このページでは、Container Threat Detection のコンセプトと機能の概要を説明します。
Container Threat Detection とは
Container Threat Detection は、Container-Optimized OS ノードイメージの状態を継続的にモニタリングする Security Command Center の組み込みサービスです。このサービスはすべての変更とリモート アクセスの試行を評価して、ほぼリアルタイムでランタイム攻撃を検出します。
Container Threat Detection は最も一般的なコンテナ ランタイム攻撃を検出し、Security Command Center にアラートを表示します。必要であれば、Cloud Logging にアラートを表示することもできます。Container Threat Detection には、不審なバイナリやライブラリなどの検出機能が含まれており、自然言語処理(NLP)を使用して悪意のある Bash コードと Python コードを検出します。
Container Threat Detection は、Security Command Center のプレミアム ティアまたはエンタープライズ ティアでのみ利用できます。
Container Threat Detection の仕組み
Container Threat Detection の検出計測は、ゲストカーネルの低レベルの動作とスクリプトを実行します。イベントが検出された場合の実行パスは次のとおりです。
Container Threat Detection は、イベント情報とコンテナを識別する情報を、ユーザーモードの DaemonSet を介して検出サービスに受け渡し、分析にまわします。Container Threat Detection を有効にすると、イベント収集が自動的に構成されます。
監視用の DaemonSet は、コンテナ情報の受け渡しをベスト エフォート方式で行います。Kubernetes とコンテナ ランタイムが対応するコンテナ情報を時間内に提供できない場合は、報告された情報からコンテナ情報を削除できます。
検出サービスは、イベントを分析して、イベントがインシデントかどうかを判断します。Bash と Python のスクリプトは NLP で分析され、実行されたコードが悪意のあるものかどうかを判断します。
検出サービスがインシデントを識別する場合、インシデントは Security Command Center に検出結果として書き込まれ、必要に応じて Cloud Logging に書き込まれます。
- 検出サービスがインシデントを識別しない場合、検出結果は保存されません。
- カーネルと検出サービスのデータはすべて一時的なものであり、永続的には保存されません。
検出結果の詳細は、Security Command Center コンソールで確認できます。ここでは、検出結果の情報を調べることができます。検出結果を表示または編集できるかどうかは、付与されているロールによって決まります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。
考慮事項
Container Threat Detection を使用する場合は、次の点を考慮してください。
セキュリティ検出ツール
クラスタにインストールされている他のセキュリティ検出ツールにより、Container Threat Detection のパフォーマンスが低下し、誤動作を引き起こす可能性があります。クラスタが Container Threat Detection によってすでに保護されている場合は、クラスタに他のセキュリティ検出ツールをインストールしないことをおすすめします。
ファイル モニタリング検出機能
Container Threat Detection には、重要なシステム ファイルへのアクセスや変更を探してファイル オペレーションをモニタリングする検出機能が多数含まれています。これらの検出機能は、ノードで発生するファイル オペレーションをモニタリングします。CI / CD システムなど、ファイル IO が多いワークロードでは、これらの検出機能が有効になっていると、パフォーマンスが低下する可能性があります。予期しない影響を回避するため、これらの検出機能はデフォルトで無効になっています。本番環境でファイル モニタリング検出器を有効にする前に、ワークロードへの影響を評価することをおすすめします。
無効になっている検出機能
次の検出機能はデフォルトで無効になっています。
Added Binary ExecutedAdded Library LoadedCollection: Pam.d Modification(プレビュー)Credential Access: Access Sensitive Files on Nodes(プレビュー)Credential Access: Find Google Cloud CredentialsDefense Evasion: Disable or modify Linux audit system(プレビュー)Defense Evasion: Launch Code Compiler Tool In ContainerDefense Evasion: Root Certificate Installed(プレビュー)Execution: Ingress Nightmare Vulnerability Execution(プレビュー)Execution: Program Run with Disallowed HTTP Proxy EnvExecution: Suspicious Cron Modification(プレビュー)Exfiltration: Launch Remote File Copy Tools in ContainerPersistence: Modify ld.so.preload(プレビュー)
これらの検出機能を有効にするには、Container Threat Detection モジュールを有効または無効にするをご覧ください。
Container Threat Detection 検出機能
Container Threat Detection には、次の検出機能が含まれています。
| 検出機能 | モジュール | 説明 | 検出のための入力 |
|---|---|---|---|
| 追加されたバイナリの実行 | ADDED_BINARY_EXECUTED |
元のコンテナ イメージに含まれていないバイナリが実行されました。 追加されたバイナリが攻撃者によって実行された場合は、攻撃者がワークロードを制御し、任意のコマンドを実行している可能性があります。 検出結果は、重大度「低」に分類されます。 |
この検出機能では、元のコンテナ イメージの一部ではなかった、または元のコンテナ イメージから変更された実行中のバイナリを検索します。 |
| 追加されたライブラリの読み込み | ADDED_LIBRARY_LOADED |
元のコンテナ イメージに含まれていないライブラリが読み込まれました。 追加されたライブラリが読み込まれると、攻撃者がワークロードを制御し、任意のコードを実行している可能性があります。 検出結果は、重大度「低」に分類されます。 |
この検出機能では、元のコンテナ イメージの一部ではなかった、または元のコンテナ イメージから変更された読み込み中のライブラリを検索します。 |
| コレクション: pam.d の変更(プレビュー) | PAM_D_MODIFICATION |
PAM は Linux での認証に広く使用されています。攻撃者は、バイナリまたは構成ファイルを変更して、永続的なアクセスを確立する可能性があります。 これはファイル モニタリングの検出機能であり、特定の GKE バージョンの要件があります。 |
この検出機能は、PAM 共有ライブラリ ファイルと関連する認可構成ファイルの変更を監視します。 |
| コマンドと制御: Steganography ツールの検出 | STEGANOGRAPHY_TOOL_DETECTED |
Unix 系の環境でよく見られる steganography ツールとして識別されたプログラムが実行されました。これは、通信やデータ転送を隠蔽しようとしている可能性があることを示しています。 攻撃者は、steganography の手法を利用して、悪意のあるコマンド&コントロール(C2)の指示や引き出したデータを無害に見えるデジタル ファイルに埋め込み、標準のセキュリティ モニタリングと検出を回避しようとした可能性があります。このようなツールの使用を特定することは、隠れた悪意のあるアクティビティを検出するうえで重要です。 検出結果は、重大度「重大」に分類されます。 |
この検出機能は、既知のステガノグラフィ ツールの実行をモニタリングします。 このようなツールの存在は、ネットワーク トラフィックを難読化したり、データを不正に持ち出したりする意図的な試みを示唆しています。悪意のある目的で秘密の通信チャネルが確立される可能性もあります。 |
| 認証情報アクセス: ノード上の機密ファイルへのアクセス(プレビュー) | ACCESS_SENSITIVE_FILES_ON_NODES |
攻撃者は認証ファイルにアクセスして、パスワード ハッシュをコピーする可能性があります。 これはファイル モニタリングの検出機能であり、特定の GKE バージョンの要件があります。 |
検出機能は、/etc/shadow や SSH authorized_keys ファイルなどの機密性の高いシステム ファイルへのアクセスを探します。
|
| 認証情報アクセス: Google Cloud 認証情報の検索 | FIND_GCP_CREDENTIALS |
コンテナ環境内で Google Cloud 秘密鍵、パスワード、その他の機密性の高い認証情報を検索するコマンドが実行されました。 攻撃者は、盗んだ Google Cloud 認証情報を使用して、標的となった Google Cloud 環境内の機密データやリソースに不正にアクセスする可能性があります。 検出結果は、重大度「低」に分類されます。 |
この検出では、 Google Cloud認証情報を含むファイルの検索を試みる find コマンドまたは grep コマンドがモニタリングされます。
|
| 認証情報アクセス: GPG キーの偵察 | GPG_KEY_RECONNAISSANCE |
GPG セキュリティ キーを検索するコマンドが実行されました。 攻撃者は、盗んだ GPG セキュリティ キーを使用して、暗号化された通信やファイルに不正にアクセスする可能性があります。 検出結果は、重大度「重大」に分類されます。 |
この検出機能は、GPG セキュリティ キーの検索を試みている find コマンドまたは grep コマンドをモニタリングします。
|
| 認証情報アクセス: 秘密鍵またはパスワードの検索 | SEARCH_PRIVATE_KEYS_OR_PASSWORDS |
コンテナ環境内で秘密鍵、パスワード、その他の機密性の高い認証情報を検索するコマンドが実行されました。これは、認証データを収集しようとしている可能性があることを示しています。 攻撃者は、システムへの不正アクセス、権限の昇格、環境内でのラテラル ムーブメントを行うために、認証情報ファイルを検索することがよくあります。このようなアクティビティを検出することは、セキュリティ侵害を防ぐために不可欠です。 検出結果は、重大度「低」に分類されます。 |
この検出機能は、秘密鍵、パスワード、認証情報ファイルの検索に使用される既知のコマンドをモニタリングします。コンテナ化された環境でこのような検索が行われている場合、偵察活動やアクティブな侵害が発生している可能性があります。 |
| 防御回避: Base64 ELF ファイルのコマンドライン | BASE64_ELF_FILE_CMDLINE |
ELF(Executable and Linkable Format)ファイルである引数を含むプロセスが実行されました。 エンコードされた ELF ファイルの実行が検出された場合、攻撃者が ASCII 専用のコマンドラインに転送するためにバイナリデータをエンコードしようとしていることを示すシグナルです。攻撃者がこの手法を使用して検出を回避し、ELF ファイルに埋め込まれた悪意のあるコードを実行する可能性があります。 検出結果は、重大度「中」に分類されます。 |
この検出では、ELF を含み、base64 でエンコードされたプロセス引数をモニタリングします。
|
| 防御回避: Base64 でエンコードされた Python スクリプトの実行 | BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED |
Base64 でエンコードされた Python スクリプトである引数を含むプロセスが実行されました。 エンコードされた Python スクリプトの実行が検出された場合、攻撃者が ASCII 専用のコマンドラインに転送するためにバイナリデータをエンコードしようとしていることを示すシグナルです。攻撃者がこの手法を使用して、検出を回避し、Python スクリプトに埋め込まれた悪意のあるコードを実行する可能性があります。 検出結果は、重大度「中」に分類されます。 |
この検出では、さまざまな形式の python -c を含み、base64 でエンコードされたプロセス引数をモニタリングします。
|
| 防御回避: Base64 でエンコードされたシェル スクリプトの実行 | BASE64_ENCODED_SHELL_SCRIPT_EXECUTED |
Base64 でエンコードされたシェル スクリプトである引数を含むプロセスが実行されました。 エンコードされたシェル スクリプトの実行が検出された場合、攻撃者が ASCII 専用のコマンドラインに転送するためにバイナリデータをエンコードしようとしていることを示すシグナルです。攻撃者がこの手法を使用して、検出を回避し、シェル スクリプトに埋め込まれた悪意のあるコードを実行する可能性があります。 検出結果は、重大度「中」に分類されます。 |
この検出では、プロセス引数をモニタリングして、base64 でエンコードされたさまざまな形式のシェルコマンドを含む引数を検出します。 |
| 防御回避: Linux 監査システムの無効化または変更(プレビュー) | DISABLE_OR_MODIFY_LINUX_AUDIT_SYSTEM |
監査システムの構成ファイルまたはロギング ファイルのいずれかが変更されました。 これはファイル モニタリングの検出機能であり、特定の GKE バージョンの要件があります。 |
この検出機能は、構成ファイルや特定のコマンドの変更などのロギング構成の変更と、journalctl や auditctl などのロギング サービスの無効化をモニタリングします。
|
| 防御回避: コンテナでのコード コンパイラ ツールの起動 | LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER |
コンテナ環境内でコード コンパイラ ツールを起動するプロセスが開始されました。これは、分離されたコンテキストで実行可能コードをビルドまたは変更しようとしている可能性があることを示しています。 攻撃者は、コンテナ内でコード コンパイラを使用して、悪意のあるペイロードの開発、既存のバイナリへのコード挿入、セキュリティ管理をバイパスするツールの作成を行うことがあります。いずれの場合も、監視の緩い環境で活動することで、ホストシステムでの検出を回避します。 検出結果は、重大度「低」に分類されます。 |
この検出機能は、コンテナ内で既知のコード コンパイラ ツールの実行をモニタリングします。このようなアクティビティが存在する場合、コンテナ内で悪意のあるコードの開発や変更が行われている可能性があります。これは、システム コンポーネントやクライアント ソフトウェアを改ざんする防御回避戦術である可能性があります。 |
| 防御回避: ルート証明書インストール済み(プレビュー) | ROOT_CERTIFICATE_INSTALLED |
ルート証明書がノードにインストールされました。 攻撃者は、悪意のあるウェブサーバーへの接続を確立する際にセキュリティ アラートが表示されないように、ルート証明書をインストールする可能性があります。 攻撃者は中間者攻撃を実行し、警告をトリガーすることなく、被害者と攻撃者のサーバー間で交換される機密データを傍受する可能性があります。 これはファイル モニタリングの検出機能であり、特定の GKE バージョンの要件があります。 |
この検出機能は、ルート証明書ファイルの変更をモニタリングします。 |
| 実行: 追加された悪意のあるバイナリの実行 | ADDED_MALICIOUS_BINARY_EXECUTED |
次の条件を満たすバイナリが実行されました。
追加された悪意のあるバイナリが実行された場合、それは攻撃者がワークロードを制御し、悪意のあるソフトウェアを実行していることを示す強力なサインです。 検出結果は、重大度「重大」に分類されます。 |
この検出機能では、元のコンテナ イメージの一部ではなく、脅威インテリジェンスに基づいて悪意があると特定されたバイナリが実行されていないかどうかを調べます。 |
| 実行: 追加された悪意のあるライブラリの読み込み | ADDED_MALICIOUS_LIBRARY_LOADED |
次の条件を満たすライブラリが読み込まれました。
追加された悪意のあるライブラリが読み込まれた場合、それは攻撃者がワークロードを制御し、悪意のあるソフトウェアを実行していることを示す強力なサインです。 検出結果は、重大度「重大」に分類されます。 |
この検出機能では、元のコンテナ イメージの一部ではなく、脅威インテリジェンスに基づいて悪意があると特定されたライブラリが読み込まれていないかどうかを調べます。 |
| 実行: 組み込みの悪意のあるバイナリの実行 | BUILT_IN_MALICIOUS_BINARY_EXECUTED |
次の条件を満たすバイナリが実行されました。
組み込みの悪意のあるバイナリが実行された場合、それは攻撃者が悪意のあるコンテナをデプロイしていることを示します。正規のイメージ リポジトリやコンテナビルド パイプラインを制御し、悪意のあるバイナリをコンテナ イメージに注入している可能性があります。 検出結果は、重大度「重大」に分類されます。 |
この検出機能では、元のコンテナ イメージに含まれており、脅威インテリジェンスに基づいて悪意があるものと特定されたバイナリが実行されていないかどうかを調べます。 |
| 実行: コンテナ エスケープ | CONTAINER_ESCAPE |
コンテナ内で、コンテナの分離を破ろうとするプロセスが実行されました。これにより、攻撃者がホストシステムにアクセスする可能性があります。 コンテナ エスケープの試行が検出された場合は、攻撃者が脆弱性を悪用してコンテナを破ろうとしている可能性があります。その結果、攻撃者がホストシステムやより広範なインフラストラクチャに不正にアクセスし、環境全体が侵害される可能性があります。 検出結果は、重大度「重大」に分類されます。 |
この検出機能は、既知のエスケープ手法またはバイナリを使用してコンテナ境界を悪用しようとするプロセスをモニタリングします。これらのプロセスは、基盤となるホストシステムを標的とする潜在的な攻撃として、脅威インテリジェンスによってフラグが設定されます。 |
| 実行: /memfd でのファイルレス実行: | FILELESS_EXECUTION_DETECTION_MEMFD |
インメモリ ファイル記述子を使用してプロセスが実行されました。 プロセスがインメモリ ファイルから起動された場合、攻撃者が悪意のあるコードを実行するために他の検出方法をバイパスしようとしている可能性があります。 検出結果は、重大度「高」に分類されます。 |
この検出機能は、/memfd: から実行されるプロセスをモニタリングします。
|
| 実行: Ingress Nightmare 脆弱性の実行(プレビュー) | INGRESS_NIGHTMARE_VULNERABILITY_EXPLOITATION |
CVE-2025-1974 の実行は、
このクラスの脆弱性が悪用されると、 検出結果は、重大度「中」に分類されます。 |
この検出機能は、ingress-nginx コンテナで /proc ファイル システムへの参照を含む引数を持つ Nginx 実行をモニタリングし、リモートコード実行の可能性を検出します。
|
| 実行: Kubernetes 攻撃ツールの実行 | KUBERNETES_ATTACK_TOOL_EXECUTION |
Kubernetes 固有の攻撃ツールが環境内で実行されました。これは、攻撃者が Kubernetes クラスタ コンポーネントを標的にしていることを示している可能性があります。 攻撃ツールが Kubernetes 環境内で実行されると、攻撃者がクラスタにアクセスして、そのツールを使用して Kubernetes 固有の脆弱性や構成を悪用している可能性が示唆されます。 検出結果は、重大度「重大」に分類されます。 |
この検出機能は、Kubernetes 攻撃ツールの実行をモニタリングし、インテリジェンス データに基づいて潜在的な脅威として識別します。この検出機能は、クラスタで発生する可能性のある侵害を軽減するためにアラートをトリガーします。 |
| 実行: ローカル偵察ツールの実行 | LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
通常はコンテナや環境に関連付けられていないローカル偵察ツールが実行され、内部システム情報の収集が試みられたことが示唆されます。 偵察ツールが実行されている場合は、攻撃者がインフラストラクチャのマッピング、脆弱性の特定、システム構成に関するデータの収集を試みて次の計画を企んでいる可能性があります。 検出結果は、重大度「重大」に分類されます。 |
この検出機能は、脅威インテリジェンスによって特定され、環境内で実行されている既知の偵察ツールをモニタリングします。これは、より悪意のあるアクティビティの準備を示している可能性があります。 |
| 実行: 悪意のある Python の実行 | MALICIOUS_PYTHON_EXECUTED |
ML モデルが特定の Python コードを悪意があるものとして特定しました。攻撃者は、Python を使用して、外部システムから侵害した環境にツールなどのファイルを転送し、バイナリなしでコマンドを実行できます。 検出結果は、重大度「重大」に分類されます。 |
検出機能は NLP のテクノロジーを使用して、実行された Python コードの内容を評価します。このアプローチは、署名に基づいていないため、検出機能によって既知の新しい Python を識別できます。 |
| 実行: 変更された悪意のあるバイナリの実行 | MODIFIED_MALICIOUS_BINARY_EXECUTED |
次の条件を満たすバイナリが実行されました。
変更された悪意のあるバイナリが実行された場合、それは攻撃者がワークロードを制御し、悪意のあるソフトウェアを実行していることを示す強力なサインです。 検出結果は、重大度「重大」に分類されます。 |
この検出機能では、コンテナ イメージに元々含まれていたバイナリが実行時に変更され、脅威インテリジェンスに基づいて悪意があるものとして特定されたバイナリが実行されていないかどうかを調べます。 |
| 実行: 変更された悪意のあるライブラリの読み込み | MODIFIED_MALICIOUS_LIBRARY_LOADED |
次の条件を満たすライブラリが読み込まれました。
変更された悪意のあるライブラリが読み込まれた場合、それは攻撃者がワークロードを制御し、悪意のあるソフトウェアを実行していることを示す強力なサインです。 検出結果は、重大度「重大」に分類されます。 |
この検出機能では、コンテナ イメージに元々含まれていたライブラリが実行時に変更され、脅威インテリジェンスに基づいて悪意があるものとして特定されたライブラリが読み込まれていないかどうかを調べます。 |
| 実行: コンテナでの Netcat リモートコードの実行 | NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER |
コンテナ環境内で汎用性の高いネットワーク ユーティリティである Netcat が実行されました。これは、不正なリモート アクセスの確立またはデータの引き出しを行おうとしていることを示している可能性があります。 コンテナ化された環境で Netcat が使用されている場合、攻撃者がリバースシェルの作成、ラテラル ムーブメントの実現、任意のコマンドの実行を試みている可能性があります。これにより、システムの完全性が損なわれる可能性があります。 検出結果は、重大度「低」に分類されます。 |
検出機能は、コンテナ内の Netcat の実行をモニタリングします。これは、本番環境での Netcat の使用は一般的ではなく、セキュリティ制御のバイパスやリモート コマンドの実行を試みている可能性があるためです。 |
| 実行: CUPS を介した任意のコマンド実行の可能性(CVE-2024-47177) | POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS |
このルールは、一般的なシェル プログラムを実行している 検出結果は、重大度「重大」に分類されます。 |
この検出機能は、foomatic-rip プロセスの子プロセスである shell プロセスを探します。
|
| 実行: リモート コマンド実行の可能性の検出 | POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED |
ネットワーク ソケット接続を介して一般的な UNIX コマンドを生成するプロセスが検出されました。これは、不正なリモート コマンド実行機能を確立しようとしている可能性があることを示しています。 攻撃者は、侵害したシステムをインタラクティブに制御し、任意のコマンドをリモートで実行して、ファイアウォール制限などの標準的なネットワーク セキュリティ対策をバイパスするために、リバースシェルを模倣した手法を利用することがよくあります。ソケット経由のコマンド実行の検出は、悪意のあるリモート アクセスを示す強力なサインです。 検出結果は、重大度「中」に分類されます。 |
この検出機能は、ネットワーク ソケットの作成後に標準の UNIX シェルコマンドが実行されたかどうかをモニタリングします。このパターンは、リモート コマンド実行の隠しチャネルを作成しようとしていることを示しています。これにより、侵害されたホストで悪意のあるアクティビティがさらに実行される可能性があります。 |
| 実行: 許可されていない HTTP プロキシ環境でのプログラムの実行 | PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV |
許可されていない HTTP プロキシ環境変数を使用したプログラムが実行されました。これは、セキュリティ管理のバイパス、悪意のある目的でのトラフィックのリダイレクト、不正なチャネルを介したデータの引き出しを行おうとしていることを示している可能性があります。 攻撃者は、許可されていない HTTP プロキシを構成して、機密情報の傍受、悪意のあるサーバーを介したトラフィックのルーティング、秘密の通信チャネルの確立を行う可能性があります。これらの環境変数を使用したプログラムの実行を検出することは、ネットワーク セキュリティを維持し、データ侵害を防ぐために不可欠です。 検出結果は、重大度「低」に分類されます。 |
この検出機能は、明示的に許可されていない HTTP プロキシ環境変数を使用してプログラムが実行されたかどうかをモニタリングします。これらのプロキシの使用は悪意のあるアクティビティを示す可能性があり(特に予期しない場合)、直ちに調査する必要があります。 |
| 実行: 検出された Socat リバースシェル | SOCAT_REVERSE_SHELL_DETECTED |
リバースシェルを作成する このルールは、stdin、stdout、stderr ファイル記述子をリダイレクトしてリバースシェルを作成する socat の実行を検出します。 これは、攻撃者が侵害したシステムにリモート アクセスするために使用する一般的な手法です。 検出結果は、重大度「中」に分類されます。 |
この検出機能は、socat プロセスの子プロセスである shell プロセスを探します。
|
| 実行: 不審な cron の変更(プレビュー) | SUSPICIOUS_CRON_MODIFICATION |
これはファイル モニタリングの検出機能であり、特定の GKE バージョンの要件があります。 |
この検出機能は、cron 構成ファイルで変更がないかモニタリングします。
|
| 実行: 不審な OpenSSL 共有オブジェクトの読み込み | SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED |
OpenSSL が実行され、カスタム共有オブジェクトが読み込まれました。 攻撃者は、悪意のあるコードを実行するために、カスタム ライブラリを読み込み、OpenSSL が使用する既存のライブラリを置き換える可能性があります。本番環境での使用は一般的ではないため、直ちに調査する必要があります。 検出結果は、重大度「重大」に分類されます。 |
この検出機能は、カスタム .so ファイルを読み込むために openssl engine コマンドの実行をモニタリングします。 |
| データの引き出し: コンテナでのリモート ファイル コピー ツールの起動 | LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER |
コンテナ内でリモート ファイルコピー ツールの実行が検出されました。これは、データの引き出し、ラテラル ムーブメント、悪意のあるペイロードのデプロイの可能性があることを示しています。 攻撃者は、コンテナ外への機密データの転送、他のシステムを侵害するためのネットワーク内でのラテラル ムーブメント、さらなる悪意のあるアクティビティを実行するマルウェアの導入を行うために、これらのツールを使用することがよくあります。 リモート ファイルコピー ツールの使用を検出することは、データ侵害、不正アクセス、コンテナとホストシステムのさらなる侵害を防ぐために不可欠です。 検出結果は、重大度「低」に分類されます。 |
この検出機能は、コンテナ環境内で既知のリモート ファイル コピー ツールの実行をモニタリングします。これらのプロセスが存在する場合(特に予期しない場合)は、悪意のあるアクティビティを示している可能性があります。 |
| 影響: 悪意のあるコマンドラインの検出 | DETECT_MALICIOUS_CMDLINES |
重要なシステム ファイルの削除やパスワード関連の構成の変更など、破壊的な影響の可能性があることがわかっている引数を使用したコマンドが実行されました。 攻撃者は、システムを不安定な状態にする、重要なファイルを削除して復元を妨害する、ユーザー認証情報を操作して不正アクセスを可能にするといった目的で、悪意のあるコマンドラインを発行する可能性があります。これらの特定のコマンド パターンを検出することは、システムへの重大な影響を防ぐために不可欠です。 検出結果は、重大度「重大」に分類されます。 |
この検出機能は、システム破損や権限昇格に関連するパターンに一致するコマンドライン引数の実行をモニタリングします。このようなコマンドが存在することは、システムの可用性やセキュリティに悪影響を及ぼそうとするアクティブな試みがある可能性を示しています。 |
| 影響: ディスクからの大量のデータの削除 | REMOVE_BULK_DATA_FROM_DISK |
一括データ削除オペレーションを実行しているプロセスが検出されました。これは、攻撃者がコンテナ環境内で証拠の消去、サービスの妨害、データ消去攻撃を試みている可能性があります。 攻撃者は、痕跡の隠蔽、オペレーションの妨害、ランサムウェアをデプロイする準備を行うために、大量のデータを削除する可能性があります。このようなアクティビティを検出することで、重要なデータ損失が発生する前に潜在的な脅威を特定できます。 検出結果は、重大度「低」に分類されます。 |
この検出機能は、一括データ削除やその他のデータ消去ツールに関連するコマンドとプロセスをモニタリングし、システムの完全性を損なう可能性のある不審なアクティビティを特定します。 |
| 影響: Stratum プロトコルを使用した不審な暗号通貨マイニング アクティビティ | SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL |
暗号通貨マイニング ソフトウェアで一般的に使用される Stratum プロトコルを介して通信するプロセスが検出されました。このアクティビティは、コンテナ環境内で不正なマイニング オペレーションが行われている可能性があることを示しています。 攻撃者は、金銭的な利益を得るためにシステム リソースを悪用するクリプトマイナーをデプロイすることがよくあります。これにより、パフォーマンスの低下、運用コストの増加、セキュリティ リスクの可能性が生じます。このようなアクティビティを検出することで、リソースの不正使用や不正アクセスを軽減できます。 検出結果は、重大度「高」に分類されます。 |
この検出機能は、環境内で既知の Stratum プロトコルの使用状況をモニタリングします。正当なコンテナ ワークロードでは通常 Stratum が使用されないため、Stratum が存在する場合は、不正なマイニング オペレーションまたは侵害されたコンテナが実行されている可能性があります。 |
| 悪意のあるスクリプトの実行 | MALICIOUS_SCRIPT_EXECUTED |
ML モデルが、指定された Bash コードを悪意があるものとして識別しました。攻撃者は、Bash を使用して、外部システムから侵害した環境にツールなどのファイルを転送し、バイナリなしでコマンドを実行できます。 検出結果は、重大度「重大」に分類されます。 |
検出機能は NLP のテクノロジーを使用して、実行された Bash コードの内容を評価します。この方法は、署名に基づいていないため、検出機能によって既知および新規の悪意のあるコードを識別できます。 |
| 悪意のある URL の観測 | MALICIOUS_URL_OBSERVED |
Container Threat Detection が、実行中のプロセスの引数リストに悪意のある URL を検出しました。 検出結果は、重大度「中」に分類されます。 |
この検出機能では、Google のセーフ ブラウジング サービスによって管理されている、安全でないウェブリソースのリストと、実行中のプロセスの引数リストで観測された URL が照合されます。URL が誤ってフィッシングまたはマルウェアに分類されている場合は、間違ったデータの報告で報告してください。 |
| 永続性: ld.so.preload の変更(プレビュー) | MODIFY_LD_SO_PRELOAD |
攻撃者は これはファイル モニタリングの検出機能であり、特定の GKE バージョンの要件があります。 |
この検出機能は、ld.so.preload ファイルの変更を試みる動作をモニタリングします。 |
| 権限昇格: 権限昇格のための Sudo の不正使用(CVE-2019-14287) | ABUSE_SUDO_FOR_PRIVILEGE_ESCALATION |
権限の昇格を試みる引数を使用して
この検出結果は、sudo コマンドの不正使用による権限昇格を可能にする CVE-2019-14287 の悪用が試みられたことを示します。v1.8.28 より前のバージョンの 検出結果は、重大度「重大」に分類されます。 |
この検出機能は、引数 -u#-1 または -u#4294967295 を含む sudo 実行を探します。
|
| 権限昇格: /dev/shm でのファイルレス実行 | FILELESS_EXECUTION_DETECTION_SHM |
検出結果は、重大度「高」に分類されます。 |
この検出機能は、/dev/shm から実行されたプロセスを探します。
|
| 権限昇格: Polkit のローカル権限昇格の脆弱性(CVE-2021-4034) | POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY |
root 以外のユーザーが、権限昇格を試みる環境変数を使用して
このルールは、Polkit の 検出結果は、重大度「重大」に分類されます。 |
この検出機能は、環境変数 GCONV_PATH が設定されている pkexec の実行を探します。
|
| 権限昇格: Sudo による権限昇格の可能性(CVE-2021-3156) | SUDO_POTENTIAL_PRIVILEGE_ESCALATION |
root 以外のユーザーが、権限昇格を試みる引数のパターンを使用して
検出結果は、重大度「重大」に分類されます。 |
この検出機能は、CVE-2021-4034 のエクスプロイトの一部として特定された引数を使用しようとする sudo または sudoedit の実行を探します。
|
| リバースシェル | REVERSE_SHELL |
リモート接続ソケットへのストリーム リダイレクトで始まるプロセス。 リバースシェルを使用すると、攻撃者は不正使用されたワークロードから攻撃者の制御マシンに通信を可能にできます。攻撃者は、たとえばボットネットの一部として、ワークロードのコマンドと制御を行うことができます。 検出結果は、重大度「重大」に分類されます。 |
この検出機能は、リモート ソケットにバインドされている stdin のように機能します。
|
| 予期しない子シェル | UNEXPECTED_CHILD_SHELL |
通常はシェルを起動しないプロセスが、シェルプロセスを生成します。 検出結果は、重大度「重大」に分類されます。 |
検出機能はすべてのプロセスの実行をモニタリングします。シェルが呼び出されたときに、親プロセスが通常はシェルを呼び出さないことが判明している場合、検出機能によって検出結果が生成されます。 |
検出結果で環境変数と CLI 引数をレポートするモジュール
次のモジュールを使用すると、Container Threat Detection の検出結果に環境変数と CLI 引数を含めたり、除外することができます。
- レポートの環境変数(
REPORT_ENVIRONMENT_VARIABLES) - レポートの CLI 引数(
REPORT_CLI_ARGUMENTS)
手順については、以下をご覧ください。
次のステップ
- Container Threat Detection の使用方法を学習する。
- Container Threat Detection のテスト方法を学習する。
- 脅威に対する対応計画の調査と開発の方法を学習する。
- Artifact Analysis と脆弱性スキャンについて学習する。