentativo di sfruttamento di CVE-2019-14287,
che consente l'escalation dei privilegi tramite l'abuso del comando sudo.
Le versioni di I risultati sono classificati come gravità Critica. |
Il rilevatore cerca qualsiasi esecuzione di sudo che abbia
argomenti -u#-1 o -u#4294967295.
|
| Escalation dei privilegi: esecuzione senza file in /dev/shm | FILELESS_EXECUTION_DETECTION_SHM |
È stato eseguito un processo da un percorso all'interno di
Se esegue un file da I risultati sono classificati come gravità Alta. |
Il rilevatore cerca qualsiasi processo eseguito da
/dev/shm
|
| Escalation dei privilegi: vulnerabilità di escalation dei privilegi locali di Polkit (CVE-2021-4034) | POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY |
Un utente non root ha eseguito
Questa regola rileva un tentativo di sfruttare una vulnerabilità di escalation dei privilegi (CVE-2021-4034) in I risultati sono classificati come gravità Critica. |
Il rilevatore cerca qualsiasi esecuzione di pkexec in cui è impostata la variabile di ambiente GCONV_PATH.
|
| Escalation dei privilegi: potenziale escalation dei privilegi di Sudo (CVE-2021-3156) | SUDO_POTENTIAL_PRIVILEGE_ESCALATION |
Un utente non root ha eseguito
Rileva un tentativo di sfruttare una vulnerabilità che interessa
I risultati sono classificati come gravità Critica. |
Il rilevatore cerca qualsiasi esecuzione di sudo o sudoedit che tenti di utilizzare argomenti identificati come parte dell'exploit CVE-2021-4034.
|
| Shell inversa | REVERSE_SHELL |
Un processo avviato con il reindirizzamento del flusso a un socket connesso in remoto. Con una shell inversa, un malintenzionato può comunicare da un carico di lavoro compromesso a una macchina controllata dall'aggressore. L'autore dell'attacco può quindi comandare e controllare il workload, ad esempio come parte di una botnet. I risultati sono classificati come gravità Critica. |
Il rilevatore cerca stdin associato a una presa remota.
|
| Shell secondaria imprevista | UNEXPECTED_CHILD_SHELL |
Un processo che normalmente non richiama shell ha generato un processo shell. I risultati sono classificati come gravità Critica. |
Il rilevatore monitora tutte le esecuzioni dei processi. Quando viene richiamata una shell, il rilevatore genera un risultato se è noto che il processo padre non richiama in genere le shell. |
Passaggi successivi
- Scopri di più su come utilizzare Container Threat Detection.
- Scopri di più su come testare Container Threat Detection.
- Scopri come analizzare e sviluppare piani di risposta alle minacce.
- Scopri di più su Artifact Analysis e analisi delle vulnerabilità.