Security Center提供了容器K8s威脅檢測和容器防逃逸等容器安全能力,您可以通過開啟對應功能為您的容器運行環境提供安全防護。本文介紹容器防護設定支援的功能及如何設定相應功能。
容器K8s威脅檢測
容器K8s威脅檢測能力支援即時檢測正在啟動並執行容器叢集安全狀態,及時發現容器叢集中的安全隱患和駭客入侵行為。開啟容器K8s威脅檢測能力後,Security Center將為您開啟容器叢集異常類型警示的檢測。Security Center支援的檢測項詳情,請參見容器K8s威脅檢測項。
版本限制
訂用帳戶服務:旗艦版(若目前的版本不支援,請進行升級)。
說明伺服器的防護版本必須設定為當前所購買的版本,具體操作請參見綁定伺服器防護版本。
隨用隨付服務:已開通主機及容器安全隨用隨付(若未開通,請前往購買)。
說明伺服器需設定防護等級為主機及容器全面防護,具體操作請參見綁定伺服器防護等級。
開啟容器K8s威脅檢測
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在設定頁簽容器防護設定 子頁簽的容器K8s威胁检测地區,開啟威脅檢測開關。
開啟該功能後,如果檢測到K8s容器叢集中存在安全風險,會在Security Center頁面展示相關警示,建議您及時查看並處理相關警示。具體操作,請參見評估及處理安全警示。
說明如果已開啟Agentic SOC功能,安全警示功能入口會變更,詳細內容,請參見什麼是Agentic SOC(原威脅分析與響應)。
容器K8s威脅檢測項
類型 | 檢測項 |
容器叢集異常 | K8s API Server執行異常指令 |
Pod異常目錄掛載 | |
K8s Service Account橫向移動 | |
惡意鏡像Pod啟動 | |
異常網路連接 | 反彈Shell網路外連 |
可疑網路外連 | |
疑似內網橫向移動 | |
惡意軟體 | DDoS木馬 |
可疑礦機通訊 | |
可疑程式 | |
可疑連接埠爆破掃描工具 | |
可疑駭客程式 | |
後門程式 | |
惡意漏洞掃描工具 | |
惡意程式 | |
挖礦程式 | |
木馬程式 | |
自變異木馬 | |
蠕蟲 | |
網站後門 | WebShell |
進程異常行為 | Apache-CouchDB執行異常指令 |
FTP應用執行異常指令 | |
Hadoop執行異常指令 | |
Java應用執行異常指令 | |
Jenkins執行異常指令 | |
Linux異常帳號建立 | |
Linux計劃任務執行異常指令 | |
MySQL執行異常指令 | |
Oracle執行異常指令 | |
PostgreSQL應用執行異常指令 | |
Python應用執行異常指令 | |
SSH遠程非互動式一句話異常指令執行 | |
WebShell執行可疑探測指令 | |
Windows-3389-RDP配置被修改 | |
Windows異常下載指令 | |
Windows異常帳號建立 | |
crontab計劃任務被寫入惡意代碼 | |
Linux可疑命令序列 | |
Linux可疑命令執行 | |
動態植入可疑指令檔 | |
反彈Shell | |
反彈Shell命令 | |
可疑HTTP隧道資訊泄露 | |
可疑SSH Tunnel連接埠轉寄隧道 | |
可疑WebShell寫入行為 | |
可疑特權容器啟動 | |
可疑連接埠監聽異常進程 | |
啟動惡意容器 | |
存在風險的Docker遠端偵錯介面 | |
異常操作指令 | |
容器內部提權或逃逸 | |
啟動惡意容器 |
容器防逃逸
容器防逃逸從進程、檔案、系統調用等多種維度檢測高風險行為,在容器與宿主機之間建立防護屏障,有效阻斷逃逸行為保障容器運行時安全。該功能可防禦已知和未知的攻擊模式,攔截攻擊者利用容器漏洞逃逸到宿主伺服器上的攻擊。
前提條件
已開啟惡意主機行為防禦或网站后门连接防御中的任一功能。具體操作,請參見主動防禦。
開啟容器防逃逸
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在設定頁簽容器防護設定 子頁簽容器防逃逸地區,開啟威脅檢測開關。
後續步驟
開啟容器防逃逸開關後,您需要配置容器防逃逸規則才能為容器提供防逃逸功能。具體操作,請參見容器防逃逸。
開啟容器防逃逸開關並配置容器防逃逸規則後,如果檢測到K8s容器叢集中存在安全風險,會在Security Center的頁面展示相關警示,建議您及時查看並處理相關警示。具體操作,請參見評估及處理安全警示。
說明如果已開啟Agentic SOC功能,安全警示功能入口會變更,詳細內容,請參見什麼是Agentic SOC(原威脅分析與響應)。