Cara mengaktifkan fitur deteksi ancaman pada kontainer Kubernetes dan melihat ancaman yang dapat dideteksi - Security Center

Tab Pengaturan Perlindungan Kontainer di konsol Security Center menampilkan fitur terkait kontainer seperti deteksi ancaman pada kontainer Kubernetes dan pencegahan pelarian kontainer. Anda dapat mengaktifkan fitur ini untuk memastikan keamanan waktu proses kontainer Anda. Topik ini menjelaskan fitur yang dapat diaktifkan serta cara mengaktifkannya.

Deteksi ancaman pada kontainer Kubernetes

Fitur deteksi ancaman pada kontainer Kubernetes memeriksa status keamanan kluster kontainer secara real-time untuk mendeteksi ancaman keamanan dan serangan sejak dini. Setelah mengaktifkan fitur ini, Security Center secara otomatis mendeteksi ancaman yang memicu peringatan tipe K8s Abnormal Behavior. Untuk informasi lebih lanjut tentang ancaman yang dapat dideteksi, lihat Ancaman yang Dapat Dideteksi.

Batasan

Layanan langganan: Tersedia untuk edisi Enterprise atau Ultimate. Jika edisi Anda saat ini tidak didukung, silakan Beli instansi langganan.
Catatan
Anda harus mengonfigurasi server Anda untuk edisi perlindungan Enterprise atau Ultimate. Untuk instruksi terperinci, lihat Kelola kuota keamanan host dan kontainer.
Layanan bayar sesuai penggunaan: Anda harus mengaktifkan layanan Host and Container Security. Jika belum diaktifkan, lanjutkan ke Aktifkan fitur bayar sesuai penggunaan.
Catatan
Server Anda harus disetel ke level Host Protection atau Host and Container Protection. Untuk instruksi terperinci, lihat Instans bayar sesuai penggunaan.

Aktifkan deteksi ancaman pada kontainer Kubernetes

Masuk ke konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.
Di panel navigasi sisi kiri, pilih System Settings > Feature Settings.
Pada tab Container Protection Settings dari tab Settings, nyalakan sakelar di bagian Threat Detection on Kubernetes Containers.
Jika Security Center mendeteksi ancaman di kluster Kubernetes setelah Anda menyalakan sakelar, peringatan akan dibuat dan ditampilkan di halaman Detection and Response > Alerts. Kami menyarankan Anda untuk melihat dan menangani peringatan secepat mungkin. Untuk informasi lebih lanjut, lihat Lihat dan Tangani Peringatan.
Catatan
Jika fitur Pendeteksian dan Tanggapan Ancaman Cloud (CTDR) diaktifkan, titik masuk ke Alerts berubah. Untuk informasi lebih lanjut, lihat Apa itu CTDR.

Ancaman yang dapat dideteksi

Tipe	Item
Perilaku tidak normal K8s	Instruksi mencurigakan yang dijalankan pada server API Kubernetes
	Pemasangan direktori mencurigakan ke pod
	Pergerakan lateral di antara akun layanan Kubernetes
	Pemulaian pod yang berisi gambar jahat
Koneksi jaringan tidak biasa	Koneksi keluar reverse shell
	Koneksi jaringan keluar mencurigakan
	Pergerakan lateral mencurigakan di jaringan internal
Malware	Trojan DDoS
	Koneksi mencurigakan dari mesin penambangan
	Program mencurigakan
	Alat mencurigakan memulai serangan brute-force pada port
	Program serangan mencurigakan
	Program backdoor
	Alat deteksi kerentanan jahat
	Program jahat
	Program penambangan
	Trojan
	Trojan bermutasi sendiri
	Cacing
Webshell	WebShell
Proses mencurigakan	Perintah mencurigakan yang dijalankan oleh Apache CouchDB
	Perintah mencurigakan yang dijalankan oleh aplikasi FTP
	Perintah mencurigakan yang dijalankan oleh Hadoop
	Perintah mencurigakan yang dijalankan oleh aplikasi Java
	Perintah mencurigakan yang dijalankan oleh Jenkins
	Pembuatan akun mencurigakan di Linux
	Perintah mencurigakan yang dijalankan oleh tugas terjadwal di Linux
	Perintah mencurigakan yang dijalankan oleh MySQL
	Perintah mencurigakan yang dijalankan oleh Oracle
	Perintah mencurigakan yang dijalankan oleh aplikasi PostgreSQL
	Perintah mencurigakan yang dijalankan oleh aplikasi Python
	Ekseskusi non-interaktif perintah SSH yang hanya berisi satu baris yang menargetkan mesin jarak jauh
	Webshell menjalankan perintah probe mencurigakan
	Modifikasi konfigurasi RDP Windows untuk port 3389
	Ekseskusi mencurigakan perintah unduhan di Windows
	Pembuatan akun mencurigakan di Windows
	Injeksi kode jahat dalam pekerjaan crontab
	Urutan perintah mencurigakan di Linux
	Ekseskusi perintah mencurigakan di Linux
	Injeksi dinamis skrip mencurigakan
	Reverse shell
	Perintah reverse shell
	Potensi kebocoran data menggunakan terowongan HTTP
	Tunneling SSH mencurigakan
	Injeksi webshell mencurigakan
	Pemulaian kontainer istimewa mencurigakan
	Pemantauan port mencurigakan
	Pemulaian kontainer jahat
	Debugging API jarak jauh di Docker yang mungkin menimbulkan risiko keamanan
	Perintah mencurigakan
	Eskalasi hak istimewa di kontainer atau pelarian kontainer
	Pemulaian kontainer jahat

Pencegahan pelarian kontainer

Fitur pencegahan pelarian kontainer mendeteksi perilaku berisiko tinggi dalam proses, file, dan panggilan sistem. Fitur ini membentuk penghalang pelindung antara kontainer dan host serta secara efektif mengintersep pelarian untuk memastikan keamanan waktu proses kontainer. Fitur ini juga melindungi dari mode serangan yang dikenal maupun tidak dikenal, serta mengintersep serangan yang diluncurkan pada host setelah penyerang mengeksploitasi kerentanan kontainer.

Prasyarat

Sakelar untuk Malicious Host Behavior Prevention atau Webshell Prevention harus dihidupkan. Untuk informasi lebih lanjut, lihat Pertahanan Proaktif.

Aktifkan pencegahan pelarian kontainer

Masuk ke konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.
Di panel navigasi sisi kiri, pilih System Settings > Feature Settings.
Pada tab Container Protection Settings dari tab Settings, nyalakan sakelar di bagian Container Escape Prevention.

Apa yang harus dilakukan selanjutnya

Setelah menyalakan sakelar di bagian Pencegahan Pelarian Kontainer, Anda harus membuat aturan pertahanan agar fitur ini dapat berfungsi. Untuk informasi lebih lanjut, lihat Gunakan Pencegahan Pelarian Kontainer.
Jika Security Center mendeteksi risiko keamanan di kluster kontainer Kubernetes setelah fitur ini diaktifkan, peringatan akan dibuat dan ditampilkan di halaman Detection and Response > Alerts. Kami menyarankan Anda untuk melihat dan menangani peringatan secepat mungkin. Untuk informasi lebih lanjut, lihat Lihat dan Tangani Peringatan.
Catatan
Jika fitur CTDR diaktifkan, titik masuk ke Alerts berubah. Untuk informasi lebih lanjut, lihat Apa itu CTDR.