计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
弹性伸缩 AS
镜像服务 IMS
专属主机 DeH
函数工作流 FunctionGraph
云手机服务器 CPH
Huawei Cloud EulerOS
网络
虚拟私有云 VPC
弹性公网IP EIP
虚拟专用网络 VPN
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
VPC终端节点 VPCEP
云连接 CC
企业路由器 ER
企业交换机 ESW
全球加速 GA
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
边缘安全 EdgeSec
威胁检测服务 MTD
CDN与智能边缘
内容分发网络 CDN
CloudPond云服务
智能边缘云 IEC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
云搜索服务 CSS
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
数据可视化 DLV
数据湖工厂 DLF
湖仓构建 LakeFormation
企业应用
云桌面 Workspace
应用与数据集成平台 ROMA Connect
云解析服务 DNS
专属云
专属计算集群 DCC
IoT物联网
IoT物联网
设备接入 IoTDA
智能边缘平台 IEF
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
国际站常见问题
ICP备案
我的凭证
支持计划
客户运营能力
合作伙伴支持计划
专业服务
区块链
区块链服务 BCS
Web3节点引擎服务 NES
解决方案
SAP
高性能计算 HPC
视频
视频直播 Live
视频点播 VOD
媒体处理 MPC
实时音视频 SparkRTC
数字内容生产线 MetaStudio
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
存储容灾服务 SDRS
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属分布式存储服务 DSS
容器
云容器引擎 CCE
容器镜像服务 SWR
应用服务网格 ASM
华为云UCS
云容器实例 CCI
管理与监管
云监控服务 CES
统一身份认证服务 IAM
资源编排服务 RFS
云审计服务 CTS
标签管理服务 TMS
云日志服务 LTS
配置审计 Config
资源访问管理 RAM
消息通知服务 SMN
应用运维管理 AOM
应用性能管理 APM
组织 Organizations
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
应用身份管理服务 OneAccess
数据库
云数据库 RDS
文档数据库服务 DDS
数据管理服务 DAS
数据复制服务 DRS
云数据库 GeminiDB
云数据库 GaussDB
分布式数据库中间件 DDM
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
人脸识别服务 FRS
图引擎服务 GES
图像识别 Image
内容审核 Moderation
文字识别 OCR
AI开发平台ModelArts
图像搜索 ImageSearch
对话机器人服务 CBS
华为HiLens
视频智能分析服务 VIAS
语音交互服务 SIS
应用中间件
分布式缓存服务 DCS
API网关 APIG
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
多活高可用服务 MAS
事件网格 EG
企业协同
华为云会议 Meeting
云通信
消息&短信 MSGSMS
云生态
合作伙伴中心
云商店
开发者工具
SDK开发指南
API签名指南
Terraform
华为云命令行工具服务 KooCLI
其他
产品价格详情
系统权限
管理控制台
客户关联华为云合作伙伴须知
消息中心
公共问题
开发与运维
应用管理与运维平台 ServiceStage
软件开发生产线 CodeArts
需求管理 CodeArts Req
部署 CodeArts Deploy
性能测试 CodeArts PerfTest
编译构建 CodeArts Build
流水线 CodeArts Pipeline
制品仓库 CodeArts Artifact
测试计划 CodeArts TestPlan
代码检查 CodeArts Check
代码托管 CodeArts Repo
云应用引擎 CAE
开天aPaaS
云消息服务 KooMessage
云手机服务 KooPhone
云空间服务 KooDrive
本文导读

容器安全告警事件概述

更新时间:2024-04-15 GMT+08:00

开启节点防护后,部署在每个容器宿主机上的Agent会对容器运行状态进行实时监控,支持逃逸检测、高危系统调用、异常进程检测、文件异常检测、容器环境等检测。用户可通过容器安全告警全面了解告警事件类型,及时发现资产中的安全威胁、实时掌握资产的安全状态。

约束限制

  • 仅HSS容器版支持容器安全告警功能。
  • 仅支持对Docker容器进行入侵检测告警。

告警事件列表说明

事件类型

告警名称

原理说明

恶意软件

未分类恶意软件

通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序,也可检测出容器中未知的恶意程序和病毒变种。

勒索软件

检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。

勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产,并以此作为向您勒索钱财的筹码。

Webshell

检测容器中Web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。

漏洞利用

漏洞逃逸攻击

HSS监控到容器内进程行为符合已知漏洞的行为特征时(例如:“脏牛”“bruteforce”“runc”“shocker”等),触发逃逸漏洞攻击告警

文件逃逸攻击

HSS监控发现容器进程访问了宿主机系统的关键文件目录(例如:“/etc/shadow”“/etc/crontab”),则认为容器内发生了逃逸文件访问,触发告警。即使该目录符合容器配置的目录映射规则,HSS仍然会触发告警。

系统异常行为

反弹Shell

实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。

支持对TCP、UDP、ICMP等协议的检测。

您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测,HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。

进程提权

当黑客成功入侵容器后,会尝试利用漏洞进行root提权或者文件提权,从而达到非法创建和修改系统账号的权限或者篡改文件的目的。

HSS支持检测以下异常提权操作:

  • 利用SUID程序漏洞进行root提权。
  • 利用内核漏洞进行root提权。
  • 对文件的提权。

高危系统调用

Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程,如果发现进程使用了危险系统调用(例如:“open_by_handle_at”“ptrace”“setns”“reboot”等),触发高危系统调用告警。

高危命令执行

实时检测容器系统中执行的高危命令,当发生高危命令执行时触发告警。

容器进程异常

  • 容器恶意程序

    HSS监控容器内启动的容器进程的行为特征和进程文件指纹,如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。

  • 容器异常进程

    容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程,可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。

    对于已关联的容器镜像启动的容器,HSS只允许白名单进程启动,如果容器内存在非白名单进程,触发容器异常程序告警。

敏感文件访问

HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。

容器异常启动

HSS监控新启动的容器,对容器启动配置选项进行检测,当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险,并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击,仍然会触发HSS容器安全的其他检测告警。

HSS支持以下容器环境检测:

  • 禁止启动特权容器(privileged:true)

    特权容器是指容器以最大权限启动,类似于操作系统的root权限,拥有最大能力。docker run启动容器时携带“ –privileged=true”参数,或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”,此时容器会以特权容器方式启动。

    告警名称为“容器安全选项”,告警内容中提示“privileged:true”,表示该容器以特权容器模式启动。

  • 需要限制容器能力集(capabilities:[xxx])

    Linux系统将系统权限做了分类,通过授予特定的权限集合,能控制容器进程的操作范围,避免出现严重问题。容器启动时默认开启了一些常用能力,通过修改启动配置可以放开所有系统权限。

    告警名称为“容器安全选项”,告警内容中提示“capabilities:[xxx]”,表示该容器启动时拥有所有能力集过大,存在风险。

  • 建议启用seccomp(seccomp=unconfined)

    Seccomp(secure computing mode)是Linux的一种内核特性,用于限制进程能够调用的系统调用,减少内核的攻击面。如果容器启动时设置“seccomp=unconfined”,将不会对容器内的系统调用执行限制。

    告警名称“容器安全选项”,告警内容中提示“seccomp=unconfined”,表示该容器启动时没有启动seccomp,存在风险。

    说明:

    启用seccomp后,由于每次系统调用Linux内核都需要执行权限校验,如果容器业务场景会频繁使用系统调用,开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。

  • 限制容器获取新的权限(no-new-privileges:false)

    进程可以通过程序的suid位或者sgid位获取附加权限,通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。

    如果容器启动时指定了“ –no-new-privileges=false”,则该容器拥有权限提升的能力。

    告警名称为“容器安全选项”,告警内容中提示“no-new-privileges:false”,表示该容器关闭了提权限制,存在风险。

  • 危险目录映射(mounts:[...])

    容器启动时可以将宿主机目录映射到容器内,方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式,如果容器启动时映射了宿主机操作系统关键目录,容易造成从容器内破坏宿主机系统的事件。

    HSS监控到容器启动时mount了宿主机危险路径时触发告警,定义的宿主机危险目录包括:“/boot”“ /dev”“/etc”“/sys”“/var/run”等。

    告警名称为“容器挂载目录”,告警内容中提示“mounts:[{"source":"xxx","destination":"yyy"...]”,表示该容器映射的文件路径存在风险,需要按照告警中的目录映射关系排查是否存在危险的映射,可以将认为安全的挂载路径配置到容器信息收集的策略中。

    说明:

    对于docker容器常用的需要访问的宿主文件如“ /etc/hosts”“/etc/resolv.conf”不会触发告警。

  • 禁止启动命名空间为host的容器

    容器的命名空间需要与主机隔离开,如果容器配置了与主机相同的命名空间,则该容器可以访问并修改主机上的内容,易造成容器逃逸的安全事件,存在安全风险。因此HSS会检测容器的pid,network,ipc命名空间是否为host。

    告警名称为“容器命名空间”,告警内容中提示“容器pid命名空间模式”“容器ipc命名空间模式”“容器网络命名空间模式”,表示启动了命名空间为host的容器,需要按照告警中的提示排查容器的启动选项,如果存在业务需要,可以将该告警事件忽略。

容器镜像阻断

在Docker环境中容器启动前,HSS检测到镜像异常行为策略中指定的不安全容器镜像运行时触发告警。

说明:

用户异常行为

非法系统用户账号

黑客可能通过风险账号入侵容器,以达到控制容器的目的,需要您及时排查系统中的账户。

HSS检查系统中存在的可疑隐藏账号、克隆账号;若存在可疑账号、克隆账号等,则触发告警。

暴力破解

检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为,发现暴破行为时触发告警。

支持检测容器场景下SSH、Web和Enumdb暴破行为。

说明:

目前暂仅支持Docker容器运行时的暴力破解检测告警。

集群异常行为

Pod异常行为

检测集群中存在创建特权pod、静态pod及敏感配置pod的异常行为,以及对现存pod执行的异常操作,一旦发现进行告警上报。

枚举用户信息

检测存在枚举集群用户的权限以及可执行操作列表的行为,一旦发现进行告警上报。

绑定集群用户角色

检测绑定、创建高权限集群角色或Service Account的行为,一旦发现进行告警上报。

Kubernetes事件删除

检测集群中删除Kubernetes事件的行为,一旦发现进行警上报。

我们使用cookie来确保您的高速浏览体验。继续浏览本站,即表示您同意我们使用cookie。 详情

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容