このページでは、Container Threat Detection のコンセプトと機能の概要を説明します。
Container Threat Detection とは
Container Threat Detection は、Container-Optimized OS ノードイメージの状態を継続的にモニタリングする Security Command Center の組み込みサービスです。このサービスはすべての変更とリモート アクセスの試行を評価して、ほぼリアルタイムでランタイム攻撃を検出します。
Container Threat Detection は最も一般的なコンテナ ランタイム攻撃を検出し、Security Command Center にアラートを表示します。必要であれば、Cloud Logging にアラートを表示することもできます。Container Threat Detection には、不審なバイナリやライブラリなどの検出機能がいくつか含まれており、自然言語処理(NLP)を使用して悪意のある Bash コードと Python コードを検出します。
Container Threat Detection は、Security Command Center のプレミアム ティアまたはエンタープライズ ティアでのみ利用できます。
Container Threat Detection の仕組み
Container Threat Detection 検出計測は、ゲストカーネルと実行されたスクリプトの低レベルの動作を収集します。イベントが検出された場合の実行パスは次のとおりです。
Container Threat Detection は、イベント情報とコンテナを識別する情報を、ユーザーモードの DaemonSet を介して検出サービスに受け渡し、分析にまわします。Container Threat Detection を有効にすると、イベント収集が自動的に構成されます。
監視用の DaemonSet は、コンテナ情報の受け渡しをベスト エフォート方式で行います。Kubernetes とコンテナ ランタイムが対応するコンテナ情報を時間内に提供できない場合は、報告された情報からコンテナ情報を削除できます。
検出サービスは、イベントを分析して、イベントがインシデントかどうかを判断します。Bash と Python のスクリプトは NLP で分析され、実行されたコードが悪意のあるものかどうかを判断します。
検出サービスがインシデントを識別する場合、インシデントは Security Command Center に検出として書き込まれ、必要に応じて Cloud Logging に書き込まれます。
- 検出サービスがインシデントを識別しない場合、検出情報は保存されません。
- カーネルと検出サービスのデータはすべて一時的なものであり、永続的には保存されません。
検出結果の詳細は、Security Command Center コンソールで確認できます。ここでは、検出結果の情報を調べることができます。検出結果を表示または編集できるかどうかは、付与されているロールによって決まります。Security Command Center ロールの詳細については、アクセス制御をご覧ください。
考慮事項
クラスタにインストールされている他のセキュリティ検出ツールは、Container Threat Detection のパフォーマンスを低下させ、誤動作を引き起こす可能性があります。クラスタが Container Threat Detection によってすでに保護されている場合は、クラスタに他のセキュリティ検出ツールをインストールしないことをおすすめします。
ファイル モニタリング検出器を使用する際の考慮事項
Container Threat Detection には、重要なシステム ファイルへのアクセスや変更を探してファイル オペレーションをモニタリングする検出機能が多数含まれています。これらの検出機能は、ノードで発生するファイル オペレーションをモニタリングします。CI/CD システムなど、ファイル IO が多いワークロードでは、これらの検出機能が有効になっていると、パフォーマンスが低下する可能性があります。予期しない影響を回避するため、これらの検出機能はデフォルトで無効になっています。各検出器の説明には、検出器を有効にする手順へのリンクが含まれています。本番環境でファイル モニタリング検出器を有効にする前に、ワークロードへの影響を評価することをおすすめします。
Container Threat Detection 検出器
Container Threat Detection には、次の検出機能が含まれています。
| 検出項目 | モジュール | 説明 | 検出のための入力 |
|---|---|---|---|
| 追加されたバイナリの実行 | ADDED_BINARY_EXECUTED |
元のコンテナ イメージの一部ではなかったバイナリが実行されました。 追加されたバイナリが攻撃者によって実行された場合は、攻撃者がワークロードを制御し、任意のコマンドを実行している可能性があります。 この検出機能はデフォルトで無効になっています。有効にする手順については、Container Threat Detection のテストをご覧ください。 検出結果は、重大度「低」に分類されます。 |
この検出機能では、元のコンテナ イメージの一部ではなかった、または元のコンテナ イメージから変更された実行中のバイナリを検索します。 |
| 追加されたライブラリの読み込み | ADDED_LIBRARY_LOADED |
元のコンテナ イメージに含まれていないライブラリが読み込まれました。 追加されたライブラリが読み込まれた場合は、攻撃者がワークロードを制御し、任意のコードを実行している可能性があります。 この検出機能はデフォルトで無効になっています。有効にする手順については、Container Threat Detection のテストをご覧ください。 検出結果は、重大度「低」に分類されます。 |
この検出機能では、元のコンテナ イメージの一部ではなかった、または元のコンテナ イメージから変更された読み込み中のライブラリを検索します。 |
| コレクション: pam.d の変更(プレビュー) | PAM_D_MODIFICATION |
PAM は Linux での認証に広く使用されています。攻撃者は、バイナリまたは構成ファイルを変更して、永続的なアクセスを確立する可能性があります。 これはファイル モニタリング検出器であり、 特定の GKE バージョンの要件があります。この検出機能はデフォルトで無効になっています。有効にする手順については、 Container Threat Detection のテストをご覧ください。 |
この検出機能は、PAM 共有ライブラリ ファイルと関連する認可構成ファイルの変更を監視します。 |
| コマンドと制御: Steganography ツールの検出 | STEGANOGRAPHY_TOOL_DETECTED |
Unix 系の環境でよく見られるステガノグラフィ ツールとして識別されるプログラムが実行され、通信やデータ転送を隠蔽しようとした可能性が示されています。 攻撃者は、ステガノグラフィの手法を利用して、悪意のあるコマンド&コントロール(C2)の指示や漏洩したデータを一見無害なデジタルファイルに埋め込み、標準のセキュリティ モニタリングと検出を回避しようとする可能性があります。このようなツールの使用を特定することは、隠れた悪意のあるアクティビティを明らかにするうえで非常に重要です。 検出結果は重大度「重大」に分類されます。 |
この検出機能は、既知のステガノグラフィー ツールの実行をモニタリングします。このようなツールが存在する場合、ネットワーク トラフィックの難読化やデータの漏洩を意図的に試みている可能性があり、悪意のある目的で秘密の通信チャネルを確立している可能性があります。 |
| 認証情報アクセス: ノード上の機密ファイルへのアクセス(プレビュー) | ACCESS_SENSITIVE_FILES_ON_NODES |
攻撃者は認証ファイルにアクセスして、パスワード ハッシュをコピーする可能性があります。 これはファイル モニタリング検出器であり、 特定の GKE バージョンの要件があります。この検出機能はデフォルトで無効になっています。有効にする手順については、 Container Threat Detection のテストをご覧ください。 |
検出器は、/etc/shadow ファイルや SSH authorized_keys ファイルなどの機密性の高いシステム ファイルへのアクセスを探します。 |
| 認証情報アクセス: Google Cloud 認証情報の検索 | FIND_GCP_CREDENTIALS |
コンテナ環境内の Google Cloud 秘密鍵、パスワード、その他の機密認証情報を検索するコマンドが実行されました。 攻撃者は、盗まれた Google Cloud 認証情報を使用して、ターゲットの Google Cloud 環境内の機密データやリソースに不正にアクセスする可能性があります。 検出結果は、重大度「低」に分類されます。 この検出機能はデフォルトで無効になっています。検出結果は、デフォルトで重大度「低」に分類されます。有効にする手順については、Container Threat Detection のテストをご覧ください。 |
この検出では、 Google Cloud認証情報を含むファイルの検索を試みる find コマンドまたは grep コマンドがモニタリングされます。 |
| 認証情報アクセス: GPG キーの偵察 | GPG_KEY_RECONNAISSANCE |
GPG セキュリティ キーを検索するコマンドが実行されました。 攻撃者は、盗まれた GPG セキュリティ キーを使用して、暗号化された通信やファイルに不正にアクセスする可能性があります。 検出結果は重大度「重大」に分類されます。 |
この検出機能は、GPG セキュリティ キーの検索を試みている find コマンドまたは grep コマンドをモニタリングします。 |
| 認証情報アクセス: 秘密鍵またはパスワードの検索 | SEARCH_PRIVATE_KEYS_OR_PASSWORDS |
コンテナ環境内で秘密鍵、パスワード、その他の機密性の高い認証情報を検索するコマンドが実行されました。これは、認証データを収集しようとした可能性があることを示しています。 攻撃者は、システムへの不正アクセス、権限の昇格、環境内での水平移動を目的として、認証情報ファイルを検索することがよくあります。このようなアクティビティを検出することは、セキュリティ侵害を防ぐうえで非常に重要です。 検出結果は、重大度「低」に分類されます。 |
この検出機能は、秘密鍵、パスワード、認証情報ファイルの検索に使用される既知のコマンドをモニタリングします。コンテナ化された環境でこのような検索が行われている場合は、偵察活動やアクティブな侵害の可能性が考えられます。 |
| 防御回避: Base64 ELF ファイルのコマンドライン | BASE64_ELF_FILE_CMDLINE |
ELF(Executable and Linkable Format)ファイルである引数を含むプロセスが実行されました。 エンコードされた ELF ファイルの実行が検出された場合、攻撃者が ASCII 専用のコマンドラインに転送するためにバイナリデータをエンコードしようとしていることを示すシグナルです。攻撃者がこの手法を使用して、検出を回避し、ELF ファイルに埋め込まれた悪意のあるコードを実行する可能性があります。 検出結果は、重大度「中」に分類されます。 |
この検出では、ELF を含み、base64 でエンコードされたプロセス引数をモニタリングします。 |
| 防御回避: Base64 でエンコードされた Python スクリプトの実行 | BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED |
Base64 でエンコードされた Python スクリプトである引数を含むプロセスが実行されました。 エンコードされた Python スクリプトの実行が検出された場合、攻撃者が ASCII 専用のコマンドラインに転送するためにバイナリデータをエンコードしようとしていることを示すシグナルです。攻撃者がこの手法を使用して、検出を回避し、Python スクリプトに埋め込まれた悪意のあるコードを実行する可能性があります。 検出結果は、重大度「中」に分類されます。 |
この検出では、さまざまな形式の python -c を含み、base64 でエンコードされたプロセス引数をモニタリングします。 |
| 防御回避: Base64 でエンコードされたシェル スクリプトの実行 | BASE64_ENCODED_SHELL_SCRIPT_EXECUTED |
Base64 でエンコードされたシェル スクリプトである引数を含むプロセスが実行されました。 エンコードされたシェル スクリプトの実行が検出された場合、攻撃者が ASCII 専用のコマンドラインに転送するためにバイナリデータをエンコードしようとしていることを示すシグナルです。攻撃者がこの手法を使用して、検出を回避し、シェル スクリプトに埋め込まれた悪意のあるコードを実行する可能性があります。 検出結果は、重大度「中」に分類されます。 |
この検出では、プロセス引数をモニタリングして、base64 でエンコードされたさまざまな形式のシェル コマンドを含む引数を検出します。 |
| 防御回避: Linux 監査システムの無効化または変更(プレビュー) | DISABLE_OR_MODIFY_LINUX_AUDIT_SYSTEM |
監査システムの構成ファイルまたはロギング ファイルのいずれかが変更されました。 これはファイル モニタリング検出器であり、 特定の GKE バージョンの要件があります。この検出機能はデフォルトで無効になっています。有効にする手順については、 Container Threat Detection のテストをご覧ください。 |
この検出機能は、構成ファイルや特定のコマンドの変更などのロギング構成の変更と、journalctl や auditctl などのロギング サービスの無効化をモニタリングします。 |
| 防御回避: コンテナでのコード コンパイラ ツールの起動 | LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER |
コンテナ環境内でコード コンパイラ ツールを起動するプロセスが開始されました。これは、分離されたコンテキストで実行可能コードをビルドまたは変更しようとしている可能性があることを示しています。 攻撃者は、コンテナ内のコード コンパイラを使用して、悪意のあるペイロードを開発したり、既存のバイナリにコードを挿入したり、セキュリティ コントロールを回避するツールを作成したりする可能性があります。これらはすべて、監視の緩い環境で実行され、ホストシステムでの検出を回避します。 検出結果は、重大度「低」に分類されます。 |
この検出機能は、コンテナ内で既知のコード コンパイラ ツールの実行をモニタリングします。このようなアクティビティが存在する場合、コンテナ内で悪意のあるコードの開発や変更を試みている可能性があります。これは、システム コンポーネントやクライアント ソフトウェアを改ざんする防御回避戦術である可能性があります。 |
| 防御回避: ルート証明書インストール済み(プレビュー) | ROOT_CERTIFICATE_INSTALLED |
ルート証明書がノードにインストールされました。 攻撃者は、悪意のあるウェブサーバーへの接続を確立する際にセキュリティ アラートを回避するために、ルート証明書をインストールする可能性があります。攻撃者は中間者攻撃を実行し、警告をトリガーすることなく、被害者と攻撃者のサーバー間で交換される機密データを傍受する可能性があります。 これはファイル モニタリング検出器であり、 特定の GKE バージョンの要件があります。この検出機能はデフォルトで無効になっています。有効にする手順については、 Container Threat Detection のテストをご覧ください。 |
この検出機能は、ルート証明書ファイルの変更をモニタリングします。 |
| 実行: 追加された悪意のあるバイナリの実行 | ADDED_MALICIOUS_BINARY_EXECUTED |
次の条件を満たすバイナリが実行されました。
追加された悪意のあるバイナリが実行された場合、それは攻撃者がワークロードを制御し、悪意のあるソフトウェアを実行していることを示す強力なサインです。 検出結果は重大度「重大」に分類されます。 |
この検出機能では、元のコンテナ イメージの一部ではなく、脅威インテリジェンスに基づいて悪意があると特定されたバイナリが実行されていないかどうかを調べます。 |
| 実行: 追加された悪意のあるライブラリが読み込まれた | ADDED_MALICIOUS_LIBRARY_LOADED |
次の条件を満たすライブラリが読み込まれました。
追加された悪意のあるライブラリが読み込まれた場合、それは攻撃者がワークロードを制御し、悪意のあるソフトウェアを実行していることを示す強力なサインです。 検出結果は重大度「重大」に分類されます。 |
この検出機能では、元のコンテナ イメージの一部ではなく、脅威インテリジェンスに基づいて悪意があると特定されたライブラリが読み込まれていないかどうかを調べます。 |
| 実行: 組み込まれた悪意のあるバイナリが実行された | BUILT_IN_MALICIOUS_BINARY_EXECUTED |
次の条件を満たすバイナリが実行されました。
組み込みの悪意のあるバイナリが実行された場合、それは攻撃者が悪意のあるコンテナをデプロイしていることを示します。正規のイメージ リポジトリやコンテナビルド パイプラインを制御し、悪意のあるバイナリをコンテナ イメージに注入している可能性があります。 検出結果は重大度「重大」に分類されます。 |
この検出機能では、元のコンテナ イメージに含まれており、脅威インテリジェンスに基づいて悪意があるものと特定されたバイナリが実行されていないかどうかを調べます。 |
| 実行: コンテナ エスケープ | CONTAINER_ESCAPE |
コンテナの分離を破ろうとするプロセスがコンテナ内で実行されました。これにより、攻撃者がホストシステムにアクセスできる可能性があります。 コンテナ エスケープの試行が検出された場合は、攻撃者が脆弱性を悪用してコンテナを破ろうとしている可能性があります。その結果、攻撃者がホストシステムやより広範なインフラストラクチャに不正にアクセスし、環境全体が侵害される可能性があります。 検出結果は重大度「重大」に分類されます。 |
この検出器は、既知のエスケープ手法またはバイナリを使用してコンテナ境界を悪用しようとするプロセスをモニタリングします。これらのプロセスは、基盤となるホストシステムを標的とする潜在的な攻撃として、脅威インテリジェンスによってフラグが設定されます。 |
| 実行: /memfd でのファイルレス実行: | FILELESS_EXECUTION_DETECTION_MEMFD |
インメモリ ファイル記述子を使用してプロセスが実行されました。 プロセスがインメモリ ファイルから起動された場合、攻撃者が悪意のあるコードを実行するために他の検出方法をバイパスしようとしている可能性があります。 検出結果は、重大度「高」に分類されます。 |
この検出機能は、/memfd: から実行されるプロセスをモニタリングします。 |
| 実行: Ingress Nightmare 脆弱性の実行(プレビュー) | INGRESS_NIGHTMARE_VULNERABILITY_EXPLOITATION |
CVE-2025-1974 の実行は、
このクラスの脆弱性により、悪意のあるユーザーが 検出結果は、重大度「中」に分類されます。 |
この検出器は、/proc ファイル システムへの参照を含む引数を持つ Nginx 実行を ingress-nginx コンテナでモニタリングし、潜在的なリモートコード実行を検出します。 |
| 実行: Kubernetes 攻撃ツールの実行 | KUBERNETES_ATTACK_TOOL_EXECUTION |
Kubernetes 固有の攻撃ツールが環境内で実行されました。これは、攻撃者が Kubernetes クラスタ コンポーネントを標的にしていることを示している可能性があります。 攻撃ツールが Kubernetes 環境内で実行されると、攻撃者がクラスタにアクセスして、そのツールを使用して Kubernetes 固有の脆弱性や構成を悪用している可能性が示唆されます。 検出結果は重大度「重大」に分類されます。 |
この検出機能は、実行中の Kubernetes 攻撃ツールを探し、インテリジェンス データに基づいて潜在的な脅威として識別します。検出器はアラートをトリガーして、クラスタで発生する可能性のある侵害を軽減します。 |
| 実行: ローカル偵察ツールの実行 | LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
通常はコンテナや環境に関連付けられていないローカル偵察ツールが実行され、内部システム情報の収集が試みられたことが示唆されます。 偵察ツールが実行されている場合は、攻撃者がインフラストラクチャのマッピング、脆弱性の特定、システム構成に関するデータの収集を試みて次の計画を企んでいる可能性があります。 検出結果は重大度「重大」に分類されます。 |
この検出機能は、脅威インテリジェンスによって特定された、環境内で実行されている既知の偵察ツールをモニタリングします。これは、より悪意のあるアクティビティの準備を示している可能性があります。 |
| 実行: 悪意のある Python が実行された | MALICIOUS_PYTHON_EXECUTED |
ML モデルが、指定された Python コードを悪意があるものとして識別しました。攻撃者は、Python を使用して、外部システムから不正使用の環境にツールなどのファイルを転送し、バイナリなしでコマンドを実行できます。 検出結果は重大度「重大」に分類されます。 |
検出機能は NLP のテクノロジーを使用して、実行された Python コードの内容を評価します。このアプローチは、署名に基づいていないため、検出機能によって既知の新しい Python を識別できます。 |
| 実行: 変更された悪意のあるバイナリが実行された | MODIFIED_MALICIOUS_BINARY_EXECUTED |
次の条件を満たすバイナリが実行されました。
変更された悪意のあるバイナリが実行された場合、それは攻撃者がワークロードを制御し、悪意のあるソフトウェアを実行していることを示す強力なサインです。 検出結果は重大度「重大」に分類されます。 |
この検出機能では、コンテナ イメージに元々含まれていたバイナリが実行時に変更され、脅威インテリジェンスに基づいて悪意があるものとして特定されたバイナリが実行されていないかどうかを調べます。 |
| 実行: 変更された悪意のあるライブラリが読み込まれた | MODIFIED_MALICIOUS_LIBRARY_LOADED |
次の条件を満たすライブラリが読み込まれました。
変更された悪意のあるライブラリが読み込まれた場合、それは攻撃者がワークロードを制御し、悪意のあるソフトウェアを実行していることを示す強力なサインです。 検出結果は重大度「重大」に分類されます。 |
この検出機能では、コンテナ イメージに元々含まれていたライブラリが実行時に変更され、脅威インテリジェンスに基づいて悪意があるものとして特定されたライブラリが読み込まれていないかどうかを調べます。 |
| 実行: コンテナでの Netcat リモートコードの実行 | NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER |
多用途のネットワーク ユーティリティである Netcat がコンテナ環境内で実行されました。これは、不正なリモート アクセスの確立やデータの盗み出しを試みている可能性があることを示しています。 コンテナ化された環境で Netcat を使用すると、攻撃者がリバースシェルを作成し、ラテラル ムーブメントを有効にし、任意のコマンドを実行しようとしている可能性があります。これにより、システムの完全性が損なわれる可能性があります。 検出結果は、重大度「低」に分類されます。 |
検出器は、コンテナ内の Netcat の実行をモニタリングします。これは、本番環境での Netcat の使用は一般的ではなく、セキュリティ制御のバイパスやリモート コマンドの実行を試みている可能性があるためです。 |
| 実行: CUPS を介した任意のコマンド実行の可能性(CVE-2024-47177) | POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS |
root 以外のユーザーが、権限の昇格を試みる環境変数を使用して
このルールは、一般的なシェル プログラムを実行している 検出結果は重大度「重大」に分類されます。 |
この検出機能は、foomatic-rip プロセスの子プロセスである shell プロセスを探します。 |
| 実行: リモート コマンド実行の可能性の検出 | POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED |
ネットワーク ソケット接続を介して一般的な UNIX コマンドを生成するプロセスが検出されました。これは、不正なリモート コマンド実行機能を確立しようとしている可能性があることを示しています。 攻撃者は、リバース シェルを模倣した手法を頻繁に使用して、侵害されたシステムをインタラクティブに制御し、任意のコマンドをリモートで実行して、ファイアウォール制限などの標準的なネットワーク セキュリティ対策をバイパスします。ソケット経由のコマンド実行の検出は、悪意のあるリモート アクセスの強い指標となります。 検出結果は、重大度「中」に分類されます。 |
この検出器は、ネットワーク ソケットの作成後に標準の UNIX シェル コマンドが実行されたかどうかをモニタリングします。このパターンは、リモート コマンド実行用の隠しチャネルを作成しようとしていることを示しています。これにより、侵害されたホストでさらに悪意のあるアクティビティが実行される可能性があります。 |
| 実行: 許可されていない HTTP プロキシ環境でのプログラムの実行 | PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV |
許可されていない HTTP プロキシ環境変数を使用してプログラムが実行されました。これは、セキュリティ制御のバイパス、悪意のある目的でのトラフィックのリダイレクト、不正なチャネルを介したデータの流出を試みていることを示している可能性があります。 攻撃者は、許可されていない HTTP プロキシを構成して、機密情報を傍受したり、悪意のあるサーバーを介してトラフィックをルーティングしたり、秘密の通信チャネルを確立したりする可能性があります。ネットワーク セキュリティを維持し、データ侵害を防ぐには、これらの環境変数を使用したプログラムの実行を検出することが重要です。 検出結果は、重大度「低」に分類されます。 |
この検出機能は、HTTP プロキシ環境変数を使用して、特に許可されていないプログラムの実行をモニタリングします。これらのプロキシの使用は、特に予期しない場合に悪意のあるアクティビティを示す可能性があり、直ちに調査する必要があります。 |
| 実行: 検出された Socat リバースシェル | SOCAT_REVERSE_SHELL_DETECTED |
このルールは、stdin、stdout、stderr のファイル記述子をリダイレクトしてリバースシェルを作成する socat の実行を検出します。これは、攻撃者が侵害されたシステムへのリモート アクセス権を取得するために使用する一般的な手法です。 検出結果は、重大度「中」に分類されます。 |
この検出機能は、socat プロセスの子プロセスである shell プロセスを探します。 |
| 実行: 不審な cron の変更(プレビュー) | SUSPICIOUS_CRON_MODIFICATION |
これはファイル モニタリング検出器であり、 特定の GKE バージョンの要件があります。この検出機能はデフォルトで無効になっています。有効にする手順については、 Container Threat Detection のテストをご覧ください。 |
この検出機能は、cron 構成ファイルの変更をモニタリングします。 |
| 実行: 不審な OpenSSL 共有オブジェクトの読み込み | SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED |
OpenSSL が実行され、カスタム共有オブジェクトが読み込まれました。 攻撃者は、悪意のあるコードを実行するために、カスタム ライブラリを読み込み、OpenSSL で使用されている既存のライブラリを置き換える可能性があります。本番環境での使用は一般的ではなく、直ちに調査する必要があります。 検出結果は重大度「重大」に分類されます。 |
この検出機能は、カスタム .so ファイルを読み込むために openssl engine コマンドの実行をモニタリングします。 |
| データの引き出し: コンテナでのリモート ファイル コピー ツールの起動 | LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER |
コンテナ内でリモート ファイル コピー ツールの実行が検出されました。これは、データの盗み出し、ラテラル ムーブメント、悪意のあるペイロードのデプロイの可能性を示しています。 攻撃者は、これらのツールを使用して、コンテナ外に機密データを転送したり、ネットワーク内でラテラル ムーブメントを行って他のシステムを侵害したり、マルウェアを導入してさらなる悪意のある活動を行ったりすることがよくあります。リモート ファイル コピー ツールの使用を検出することは、データ漏洩、不正アクセス、コンテナとホストシステムのさらなる侵害を防ぐために不可欠です。 検出結果は、重大度「低」に分類されます。 |
この検出機能は、コンテナ環境内で既知のリモート ファイル コピー ツールの実行をモニタリングします。特に予期しない場合に、これらの存在は悪意のあるアクティビティを示している可能性があります。 |
| 影響: 悪意のあるコマンドラインの検出 | DETECT_MALICIOUS_CMDLINES |
重要なシステム ファイルの削除やパスワード関連の構成の変更など、破壊的な可能性のある引数を使用してコマンドが実行されました。 攻撃者は、悪意のあるコマンドラインを発行して、システムの不安定化、重要なファイルの削除による復元の阻止、ユーザー認証情報の操作による不正アクセスを試みる可能性があります。これらの特定のコマンド パターンを検出することは、システムに大きな影響を与えることを防ぐうえで重要です。 検出結果は重大度「重大」に分類されます。 |
この検出機能は、システム破損や権限昇格に関連するパターンに一致するコマンドライン引数の実行をモニタリングします。このようなコマンドが存在することは、システムの可用性やセキュリティに悪影響を及ぼす可能性のあるアクティブな試行が行われていることを示しています。 |
| 影響: ディスクからの大量のデータの削除 | REMOVE_BULK_DATA_FROM_DISK |
一括データ削除オペレーションを実行するプロセスが検出されました。これは、証拠の消去、サービスの中断、コンテナ環境内でのデータ消去攻撃の実行を試みている可能性があります。 攻撃者は、痕跡を隠蔽したり、オペレーションを妨害したり、ランサムウェアのデプロイを準備したりするために、大量のデータを削除する可能性があります。このようなアクティビティを検出することで、重要なデータ損失が発生する前に潜在的な脅威を特定できます。 検出結果は、重大度「低」に分類されます。 |
この検出器は、一括データ削除やその他のデータ消去ツールに関連するコマンドとプロセスを監視し、システムの完全性を損なう可能性のある不審なアクティビティを特定します。 |
| 影響: Stratum プロトコルを使用した不審な暗号通貨マイニング アクティビティ | SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL |
暗号通貨マイニング ソフトウェアで一般的に使用される Stratum プロトコルを介して通信するプロセスが検出されました。このアクティビティは、コンテナ環境内で不正なマイニング オペレーションが行われている可能性があることを示しています。 攻撃者は、金銭的な利益を得るためにシステム リソースを悪用する暗号通貨マイナーをデプロイすることがよくあります。これにより、パフォーマンスの低下、運用コストの増加、セキュリティ リスクの発生につながります。このようなアクティビティを検出することで、リソースの不正使用や不正アクセスを軽減できます。 検出結果は、重大度「高」に分類されます。 |
この検出機能は、環境内で既知の Stratum プロトコルの使用状況をモニタリングします。正当なコンテナ ワークロードは通常 Stratum を使用しないため、Stratum が存在する場合は、不正なマイニング オペレーションまたは侵害されたコンテナを示している可能性があります。 |
| 悪意のあるスクリプトの実行 | MALICIOUS_SCRIPT_EXECUTED |
ML モデルが、指定された Bash コードを悪意があるものとして識別しました。攻撃者は、Bash を使用して、外部システムから不正使用の環境にツールなどのファイルを転送し、バイナリなしでコマンドを実行できます。 検出結果は重大度「重大」に分類されます。 |
検出機能は NLP のテクノロジーを使用して、実行された Bash コードの内容を評価します。この方法は、署名に基づいていないため、検出機能によって既知および新規の悪意のある bash を識別できます。 |
| 悪意のある URL の観測 | MALICIOUS_URL_OBSERVED |
Container Threat Detection が、実行中のプロセスの引数リストに悪意のある URL を検出しました。 検出結果は、重大度「中」に分類されます。 |
この検出機能では、Google のセーフ ブラウジング サービスによって管理されている、安全でないウェブリソースのリストと、実行中のプロセスの引数リストで観測された URL が照合されます。URL が誤ってフィッシングまたはマルウェアに分類されている場合は、 間違ったデータの報告で報告します。 |
| 永続性: ld.so.preload の変更(プレビュー) | MODIFY_LD_SO_PRELOAD |
攻撃者は これはファイル モニタリング検出器であり、 特定の GKE バージョンの要件があります。この検出機能はデフォルトで無効になっています。有効にする手順については、 Container Threat Detection のテストをご覧ください。 |
この検出機能は、ld.so.preload ファイルの変更を試みる動作をモニタリングします。 |
| 権限昇格: 権限昇格のための Sudo の不正使用(CVE-2019-14287) | ABUSE_OF_SUDO_FOR_PRIVILEGE_ESCALATION |
この検出では、sudo コマンドの不正使用による権限昇格を可能にする CVE-2019-14287 の悪用が試みられたことが通知されます。v1.8.28 より前の 検出結果は重大度「重大」に分類されます。 |
検出機能は、引数 -u#-1 または -u#4294967295 を含む sudo 実行を探します。 |
| 権限昇格: /dev/shm でのファイルレス実行 | FILELESS_EXECUTION_DETECTION_SHM |
検出結果は、重大度「高」に分類されます。 |
この検出機能は、/dev/shm から実行されたプロセスを検索します。 |
| 権限昇格: Polkit のローカル権限昇格の脆弱性(CVE-2021-4034) | POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY |
root 以外のユーザーが、権限の昇格を試みる環境変数を使用して
このルールは、Polkit の 検出結果は重大度「重大」に分類されます。 |
この検出機能は、環境変数 GCONV_PATH が設定されている pkexec 実行を探します。 |
| 権限昇格: Sudo による権限昇格の可能性(CVE-2021-3156) | SUDO_POTENTIAL_PRIVILEGE_ESCALATION |
root 以外のユーザーが、権限昇格を試みる引数のパターンで
検出結果は重大度「重大」に分類されます。 |
この検出器は、CVE-2021-4034 エクスプロイトの一部として特定された引数を使用しようとする sudo または sudoedit の実行を探します。 |
| リバースシェル | REVERSE_SHELL |
リモート接続ソケットへのストリーム リダイレクトで始まるプロセス。 リバースシェルを使用すると、攻撃者は不正使用されたワークロードから攻撃者制御マシンに通信できます。攻撃者は、たとえばボットネットの一部として、ワークロードのコマンドと制御を行うことができます。 検出結果は重大度「重大」に分類されます。 |
この検出項目ではリモート ソケットにバインドされている stdin を検索します。
|
| 予期しない子シェル | UNEXPECTED_CHILD_SHELL |
通常はシェルを起動しないプロセスが、シェルプロセスを生成します。 検出結果は重大度「重大」に分類されます。 |
検出機能はすべてのプロセスの実行をモニタリングします。シェルが呼び出されたときに、親プロセスが通常はシェルを呼び出さないことが判明している場合、検出機能によって検出結果が生成されます。 |
次のステップ
- Container Threat Detection の使用方法を学習する。
- Container Threat Detection のテスト方法を学習する。
- 脅威に対する対応計画の調査と開発の方法を学習する。
- Artifact Analysis と脆弱性スキャンについて学習する。