企业主机安全 HSS-产品功能:容器安全告警
下载企业主机安全 HSS用户手册完整版
容器安全 告警
容器安全告警支持对Docker、Containerd容器引擎进行入侵行为检测,实时监控容器节点运行状态,发现挖矿、勒索等恶意程序,发现违反容器安全策略的进程运行和文件修改,以及容器逃逸等行为并给出解决方案。
|
功能名称 |
功能概述 |
基础版 |
专业版 |
企业版 |
旗舰版 |
网页防篡改版 |
容器版 |
|---|---|---|---|---|---|---|---|
|
未分类恶意软件 |
对容器中运行的程序进行检测,识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
勒索软件 |
检测容器场景下勒索软件,并进行告警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
黑客工具 |
检测服务器是否存在用来控制服务器的非标工具,一旦发现立即上报告警。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
√ |
√ |
√ |
√ |
|
Webshell |
检测容器中Web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
漏洞逃逸攻击 |
监控到容器内进程行为符合已知漏洞的行为特征时,触发逃逸漏洞攻击告警。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
文件逃逸攻击 |
监控发现容器进程访问了宿主机系统的关键文件目录(例如:“/etc/shadow”、“/etc/crontab”),则认为容器内发生了逃逸文件访问,触发告警。即使该目录符合容器配置的目录映射规则,仍然会触发告警。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
反弹Shell |
实时监控容器环境用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。支持对TCP、UDP、ICMP等协议的检测。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
文件提权 |
检测当前容器系统对文件的提权。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
进程提权 |
检测容器环境以下进程提权操作:
支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
关键文件变更 |
对于容器场景系统关键文件进行监控,文件被修改时告警,提醒用户关键文件存在被篡改的可能。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
进程异常行为 |
检测容器场景下各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为:
支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
容器进程异常 |
支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
容器异常启动 |
监控新启动的容器,对容器启动配置选项进行检测,当发现容器权限过高存在风险时触发告警。 支持以下容器环境检测:
支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
高危命令执行 |
实时检测容器场景系统中执行的高危命令,当发生高危命令执行时触发告警。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
高危系统调用 |
Linux系统调用是用户进程进入内核执行任务的请求通道,容器安全监控容器进程,如果发现进程使用了危险系统调用,触发高危系统调用告警。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
敏感文件访问 |
监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
容器镜像阻断 |
在Docker环境中容器启动前,告警并阻断镜像异常行为策略中指定的不安全容器镜像运行。 支持的操作系统:Linux。 检测周期:实时检测。
说明:
|
× |
× |
× |
× |
× |
√ |
|
可疑命令执行 |
支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
运行时异常行为 |
提供网络、主机、Pod、容器、进程、系统调用多层次防护,可监控容器中出现的进程、文件、网络活动、进程capabilities、系统调用共5种运行时异常行为,支持对异常行为进行告警和阻断,阻止容器逃逸,保护容器运行时的安全。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
暴力破解 |
检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为,发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 支持的操作系统:Linux。 检测周期:实时检测。
说明:
目前暂仅支持Docker容器运行时的暴力破解检测告警。 |
× |
× |
× |
× |
× |
√ |
|
非法系统账号 |
检测容器场景系统中的账号,列出当前系统中的可疑账号信息并告警上报,帮助用户及时发现非法账号。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
用户密码窃取 |
检测容器环境中系统账号和密码Hash值被异常获取的行为,一旦发现进行告警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
异常外联行为 |
检测到容器环境中存在异常外联可疑ip的行为,一旦发现进行告警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
端口转发检测 |
检测到容器环境中利用可疑工具进行端口转发行为,一旦发现进行告警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
Kubernetes事件删除 |
检测集群中删除Kubernetes事件的行为,一旦发现进行警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
Pod异常行为 |
检测集群中存在创建特权pod、静态pod及敏感配置pod的异常行为,以及对现存pod执行的异常操作,一旦发现进行告警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
枚举用户信息 |
检测存在枚举集群用户的权限以及可执行操作列表的行为,一旦发现进行告警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
绑定集群用户角色 |
检测绑定、创建高权限集群角色或Service Account的行为,一旦发现进行告警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
进程注入 |
检测将恶意代码注入到正在运行的进程的行为,一旦发现立即告警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
动态库注入进程 |
检测通过劫持动态链接库中的函数,从而实现白加黑注入代码的行为,一旦发现立即告警上报 。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
|
内存文件进程 |
检测通过memfd_create的系统调用,创建一个只存在于 RAM 中的匿名恶意文件,从而执行恶意文件的行为,一旦发现立即告警上报。 支持的操作系统:Linux。 检测周期:实时检测。 |
× |
× |
× |
× |
× |
√ |
