Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Host Security Service/ Guia de usuário/ Detecção de intrusão/ Alarmes/ Alarmes de containers/ Eventos de alarme de container
Atualizado em 2024-01-04 GMT+08:00
Ver PDF
Compartilhar

Eventos de alarme de container

Depois que a proteção de nó é ativada, um agente é implementado em cada host de container para monitorar o status de execução dos containers em tempo real. Os agentes oferecem suporte à detecção de escape, chamadas de sistema de alto risco, processos anormais, arquivos anormais e detecção de ambiente de container. Você pode aprender os eventos de alarme de forma abrangente na página Container Alarms e excluir os riscos de segurança em seus ativos em tempo hábil.

Restrições

  • Somente a edição de container do HSS suporta a função de alarme de segurança do container. Para obter detalhes sobre como comprar e atualizar o HSS, consulte Compra de uma cota de HSS e Atualização de sua edição.
  • A função de alarme de segurança de container suporta detecção de intrusão e relatórios de alarme para os seguintes componentes de tempo de execução de container do Linux:
    • Containerd
    • Docker

Tipos de alarmes de containers

Tipo de evento

Nome do alarme

Mecanismo

Malware

Malware não classificado

Verificar malware, como web shells, cavalos de Troia, software de mineração, worms e outros vírus e variantes. O malware é encontrado e removido pela análise das características e comportamentos do programa, algoritmos de impressão digital de imagem de IA e verificação e eliminação na nuvem.

Ransomware

Verificar se há ransomware em páginas da Web, software, e-mails e mídia de armazenamento.

O ransomware pode criptografar e controlar seus ativos de dados, como documentos, e-mails, bancos de dados, código-fonte, imagens e arquivos compactados, para aproveitar a extorsão da vítima.

Web shells

Verificar se os arquivos (frequentemente arquivos PHP e JSP) nos diretórios da Web em containers são web shells.

Ferramentas de hackers

Relatar alarmes sobre os comportamentos maliciosos que exploram vulnerabilidades ou são realizados usando ferramentas de hackers.

Explorações de vulnerabilidades

Escapes de vulnerabilidade

O HSS relata um alarme se detectar o comportamento do processo de container que corresponda ao comportamento de vulnerabilidades conhecidas (como Dirty COW, ataque de força bruta, runC e shocker).

Escapes de arquivo

O HSS relata um alarme se detectar que um processo de container acessa um diretório de arquivos de chave (por exemplo, /etc/shadow ou /etc/crontab). Diretórios que atendem às regras de mapeamento de diretório de container também podem acionar esses alarmes.

Comportamentos anormais do sistema

Shells reversos

Monitorar os comportamentos do processo do usuário em tempo real para relatar alarmes e bloquear shells reversos causados por conexões inválidas.

Os shells reversos podem ser detectados para protocolos, incluindo TCP, UDP e ICMP.

Você pode configurar a regra de detecção de shell reverso e o bloqueio automático na regra de Malicious File Detection na página Policies. O HSS verificará se há comandos suspeitos ou executados remotamente.

Você também pode configurar o bloqueio automático de shells reversos na regra de HIPS Detection na página Policies.

Escalonamentos de privilégio de arquivo

Relatar alarmes sobre escalações de privilégios raiz que exploram vulnerabilidades de programas SUID e SGID.

Escalonamentos de privilégio do processo

Depois que os hackers invadirem os containers, eles tentarão explorar as vulnerabilidades para conceder a si mesmos as permissões raiz ou adicionar permissões para arquivos. Dessa forma, eles podem criar contas do sistema ilegalmente, modificar permissões de conta e adulterar arquivos.

O HSS pode detectar as seguintes operações de escalonamento de privilégios anormais:

  • Escalonamento de privilégio raiz explorando vulnerabilidades do programa SUID
  • Escalonamento de privilégios raiz explorando vulnerabilidades do kernel
  • Escalonamento de privilégio de arquivo

Mudanças de arquivo importante

Monitorar arquivos importantes do sistema (como ls, ps, login e top) em tempo real e gerar alarmes se esses arquivos forem modificados. Para obter mais informações, consulte Caminhos de arquivos importantes monitorados.

O HSS reporta todas as alterações em arquivos importantes, independentemente de as alterações serem realizadas manualmente ou por processos.

Comportamentos anormais do processo

Verificar os processos em servidores, incluindo seus IDs, linhas de comando, caminhos de processo e comportamento.

Enviar alarmes sobre operações de processo não autorizadas e intrusões.

O seguinte comportamento anormal do processo pode ser detectado:

  • Uso anormal da CPU
  • Processos que acessam endereços IP maliciosos
  • Aumento anormal nas conexões de processos simultâneos

Chamadas de sistema de alto risco

O CGS relata um alarme se detecta uma chamada de alto risco, como open_by_handle_at, ptrace, setns ou reboot.

Execuções de comando de alto risco

Verificar os comandos executados nos containers e gerar alarmes se os comandos de alto risco forem detectados.

Processos de container anormal
  • Programa de container malicioso

    O HSS monitora o comportamento do processo do container e processa as impressões digitais do arquivo. Ele informa um alarme se detectar um processo cujas características de comportamento correspondam às de um programa malicioso predefinido.

  • Processos anormais

    Se tiver a certeza de que apenas processos específicos são executados em um container, pode colocar na lista branca os processos na página Policy Groups e vincular a política ao container.

    O HSS relata um alarme se detectar que um processo que não está na lista branca está sendo executado no container.

Acesso a arquivos sensíveis

O HSS monitora os arquivos de imagem de container vinculados às políticas de proteção de arquivos e relata um alarme se os arquivos forem modificados.

Inicializações anormais de containers

O HSS monitora as inicializações de container e relata um alarme se detectar que um container com muitas permissões foi iniciado. Este alarme não indica um ataque real. Os ataques que exploram esse risco acionarão outros alarmes de containers do HSS.

Os itens de verificação do container do HSS incluem:

  • Inicialização de container privilegiada (privileged:true)

    Os alarmes são acionados pelos containers iniciados com as permissões máximas. As configurações que podem acionar tais alarmes incluem o parâmetro –privileged=true no comando docker run e privileged: true em securityContext do container em um pod do Kubernetes.

    Se o nome do alarme for Container Security Options e o conteúdo do alarme contiver privileged:true, isso indicará que o container foi iniciado no modo de container privilegiado.

  • Muitos recursos de containers (capability:[xxx])

    Nos SOs de Linux, as permissões do sistema são divididas em grupos antes de serem atribuídas aos containers. Um container tem apenas um número limitado de permissões e o escopo de impacto desse container é limitado no caso de um incidente. No entanto, usuários maliciosos podem conceder todas as permissões do sistema a um container modificando suas configurações de inicialização.

    Se o nome do alarme for Container Security Options e o conteúdo do alarme contiver capabilities:[xxx], isso indicará que o container foi iniciado com um conjunto de capacidades excessivamente grande, o que representa riscos.

  • Seccomp não habilitado (seccomp=unconfined)

    O modo de computação segura (seccomp) é um recurso do kernel do Linux. Ele pode restringir as chamadas do sistema invocadas por processos para reduzir a superfície de ataque do kernel. Se seccomp=unconfined for configurado quando um container for iniciado, as chamadas do sistema não serão restritas para o container.

    Se o nome do alarme for Container Security Options e o conteúdo do alarme contiver seccomp=unconfined, isso indica que o container foi iniciado sem seccomp, o que representa riscos.

    NOTA:

    Se seccomp estiver habilitado, as permissões serão verificadas para cada chamada do sistema. As verificações provavelmente afetarão os serviços se as chamadas do sistema forem frequentes. Antes de decidir se deseja habilitar o seccomp, é aconselhável habilitá-lo e analisar o impacto em seus serviços.

  • Escalonamento de privilégios de container (no-new-privileges:false)

    O CGS relata um alarme se detectar que um processo tenta escalonar permissões executando o comando sudo e usando o bit SUID ou SGID.

    Se –no-new-privileges=false for especificado quando um container for iniciado, o container poderá escalar privilégios.

    Se o nome do alarme for Container Security Options e o conteúdo do alarme contiver no-new-privileges:false, isso indica que a restrição de escalonamento de privilégio está desabilitada para o container, o que representa riscos.

  • Mapeamento de diretório de alto risco (mounts:[...])

    Para fins de conveniência, quando um container é iniciado em um servidor, os diretórios do servidor podem ser mapeados para o container. Dessa forma, os serviços no container podem ler e gravar recursos diretamente no servidor. No entanto, esse mapeamento incorre em riscos de segurança. Se qualquer diretório crítico no SO do servidor for mapeado para o container, operações incorretas no container provavelmente danificarão o SO do servidor.

    O HSS reporta um alarme se detectar que um caminho crítico do servidor (/boot, /dev, /etc, /sys, /var/run) está montado durante a inicialização do container.

    Se o nome do alarme for Container Mount Point e o conteúdo do alarme contiver mounts:[{"source":"xxx","destination":"yyy"...], isso indica que um caminho de arquivo mapeado para o container não é seguro. Nesse caso, verifique se há mapeamentos de diretório arriscados. Você pode configurar os caminhos de montagem que são considerados seguros na política de coleta de informações de container.

    NOTA:

    Alarmes não serão acionados para os arquivos que precisam ser acessados com frequência por containers do Docker, como /etc/hosts e /etc/resolv.conf.

  • Inicialização de containers no namespace de host

    O namespace de um container deve ser isolado do namespace de um servidor. Se um container e um servidor usarem o mesmo namespace, o container poderá acessar e modificar o conteúdo no servidor, o que acarreta riscos de escape do container. Para evitar esses problemas, o HSS verifica o PID do container, a rede e se o namespace do container é host.

    Se o nome do alarme for Container Namespace e o conteúdo do alarme contiver Container PID Namespace Mode, Container IPC Namespace Mode ou Container Network Namespace Mode, isso indicará que um container cujo namespace é host foi iniciado. Nesse caso, verifique as opções de inicialização do container com base nas informações de alarme. Se tiver certeza de que o container pode ser confiável, você pode ignorar o alarme.

Bloqueio de imagem do container

Se um container contiver imagens inseguras especificadas em Comportamentos suspeitos de imagem, antes que o container seja iniciado, um alarme será gerado para as imagens inseguras.

NOTA:

Você precisa instalar o plug-in do Docker.

Execuções de comandos suspeitos
  • Verificar se uma tarefa agendada ou uma tarefa de inicialização automatizada é criada ou excluída executando comandos ou ferramentas.
  • Detectar execução de comandos remotos suspeitos.

Comportamentos anormais do usuário

Contas inválidas

Os hackers provavelmente podem quebrar contas inseguras em seus containers e controlar os containers.

O HSS verifica se há contas ocultas suspeitas e contas clonadas e gera alarmes sobre elas.

Ataques de força bruta

Detectar e relatar alarmes para comportamentos de ataque de força bruta, como tentativas de ataque de força bruta e ataques de força bruta bem-sucedidos, em containers.

Detectar ataques de força bruta SSH, Web e Enumdb em containers.

NOTA:

Atualmente, os ataques de força bruta podem ser detectados apenas no tempo de execução do Docker.

Roubos de senhas

Relatar alarmes sobre roubo de chave do usuário.

Acesso anormal à rede

Conexões de saída anormais

Relatar alarmes sobre endereços IP suspeitos que iniciam conexões de saída.

Encaminhamento de porta

Relatar alarmes no encaminhamento de porta usando ferramentas suspeitas.

Comportamentos anormais do cluster

Comportamentos anormais do pod

Detectar operações anormais, como a criação de pods privilegiados, pods estáticos e pods sensíveis em um cluster e operações anormais realizadas em pods existentes e relatar alarmes.

Enumerações de informações do usuário

Detectar as operações de enumerar as permissões e a lista de operações executáveis dos usuários do cluster e relatar alarmes.

Vinculação de funções de cluster

Detectar operações como vinculação ou criação de uma função de cluster de alto privilégio ou conta de serviço e relatar alarmes.

Exclusões de eventos do Kubernetes

Detectar a exclusão de eventos do Kubernetes e relatar alarmes.

Caminhos de arquivos importantes monitorados

Tipo

Linux

bin

/bin/ls

/bin/ps

/bin/bash

/bin/login

usr

/usr/bin/ls

/usr/bin/ps

/usr/bin/bash

/usr/bin/login

/usr/bin/passwd

/usr/bin/top

/usr/bin/killall

/usr/bin/ssh

/usr/bin/wget

/usr/bin/curl
Tópico principal: Alarmes de containers