Security Center コンソールの コンテナ保護設定 タブでは、Kubernetes コンテナの脅威検知やコンテナエスケープ防止など、コンテナランタイムのセキュリティ機能を有効化できます。
Kubernetes コンテナの脅威検知
Kubernetes コンテナの脅威検知機能は、実行中のコンテナクラスターのセキュリティ状態をリアルタイムでモニターし、攻撃や異常な動作を即時に検出します。脅威が検出されると、Security Center は自動的に K8s 異常動作 タイプのアラートを生成し、被害が拡大する前に調査・対応できるよう早期警告を提供します。
たとえば、攻撃は単一の脆弱性のあるコンテナから始まり、攻撃者が悪意のあるコマンドを実行して Kubernetes サービスアカウント間を横断的に移動し、最終的にホストへのエスケープやデータの外部流出を試みることがあります。この脅威検知機能は、Kubernetes API サーバーへの不審な命令、悪意のあるイメージを含む Pod の起動、リバースシェル、コンテナ内での権限昇格など、攻撃チェーン全体を監視します。
制限事項
サブスクリプションサービス:
Enterprise エディションまたは Ultimate エディションで利用可能です。エディションをスペックアップするには、「Security Center の購入」をご参照ください。
サーバーは Enterprise または Ultimate 保護エディションに設定されている必要があります。詳細な手順については、「ホストおよびコンテナセキュリティクォータの管理」をご参照ください。
従量課金サービス:
Host and Container Security サービスを有効にする必要があります。有効化手順については、「Security Center の購入」をご参照ください。
サーバーは ホスト保護 または ホストおよびコンテナ保護 レベルに設定されている必要があります。詳細な手順については、「従量課金インスタンス」をご参照ください。
Kubernetes コンテナの脅威検知を有効化する
Security Center コンソールSecurity Center コンソール にログインします。上部ナビゲーションバーで、管理対象のアセットがあるリージョン(中国 または 中国以外)を選択します。
左側のナビゲーションウィンドウで、システム設定 > 機能設定 を選択します。
設定項目 タブ内の コンテナ保護設定 タブで、Kubernetes コンテナの脅威検知 セクションの 脅威検知 スイッチをオンにします。
スイッチをオンにすると、検出された脅威は 検知と対応 > アラート ページにアラートとして表示されます。アラートは速やかに確認・対応してください。詳細については、「セキュリティアラートの評価と対応」をご参照ください。
Agentic SOC 機能が有効になっている場合、アラート のエントリーポイントが変更されます。詳細については、「Agentic SOC の概要」をご参照ください。
検知可能な脅威
この機能は、以下の 5 つのカテゴリにわたる脅威を検出します。
| カテゴリ | 検知項目 |
|---|---|
| K8s 異常動作 | Kubernetes API サーバーでの不審な命令の実行、Pod への不審なディレクトリのマウント、Kubernetes サービスアカウント間の横断的移動、悪意のあるイメージを含む Pod の起動 |
| 不審なネットワーク接続 | リバースシェルによるアウトバウンド接続、不審なアウトバウンドネットワーク接続、内部ネットワーク内での不審な横断的移動 |
| マルウェア | DDoS 攻撃トロイ、マイニングマシンからの不審な接続、不審なプログラム、ブルートフォース攻撃を開始する不審なツール、不審な攻撃プログラム、バックドアプログラム、悪意のある脆弱性検出ツール、悪意のあるプログラム、マイニングプログラム、トロイ、自己変異型トロイ、ワーム |
| WebShell | WebShell |
| 不審なプロセス | Apache CouchDB による不審なコマンドの実行、FTP アプリケーションによる不審なコマンドの実行、Hadoop による不審なコマンドの実行、Java アプリケーションによる不審なコマンドの実行、Jenkins による不審なコマンドの実行、Linux での不審なアカウント作成、Linux の定期タスクによる不審なコマンドの実行、MySQL による不審なコマンドの実行、Oracle による不審なコマンドの実行、PostgreSQL アプリケーションによる不審なコマンドの実行、Python アプリケーションによる不審なコマンドの実行、リモートマシンを対象とした 1 行のみの非インタラクティブ SSH コマンドの不審な実行、WebShell による不審なプローブコマンドの実行、ポート 3389 に対する Windows RDP 構成の不審な変更、Windows でのダウンロードコマンドの不審な実行、Windows での不審なアカウント作成、crontab ジョブへの悪意のあるコードの挿入、Linux での不審なコマンドシーケンス、Linux での不審なコマンドの実行、不審なスクリプトの動的挿入、リバースシェル、リバースシェルコマンド、HTTP トンネルによる潜在的なデータ侵害、不審な SSH トンネリング、不審な WebShell の挿入、特権コンテナの不審な起動、不審なポートリスニング、悪意のあるコンテナの起動、セキュリティリスクを伴う可能性のある Docker のリモート API デバッグ、不審なコマンド、コンテナ内での権限昇格またはコンテナエスケープ、悪意のあるコンテナの起動 |
コンテナエスケープ防止
コンテナエスケープ防止機能は、プロセス、ファイル、システムコールをモニターし、コンテナエスケープが成功する前に高リスクな動作を検出します。この機能はコンテナとホストの間に保護バリアを設け、既知および未知の攻撃パターン(コンテナの脆弱性を悪用して基盤ホストに到達しようとする攻撃を含む)を遮断します。
前提条件
開始前に、以下のいずれかのスイッチがオンになっていることを確認してください。
悪意のあるホスト動作防止
WebShell 防止
詳細な手順については、「プロアクティブディフェンス」をご参照ください。
コンテナエスケープ防止を有効化する
Security Center コンソールSecurity Center コンソール にログインします。上部ナビゲーションバーで、管理対象のアセットがあるリージョン(中国 または 中国以外)を選択します。
左側のナビゲーションウィンドウで、システム設定 > 機能設定 を選択します。
設定項目 タブ内の コンテナ保護設定 タブで、コンテナエスケープ防止 セクションの 脅威検知 スイッチをオンにします。
次のステップ
コンテナエスケープ防止を有効化した後は、以下の操作を行います。
コンテナエスケープ防止ルールを作成して保護を有効化します。詳細な手順については、「コンテナエスケープ防止の使用」をご参照ください。
Security Center がご利用の Kubernetes クラスターにリスクを検出した場合、アラートは 検知と対応 > アラート ページに表示されます。速やかに確認・対応してください。詳細については、「セキュリティアラートの評価と対応」をご参照ください。
Agentic SOC 機能が有効になっている場合、アラート のエントリーポイントが変更されます。詳細については、「Agentic SOC の概要」をご参照ください。