Security Centerコンソールの [Container Protection Settings] タブには、Kubernetesコンテナーでの脅威検出やコンテナーのエスケープ防止など、コンテナー関連の機能が表示されます。 機能を有効にして、コンテナーの実行時のセキュリティを確保できます。 このトピックでは、[コンテナー保護の設定] タブで有効にできる機能について説明します。 このトピックでは、機能を有効にする方法についても説明します。
Kubernetesコンテナの脅威検出
Kubernetesコンテナでの脅威検出機能は、実行中のコンテナークラスターのセキュリティステータスをリアルタイムでチェックし、セキュリティの脅威と攻撃をできるだけ早く検出します。 Kubernetesコンテナで脅威検出機能を有効にすると、K8s異常動作タイプのアラートをトリガーする脅威が自動的に検出されます。 セキュリティセンターで検出できる脅威の詳細については、「検出できる脅威」をご参照ください。
制限事項
この機能をサポートしているのは、Security CenterのUltimateエディションのみです。 Security Centerの購入とアップグレード方法の詳細については、「Security Centerの購入」および「Security Centerのアップグレードとダウングレード」をご参照ください。
Kubernetesコンテナでの脅威検出の有効化
Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、を選択します。
コンテナ保護の設定のタブ設定タブで、脅威検出をオンにします。Kubernetesコンテナの脅威検出セクションにアクセスします。
スイッチをオンにした後、Security CenterがKubernetesクラスターで脅威を検出すると、アラートが生成され、 ページに表示されます。 できるだけ早い機会にアラートを表示して処理することをお勧めします。 詳細については、「アラートの表示と処理」をご参照ください。
説明クラウド脅威検出および応答 (CTDR) 機能が有効になっている場合、セキュリティアラートの処理へのエントリポイントが変更されます。 詳細については、「CTDR機能を有効にした後のSecurity Centerコンソールの変更」をご参照ください。
検出できる脅威
タイプ | 項目 |
K8sの異常な行動 | Kubernetes APIサーバーで実行される疑わしい命令 |
疑わしいディレクトリのポッドへのマウント | |
Kubernetesサービスアカウント間の横方向の移動 | |
悪意のあるイメージを含むポッドの起動 | |
異常なネットワーク接続 | 逆シェルのアウトバウンド接続 |
疑わしいアウトバウンドネットワーク接続 | |
内部ネットワークにおける疑わしい横方向の動き | |
マルウェア | DDoSトロイの木馬 |
マイニングマシンからの疑わしい接続 | |
疑わしいプログラム | |
ポートに対するブルートフォース攻撃を開始する疑わしいツール | |
疑わしい攻撃プログラム | |
Backdoorプログラム | |
悪意のある脆弱性検出ツール | |
悪意のあるプログラム | |
マイニングプログラム | |
トロイの木馬 | |
自己変異型トロイの木馬 | |
ワーム | |
ウェブシェル | WebShell |
疑わしいプロセス | Apache CouchDBによって実行される疑わしいコマンド |
FTPアプリケーションによって実行される疑わしいコマンド | |
Hadoopによって実行される疑わしいコマンド | |
Javaアプリケーションで実行される疑わしいコマンド | |
Jenkinsが実行する疑わしいコマンド | |
Linuxでの不審なアカウント作成 | |
Linuxでスケジュールされたタスクによって実行される疑わしいコマンド | |
MySQLによって実行される疑わしいコマンド | |
Oracleによって実行される疑わしいコマンド | |
PostgreSQLアプリケーションで実行される疑わしいコマンド | |
Pythonアプリケーションで実行される疑わしいコマンド | |
リモートマシンを対象とする1行のみを含む非対話型SSHコマンドの不審な実行 | |
疑わしいプローブコマンドを実行するWebshell | |
ポート3389のWindows RDP設定の変更 | |
Windowsでのダウンロードコマンドの不審な実行 | |
Windowsでの不審なアカウント作成 | |
crontabジョブでの悪意のあるコード挿入 | |
Linuxでの疑わしいコマンドシーケンス | |
Linuxでの疑わしいコマンドの実行 | |
疑わしいスクリプトの動的注入 | |
逆シェル | |
シェルの逆方向コマンド | |
HTTPトンネルを使用したデータ侵害の可能性 | |
疑わしいSSHトンネリング | |
疑わしいウェブシェル注入 | |
特権コンテナの不審な起動 | |
疑わしいポートリスニング | |
悪意のあるコンテナーの起動 | |
セキュリティリスクをもたらす可能性のあるDockerでのリモートAPIデバッグ | |
疑わしいコマンド | |
コンテナまたはコンテナエスケープでの特権エスカレーション | |
悪意のあるコンテナーの起動 |
コンテナ脱出防止
コンテナーエスケープ防止機能は、プロセス、ファイル、システムコールの高リスクの動作を検出します。 この機能は、コンテナーとホストの間に保護バリアを確立し、エスケープを効果的に遮断してコンテナーランタイムのセキュリティを確保します。 この機能は、既知および未知の攻撃モードからも防御し、攻撃者がコンテナの脆弱性を悪用した後にホストで開始される攻撃を遮断します。
前提条件
悪意のあるホスト行動からの保護またはWeb サイトのバックドア攻撃からの保護のスイッチがオンになっています。 詳細については、「プロアクティブ防御」をご参照ください。
コンテナーエスケープ防止の有効化
Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、を選択します。
コンテナ保護の設定のタブ設定タブで、脅威検出をオンにします。コンテナ脱出防止セクションにアクセスします。
次のステップ
[Container Escape Prevention] セクションでスイッチをオンにした後、コンテナーエスケープに対する防御ルールを作成して、コンテナーエスケープの機能を有効にする必要があります。 詳細については、「コンテナーエスケープ防止の使用」をご参照ください。
この機能が有効になった後、Security CenterがKubernetesコンテナークラスターでセキュリティリスクを検出すると、リスクに対するアラートが生成され、 ページにアラートが表示されます。 できるだけ早い機会にアラートを表示して処理することをお勧めします。 詳細については、「アラートの表示と処理」をご参照ください。
説明CTDR機能が有効になっている場合、セキュリティアラートの処理へのエントリポイントが変わります。 詳細については、「CTDR機能を有効にした後のSecurity Centerコンソールの変更」をご参照ください。