コンテナー

IBM Security QRadar Container Content Extension を使用して、展開内のコンテナーを詳細に監視します。

注: 「親ファイル名」 カスタム・プロパティーが Cisco AMP V.1.0.0から存在する場合、このコンテンツ拡張はインストールされません。 このコンテンツ拡張をインストールする前に、「Parent Filename」を削除してください。
重要: このコンテンツ拡張でコンテンツ・エラーが発生しないようにするために、関連付けられた DSM を最新の状態に維持してください。 DSMは自動更新の一部として更新される。 自動アップデートが有効になっていない場合は、関連する DSM の最新バージョンを IBM® Fix Central (https://www.ibm.com/support/fixcentral) からダウンロードしてください。

IBM Security QRadar コンテナー・コンテンツ拡張 1.1.4

次の表では、 IBM Security QRadar コンテナー・コンテンツ拡張 1.1.4で更新されたカスタム・プロパティーを示しています。

表 1. IBM Security QRadar コンテナー・コンテンツ拡張 1.1.4
名前 詳細
コンテナー・イメージ プロパティーが最適化されました。
GroupID プロパティーの説明が更新されました。

( 上に戻る )

IBM Security QRadar コンテナー・コンテンツ拡張 1.1.3

次の表では、 IBM Security QRadar コンテナー・コンテンツ拡張 1.1.3の新規ビルディング・ブロックを示しています。

表 2. IBM セキュリティー QRadar コンテナー・コンテンツ拡張 1.1.3 のビルディング・ブロック
名前 説明
BB:DeviceDefinition: コンテナ システム上のすべてのコンテナー・ログ・ソースを定義します。

( 上に戻る )

IBM Security QRadar コンテナー・コンテンツ拡張 1.1.2

次の表では、 IBM Security QRadar コンテナー・コンテンツ拡張 1.1.2のカスタム・プロパティーを示しています。

表 3. IBM セキュリティー QRadar コンテナー・コンテンツ拡張 1.1.2 のカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
コマンド引数 はい 1 argc=\d+ ((a\d+="[^"]+?" ?)+)
ソース・マウント・ポイント はい 1 volumeMounts"\:[{.*?\"mountPath[\":]([^\"])

次の表では、 IBM Security QRadar コンテナー・コンテンツ拡張 1.1.2で新しく導入された、または更新されたルールおよびビルディング・ブロックを示します。

表 4. IBM セキュリティー QRadar コンテナー・コンテンツ拡張 1.1.2 のルールおよびビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB:CategoryDefinition: Resource Creation Events 重要な名前空間 (kube-system や kube-public など) にコンポーネントが作成された場合にトリガーされます。 名前空間 kube-system は、Kubernetes システムから作成されたオブジェクトのみが使用する必要があります。 名前空間 kube-public は、すべてのユーザーが読み取り可能ですが、注意して使用する必要があります。
ルール 重要な名前空間でのリソースの作成 重要な名前空間 (kube-system や kube-public など) にリソースが作成された場合にトリガーされます。 名前空間 kube-system は、Kubernetes システムから作成されたオブジェクトのみが使用する必要があります。 名前空間 kube-public は、すべてのユーザーが読み取り可能ですが、注意して使用する必要があります。
ルール コンテナーにマウントされた重要なファイルまたはディレクトリー /etc/passwd など、重要なファイルまたはディレクトリーがコンテナーにマウントされた場合にそれを検出します。 これにより、ホスト上の重要なディレクトリーまたはファイルにアクセスできます。
ルール コンテナー環境で作成された名前空間の後に複数のリソースが作成される 無許可ユーザーが新規の名前空間を作成し、その後にその名前空間に複数のリソースを作成したことをトリガーされます。 名前空間を作成することは、すべてのユーザーに有効なアクションですが、名前空間の作成直後にその名前空間に複数のリソースを作成することは疑わしい振る舞いです。
ルール SUID または SGID バイナリーのスキャン行為 (SUID or SGID Binaries Reconnaissance) すべての SUID/SGID バイナリーを見つけようとしているユーザーを検出します。 攻撃者は、SUID/SGID バイナリーを使用して自分の特権をエスカレートさせることができます。

( 上に戻る )

IBM Security QRadar コンテナー・コンテンツ拡張 1.1.1

次の表では、 IBM Security QRadar コンテナー・コンテンツ拡張 1.1.1のカスタム・プロパティーを示しています。

表 5. IBM セキュリティー QRadar コンテナー・コンテンツ拡張 1.1.1 のカスタム・プロパティー
名前 最適化済み 場所
コンテナー・イメージ いいえ osquery
コンテナー・イメージ ID いいえ osquery
コンテナー名 いいえ osquery

( 上に戻る )

IBM Security QRadar コンテナー・コンテンツ拡張 1.1.0

次の表では、 IBM Security QRadar コンテナー・コンテンツ拡張 1.1.0のカスタム・プロパティーを示しています。

表 6. IBM セキュリティー QRadar コンテナー・コンテンツ拡張 1.1.0 のカスタム・プロパティー
名前 最適化済み 場所
名前空間 はい Kubernetes
特権コンテナー はい
プロセス・コマンド行 はい
Reason はい Kubernetes
リソース はい Kubernetes
リソース名 はい Kubernetes
役割 はい
役割アクション はい Kubernetes
役割が割り当てられたリソース はい Kubernetes

次の表では、 IBM Security QRadar コンテナー・コンテンツ拡張 1.1.0のルールおよびビルディング・ブロックを示しています。

表 7. IBM セキュリティー QRadar コンテナー・コンテンツ拡張 1.1.0 のルールおよびビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB:BehaviourDefinition: 許可されていないユーザーによる名前空間の作成 無許可ユーザーが作成する名前空間を識別します。
ビルディング・ブロック BB:CategoryDefinition: Resource Creation Events 重要な名前空間 (kube-system や kube-public など) にコンポーネントが作成された場合に検出します。 名前空間 kube-system は、Kubernetes システムから作成されたオブジェクトのみが使用する必要があります。 名前空間 kube-public は、すべてのユーザーが読み取り可能ですが、注意して使用する必要があります。
ビルディング・ブロック BB:DeviceDefinition: コンテナ システム上のすべてのコンテナー・ログ・ソースを定義します。
ルール 非システム・ユーザーによる重要な名前空間でのコマンド実行

重要な名前空間 (Kerbernetes 内の kube-system など) での非システム・ユーザーによるコマンドの実行を検出します。 通常のユーザーは、システム・リソースと対話するべきではありません。

注: ルールを編集して、「system:serviceaccount」をシステム上の標準的なサービス・アカウントに置き換えます。
ルール 非セキュア・ポートからの通信

非セキュア・ポート (2379、8080、または 10250) からの通信を検出します。 非セキュア・ポートは、Kubernetes v.1.14 からはデフォルトで無効にされていますが、明示的に有効にすることができます (ポリシー内の非セキュア・ポート・フラグ)。 非セキュア・ポートが有効にされると、認証なしで API への全アクセス権限が付与されます。

ルール コンテナーの特権役割の作成 (Creation of a Privileged Role for Container)

特権ロールの作成を検出します。 デフォルトでは、特権ロールはすべてのリソースにすべての権限でアクセスできるロール、または特に秘密鍵に対する作成、更新、または削除の権限を持つロールとして定義されています。

注: ルールの応答により、役割が 「Privileged Role」 リファレンス・セットに追加されます。 AQL 照会を調整して、特権と見なされるすべての権限を組み込みます。
ルール 重要な名前空間でのリソースの作成 重要な名前空間 (kube-system や kube-public など) にリソースが作成された場合に検出します。 名前空間 kube-system は、Kubernetes システムから作成されたオブジェクトのみが使用する必要があります。 名前空間 kube-public は、すべてのユーザーが読み取り可能ですが、注意して使用する必要があります。
ルール コンテナーの特権役割の削除 (Deletion of a Privileged Role for Container)

「Privileged Role」リファレンス・セットで定義されている特権ロールの削除を検出します。

注: ルールの応答により、 「特権役割」 リファレンス・セットから役割が削除されます。
注: IBM Security QRadar 7.3.2 以前のバージョンでは、リファレンス・セットは特権役割- AlphaNumericに正しくリンクされていません。 これは 7.3.2 パッチ 1 で修正されました。 7.3.2 パッチ 1 をインストールしていない場合は、ルールを選択し、「次へ」をクリックします。 「ルールの応答」で、リファレンス・セットのリストをクリックし、「Privileged Roles - AlphaNumeric」を選択します。
ルール シークレットの読み取りに複数回失敗する 秘密鍵の読み取り中の複数の失敗を検出します (パスワード、OAuth トークン、SSH 鍵などの機密情報の保管)。
ルール 複数の機密リソースが削除されました 複数の重要リソースが削除されていることを検出します。 これは、侵入者が機密情報を危険にさらしていることを示している可能性があります。
注: セットの 「Sensitive Resource Names」 リファレンス・マップには、関連する名前を取り込む必要があります。
ルール コンテナー環境で作成された名前空間の後に複数のリソースが作成される 無許可ユーザーが新規の名前空間を作成し、その後にその名前空間に複数のリソースを作成したことを検出します。 名前空間を作成することは、すべてのユーザーに有効なアクションですが、名前空間の作成直後にその名前空間に複数のリソースを作成することは疑わしい振る舞いです。
注: ルールを編集して、「authorized_users」をシステムの標準的な管理者に置き換えます。
ルール コンテナーに対するリモート・シェル実行の検出 リモート・シェルの実行を検出します。 敵対者は、サーバー上で任意のコマンドを実行するためにこの手法を使用する場合があります。 これは、アプリケーションやデータに影響を及ぼす可能性があり、組織内の他のシステムまで影響が広がる可能性があります。

次の表では、 IBM Security QRadar コンテナー・コンテンツ拡張 1.1.0のレポートを示しています。

表 8. IBM セキュリティー QRadar コンテナー・コンテンツ拡張 1.1.0 のレポート
レポート名 説明
ユーザー名でグループ化された、禁止されている失敗した API 要求 Kubernetes ユーザーからの失敗した禁止 API 要求を表示します。

保存済み検索: Events: Forbidden Failed API Requests Grouped by Username

注: この検索および関連する検索依存関係を編集して、結果を絞り込みます。
コンテナーの特権役割とユーザー (Privileged Roles and Users for Container)

Kubernetes の特権ロールおよび特権ユーザーを表示します。

レポートの内容は、次のログ・アクティビティーに対する検索を使用して整理されます。

  • コンテナーの特権役割
  • コンテナーの特権ユーザー
注: この検索および関連する検索依存関係を編集して、結果を絞り込みます。

次の表では、 IBM Security QRadar コンテナー・コンテンツ拡張 1.1.0のリファレンス・データを示しています。

表 9. IBM セキュリティー QRadar コンテナー・コンテンツ拡張 1.1.0 のリファレンス・データ
タイプ 名前 説明
リファレンス・セット 特権役割 すべての特権ロールをリストします。
セットのリファレンス・マップ 機密リソース名 リソース・タイプ別にすべての重要リソース名をリストします。

次の表では、 IBM Security QRadar コンテナー・コンテンツ拡張 1.1.0の保存済み検索を示しています。

表 10. IBM セキュリティー QRadar コンテナー・コンテンツ拡張 1.1.0 の保存済み検索
名前 説明
ユーザー名でグループ化された、禁止されている失敗した API 要求 ユーザー名によってグループ化された、失敗した禁止 API 要求をすべて表示します。
コンテナーの特権役割 コンテナーのすべての特権ロールを表示します。
コンテナーの特権ユーザー コンテナーのすべての特権ユーザーを表示します。

( 上に戻る )

IBM Security QRadar コンテナー・コンテンツ拡張 1.0.1

コンテンツ拡張が更新され、すべてのカスタム・プロパティーがデフォルトで有効になり、ルール応答リミッターのリンク切れが修正されました。

( 上に戻る )

IBM Security QRadar コンテナー・コンテンツ拡張 1.0.0

次の表では、 IBM Security QRadar コンテナー・コンテンツ拡張 1.0.0のカスタム・プロパティーを示しています。

表 11. IBM セキュリティー QRadar コンテナー・コンテンツ拡張 1.0.0 のカスタム・プロパティー
名前 最適化済み 場所
コンテナー ID はい osquery
ファイル・ディレクトリー はい
ファイル名 はい
GroupID はい
親プロセスの名前 はい
親プロセス・パス はい
特権コンテナー はい
プロセス・コマンド行 はい
プロセス名 はい
ルールの詳細 はい osquery
SHA256 ハッシュ はい
ソース・マウント・ポイント はい osquery
ターゲット・ユーザー名 はい
ユーザー ID はい

次の表では、 IBM Security QRadar コンテナー・コンテンツ拡張 1.0.0のルールおよびビルディング・ブロックを示しています。

表 12. IBM セキュリティー QRadar コンテナー・コンテンツ拡張 1.0.0 のルールおよびビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB:BehaviourDefinition:異常プロセスが生成された 「Privilege Modification followed by Suspicious Activity」を追跡するために使用されます。
ビルディング・ブロック BB:BehaviourDefinition: 異常な右割り当てに続いて特権コンテナが作成される 「Privilege Modification followed by Suspicious Activity」を追跡するために使用されます。
ビルディング・ブロック BB:BehaviourDefinition: Linux プロセスによって生成されたシェル

プロセスから作成されたシェルを検出しますが、その可能性はほとんどありません。

注: 「Whitelisted Linux Processes」 リファレンス・セットに、新規 Linux シェルの作成を許可されているホワイトリスト・プロセスにデータを取り込みます。
ビルディング・ブロック BB:DeviceDefinition: Operating System システム上のすべてのオペレーティング・システムを定義します。
ビルディング・ブロック BB:BehaviourDefinition:ユーティリティによって生成されたプロセス echofindnmapncatzip など、新しいプロセスの作成に使用するコマンド・ライン・ユーティリティーを検出します。
ルール 無許可ユーザーに割り当てられた異常な権限

システムに追加された異常な sudo ルールを検出します。 ターゲット・ユーザー名は、sudoer ルールが適用されたユーザーです。

注: このルールを編集して、 authorized_username をシステムの標準的な管理者のリストに置き換え、ユーティリティーをファイル変更機能または実行機能に置き換えます。
ルール 特権コンテナーの作成 (Creation of a Privileged Container) 特権コンテナーの作成を検出します。 特権フラグを指定してコンテナーを実行すると、ホスト・デバイスへのアクセスを含むすべての機能がコンテナーに提供されます。
ルール スーパーユーザー特権を持つユーザーの作成 スーパーユーザーであることを示す、uid または gid が 0 のユーザー・アカウントの作成を検出します。
ルール コンテナーにマウントされた重要なファイルまたはディレクトリー

/etc/passwd など、重要なファイルまたはディレクトリーがコンテナーにマウントされた場合にそれを検出します。 コンテナーにマウントされた重要なファイルまたはディレクトリーによって、ホストの重要なディレクトリーまたはファイルへのアクセスが許可されます。

注: モニターする可能性がある重要なファイルまたはディレクトリーを追加するには、このルールを編集します。
ルール コンテナーで検出された敵対プロセス

マルウェア、フィッシング、クリプトマイニングなど、悪意のあるプロセスとして分類されているプロセスを検出します。

注: 「Malware Hashes SHA」 リファレンス・セットにデータを取り込む必要があります。 Threat Intelligence アプリケーションを使用して、そのリファレンス・セットに脅威インテリジェンス・フィードをインポートできます。
ルール ログイン・シェルがオーバーライドされました

ログイン・シェルがオーバーライドされた場合にそれを検出します。 持続性を実現するために、攻撃者がログイン・シェルをオーバーライドすることがあります。

注: 「Login Shell Filename」 リファレンス・セットには、シェル・ファイル名が事前に取り込まれており、調整することができます。
ルール 許可キー・ファイルの変更 /.ssh/authorized_keys ファイルが変更された場合にそれを検出します。 攻撃者は、authorized_keys ファイルに自分の公開鍵を追加します。これにより、攻撃者が秘密鍵を持っていれば、追加の認証なしでいつでもシステムにログインできるようになります。
ルール 複数の機密コンテナーが停止または削除されました

複数の機密コンテナーが停止または削除された場合にそれを検出します。 これは、侵入者が機密情報を危険にさらしていることを示している可能性があります。

注: 「Sensitive Container IDs」 リファレンス・セットには、関連するコンテナー ID を取り込む必要があります。
ルール パスワード・ルールが Sudoers ファイルに追加されていません ユーザーのパスワードを必要としない、システムに追加された異常な sudo ルールを検出します。
注: ルールを編集して、 authorized_username をシステムの許可された管理者のリストに置き換えます。
ルール 特権変更の後に疑わしいアクティビティーが続く 許可されていないユーザーの特権の追加と、その後に続くプロセスの疑わしい実行を検出します。
ルール リバース・シェルまたはバインド・シェルが検出されました リバース・シェルまたはバインド・シェルを検出します。 これは、ターゲット・ホストから攻撃者ホストに対して開始されるシェル接続です。
ルール SUID または SGID バイナリーのスキャン行為 (SUID or SGID Binaries Reconnaissance) すべての SUID/SGID バイナリーを見つけようとしているユーザーを検出します。 攻撃者は、SUID/SGID バイナリーを使用して自分の特権をエスカレートさせることができます。

次の表では、 IBM Security QRadar コンテナー・コンテンツ拡張 1.0.0のリファレンス・データを示しています。

表 13. IBM セキュリティー QRadar コンテナー・コンテンツ拡張 1.0.0 のリファレンス・データ
タイプ 名前 説明
リファレンス・セット ログイン・シェル・ファイル名 すべてのログイン・シェル名をリストします。
リファレンス・セット Malware Hashes SHA プロセスのすべてのマルウェア SHA ハッシュをリストします。
リファレンス・セット ネットワーキング・ユーティリティー・コマンド セッションを開くことができるすべてのネットワーク・ユーティリティー・コマンドをリストします。
リファレンス・セット 機密コンテナー ID すべての機密コンテナー ID をリストします (機密コンテナー ID はユーザーがデータを設定する必要があります)。
リファレンス・セット 実行機能付きユーティリティー 実行機能を持つすべてのユーティリティー・コマンドをリストします。
リファレンス・セット ホワイトリストにある Linux プロセス

重要なファイルに対してアクションを実行する権限がある、ホワイトリストに登録されているすべての Linux プロセスをリストします。

( 上に戻る )