容器安全告警事件概述
开启节点防护后,部署在每个容器宿主机上的Agent会对容器运行状态进行实时监控,支持逃逸检测、高危系统调用、异常进程检测、文件异常检测、容器环境等检测。用户可通过容器安全告警全面了解告警事件类型,及时发现资产中的安全威胁、实时掌握资产的安全状态。
约束限制
- 仅HSS容器版支持容器安全告警功能。
- 仅支持对Docker容器进行入侵检测告警。
告警事件列表说明
事件类型 |
告警名称 |
原理说明 |
---|---|---|
恶意软件 |
未分类恶意软件 |
通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序,也可检测出容器中未知的恶意程序和病毒变种。 |
勒索软件 |
检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产,并以此作为向您勒索钱财的筹码。 |
|
Webshell |
检测容器中Web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。 |
|
漏洞利用 |
漏洞逃逸攻击 |
HSS监控到容器内进程行为符合已知漏洞的行为特征时(例如:“脏牛”、“bruteforce”、“runc”、“shocker”等),触发逃逸漏洞攻击告警 |
文件逃逸攻击 |
HSS监控发现容器进程访问了宿主机系统的关键文件目录(例如:“/etc/shadow”、“/etc/crontab”),则认为容器内发生了逃逸文件访问,触发告警。即使该目录符合容器配置的目录映射规则,HSS仍然会触发告警。 |
|
系统异常行为 |
反弹Shell |
实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测,HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 |
进程提权 |
当黑客成功入侵容器后,会尝试利用漏洞进行root提权或者文件提权,从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作:
|
|
高危系统调用 |
Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程,如果发现进程使用了危险系统调用(例如:“open_by_handle_at”、“ptrace”、“setns”、“reboot”等),触发高危系统调用告警。 |
|
高危命令执行 |
实时检测容器系统中执行的高危命令,当发生高危命令执行时触发告警。 |
|
容器进程异常 |
||
敏感文件访问 |
HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 |
|
容器异常启动 |
HSS监控新启动的容器,对容器启动配置选项进行检测,当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险,并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击,仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测:
|
|
容器镜像阻断 |
在Docker环境中容器启动前,HSS检测到镜像异常行为策略中指定的不安全容器镜像运行时触发告警。
说明:
|
|
用户异常行为 |
非法系统用户账号 |
黑客可能通过风险账号入侵容器,以达到控制容器的目的,需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号;若存在可疑账号、克隆账号等,则触发告警。 |
暴力破解 |
检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为,发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。
说明:
目前暂仅支持Docker容器运行时的暴力破解检测告警。 |
|
集群异常行为 |
Pod异常行为 |
检测集群中存在创建特权pod、静态pod及敏感配置pod的异常行为,以及对现存pod执行的异常操作,一旦发现进行告警上报。 |
枚举用户信息 |
检测存在枚举集群用户的权限以及可执行操作列表的行为,一旦发现进行告警上报。 |
|
绑定集群用户角色 |
检测绑定、创建高权限集群角色或Service Account的行为,一旦发现进行告警上报。 |
|
Kubernetes事件删除 |
检测集群中删除Kubernetes事件的行为,一旦发现进行警上报。 |