Container

Use a IBM Security QRadar Container Content Extension para monitorar de perto os contêineres em sua implantação.

Nota: Esta extensão de conteúdo não se instala quando a propriedade customizada Pai Filename está presente a partir do Cisco AMP V.1.0.0. Exclua Nome do arquivo pai antes de instalar essa extensão de conteúdo.
Importante: Para evitar erros de conteúdo nesta extensão de conteúdo, mantenha as DSMs associadas até hoje. Os DSMs são atualizados como parte das atualizações automáticas. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente dos DSMs associados a partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Segurança QRadar Extensão do conteúdo do contêiner 1.1.4

A tabela a seguir mostra as propriedades customizadas que são atualizadas no IBM Security QRadar Container Content Extension 1.1.4.

Tabela 1. Propriedades Customizadas no IBM Security QRadar Container Content Extension 1.1.4
Nome Detalhes
Imagem do contêiner A propriedade agora é otimizada.
GroupID Descrição do imóvel atualizado.

(Voltar para o topo)

IBM Segurança QRadar Extensão do conteúdo do contêiner 1.1.3

A tabela a seguir mostra os blocos de construção que são novos no IBM Security QRadar Container Content Extension 1.1.3.

Tabela 2. Bloco de construção no IBM Security QRadar Container Content Extension 1.1.3
Nome Descrição
BB:DeviceDefinition: Contêineres Define todas as origens de log de contêiner no sistema.

(Voltar para o topo)

IBM Segurança QRadar Extensão do conteúdo do contêiner 1.1.2

A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Container Content Extension 1.1.2.

Tabela 3. Propriedades customizadas no IBM Security QRadar Container Content Extension 1.1.2
Nome Otimizada Grupo de Captura Expressão regular
Argumentos de Comando Sim 1 argc=\d+ ((a\d+="[^"]+?" ?)+)
Ponto de montagem de origem Sim 1 volumeMounts"\:[{.*?\"mountPath[\":]([^\"])

A tabela a seguir mostra as regras e os blocos de construção novos ou atualizados no IBM Security QRadar Container Content Extension 1.1.2.

Tabela 4. Regras e blocos de construção no IBM Security QRadar Container Content Extension 1.1.2
Tipo Nome Descrição
Bloco de construção BB:CategoryDefinition: eventos de criação de recurso É acionado quando componentes são criados em espaços de nomes críticos, como kube-system ou kube-public. O namespace kube-system deve ser usado apenas por objetos criados no sistema Kubernetes. O namespace kube-public pode ser lido por todos os usuários, por isso, deve ser usado com cuidado.
Regra Criação de recursos em namespaces críticos É acionada quando recursos são criados em espaços de nomes críticos, como kube-system ou kube-public. O espaço de nomes kube-system só deve ser usado por objetos criados por um sistema Kubernetes. O namespace kube-public pode ser lido por todos os usuários, por isso, deve ser usado com cuidado.
Regra Arquivo ou diretório crítico montado em um contêiner Detecta quando um arquivo ou diretório crítico é montado em um contêiner, por exemplo, /etc/passwd. Isso permite o acesso ao diretório ou a arquivos críticos em um host.
Regra Criação de namespace seguida pela criação de diversos recursos em um ambiente de contêiner É acionada quando um usuário não autorizado cria um novo espaço de nomes e, em seguida, diversos recursos nele. Criar um namespace é uma ação válida para qualquer usuário, mas a criação de diversos recursos no namespace logo após a criação dele é suspeita.
Regra Ressonância dos binários SUID ou SGID Detecta um usuário tentando localizar todos os binários SUID/SGID. Os adversários podem usar binários SUID/SGID para escalar seus privilégios.

(Voltar para o topo)

IBM Segurança QRadar Extensão do conteúdo do contêiner 1.1.1

A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Container Content Extension 1.1.1.

Tabela 5. Propriedades Customizadas no IBM Security QRadar Container Content Extension 1.1.1
Nome Otimizada Localizado em
Imagem do contêiner Não osquery
ID da imagem de contêiner Não osquery
Nome do contêiner Não osquery

(Voltar para o topo)

IBM Segurança QRadar Extensão do conteúdo do contêiner 1.1.0

A tabela a seguir mostra as propriedades customizáveis no IBM Security QRadar Container Content Extension 1.1.0

Tabela 6. Propriedades Customizadas no IBM Security QRadar Container Content Extension 1.1.0
Nome Otimizada Localizado em
Espaço de Nomes Sim Kubernetes
Contêiner Privilegiado Sim
Process CommandLine Sim
Motivo Sim Kubernetes
Recurso Sim Kubernetes
Nome do recurso Sim Kubernetes
Função Sim
Ações de Função Sim Kubernetes
Recursos Atribuídos a Função Sim Kubernetes

A tabela a seguir mostra as regras e blocos de construção no IBM Security QRadar Container Content Extension 1.1.0.

Tabela 7. Regras e blocos de construção no IBM Security QRadar Container Content Extension 1.1.0
Tipo Nome Descrição
Bloco de construção BB:BehaviourDefinition: usuário não autorizado criando namespaces Identifica usuários não autorizados criando namespaces.
Bloco de construção BB:CategoryDefinition: eventos de criação de recurso Detecta quando componentes são criados em namespaces críticos, como kube-system ou kube-public. O namespace kube-system deve ser usado apenas por objetos criados no sistema Kubernetes. O namespace kube-public pode ser lido por todos os usuários, por isso, deve ser usado com cuidado.
Bloco de construção BB:DeviceDefinition: Contêineres Define todas as origens de log de contêiner no sistema.
Regra Execução de comando em namespaces críticos por um usuário não pertencente ao sistema

Detecta a execução de um comando em um namespace crítico, por exemplo, kube-system no Kubernetes, por um usuário não pertencente ao sistema. Usuários normais não devem interagir com os recursos do sistema.

Nota: Editar a regra para substituir "system:serviceaccount" com contas típicas de serviços no sistema.
Regra Comunicação de uma porta não segura

Detecta comunicações de uma porta não segura (2379, 8080 ou 10250). A porta não segura é desativada por padrão no Kubernetes v.1.14, mas é possível ativá-la explicitamente (sinalizador de porta não segura na política). Depois que a porta não segura é ativada, é concedido acesso total à API sem autenticação.

Regra Criação de uma função privilegiada para contêineres

Detecta a criação de uma função privilegiada. Por padrão, é definido como uma função que tem acesso a todos os recursos com todos os direitos ou que tem direitos de criação, atualização ou exclusão especificamente sobre “segredos”.

Nota: A resposta de regra adiciia a função ao conjunto de referência Foro Privilegiado . Ajuste a consulta AQL para incluir qualquer permissão considerada Privilegiada.
Regra Criação de recursos em namespaces críticos Detecta quando recursos são criados em namespaces críticos, como kube-system ou kube-public. O namespace kube-system deve ser usado apenas por objetos criados no sistema Kubernetes. O namespace kube-public pode ser lido por todos os usuários, por isso, deve ser usado com cuidado.
Regra Exclusão de uma função privilegiada para contêineres

Detecta a exclusão de uma função privilegiada definida no conjunto de referências Função privilegiada.

Nota: A resposta de regra remove a função do conjunto de referência Foro Privilegiado .
Nota: No IBM Security QRadar 7.3.2 e versões anteriores, o conjunto de referência não se vincula adequadamente a Funções privilegiadas- AlphaNumeric. Isso foi corrigido em 7.3.2 patch 1. Se você não tiver 7.3.2 patch 1 instalado, pode-se fazer o seguinte: Selecione a regra e clique em Avançar. Em Resposta de regra, clique na lista do conjunto de referências e selecione Funções privilegiadas - Alfanumérico.
Regra Diversas falhas na leitura de segredos Detecta diversas falhas na leitura de segredos (armazenamento de informações confidenciais, como senhas, tokens OAuth, chaves SSH etc.).
Regra Diversos recursos sensíveis excluídos Detecta quando diversos recursos sensíveis estão sendo excluídos. Isso pode indicar que um intruso está comprometendo informações confidenciais.
Nota: O Mapa de referência de Nomes de Recursos Sensíveis de conjuntos deve ser preenchido com os nomes relevantes.
Regra Criação de namespace seguida pela criação de diversos recursos em um ambiente de contêiner Detecta quando um usuário não autorizado cria um novo namespace e diversos recursos nele. Criar um namespace é uma ação válida para qualquer usuário, mas a criação de diversos recursos no namespace logo após a criação dele é suspeita.
Nota: Editar a regra para substituir "autorized_users" por administradores típicos do sistema.
Regra Execução de shell remoto em um contêiner detectada Detecta execuções de shell remoto. Um intruso pode usar essa técnica para executar comandos arbitrários em um servidor. Isso pode afetar aplicativos e dados e permitir a alternância para outros sistemas dentro da organização.

A tabela a seguir mostra os relatórios no IBM Security QRadar Container Content Extension 1.1.0.

Tabela 8. Relatórios no IBM Security QRadar Container Content Extension 1.1.0
Nome do Relatório Descrição
Solicitações de API proibidas com falha agrupadas por nome de usuário Mostra solicitações de API proibidas com falha de usuários do Kubernetes.

Procura salva: Eventos: solicitações de API proibidas com falha agrupadas por nome de usuário

Nota: Editar esta pesquisa e quaisquer dependências de pesquisa relevantes para refinar os resultados.
Funções e usuários privilegiados para contêineres

Mostra funções e usuários privilegiados do Kubernetes.

O conteúdo do relatório é coletado usando as procuras de atividades de log a seguir:

  • Funções Privilegiadas para Container
  • Usuários Privilegiados para Container
Nota: Editar esta pesquisa e quaisquer dependências de pesquisa relevantes para refinar os resultados.

A tabela a seguir mostra os dados de referência no IBM Security QRadar Container Content Extension 1.1.0.

Tabela 9. Dados de Referência no IBM Security QRadar Container Content Extension 1.1.0
Tipo Nome Descrição
Conjunto de Referências Papel Privilegiado Lista todas as funções privilegiadas.
Mapa de Referência de Conjuntos Nomes de recursos sensíveis Lista todos os nomes de recursos sensíveis por tipo de recurso.

A tabela a seguir mostra as procuras salvas no IBM Security QRadar Container Content Extension 1.1.0.

Tabela 10. Procuras salvas no IBM Security QRadar Container Content Extension 1.1.0
Nome Descrição
Solicitações de API proibidas com falha agrupadas por nome de usuário Mostra todas as solicitações de API proibidas com falha agrupadas por nome de usuário.
Funções Privilegiadas para Container Mostra todas as funções privilegiadas para contêineres.
Usuários Privilegiados para Container Mostra todos os usuários privilegiados para contêineres.

(Voltar para o topo)

IBM Segurança QRadar Extensão do conteúdo do contêiner 1.0.1

Atualizada a extensão de conteúdo para ativar todas as propriedades customizadas por padrão e para corrigir links quebrados no delimitador de resposta de regra.

(Voltar para o topo)

IBM Segurança QRadar Extensão do conteúdo do contêiner 1.0.0

A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Container Content Extension 1.0.0.

Tabela 11. Propriedades customizadas no IBM Security QRadar Container Content Extension 1.0.0
Nome Otimizada Localizado em
ID do contêiner Sim osquery
Diretório de Arquivos Sim
Nome do Arquivo Sim
GroupID Sim
Nome do processo pai Sim
Caminho do Processo Pai Sim
Contêiner Privilegiado Sim
Process CommandLine Sim
Nome do Processo Sim
Detalhes da regra Sim osquery
Hash SHA256 Sim
Ponto de montagem de origem Sim osquery
Nome do Usuário de Destino Sim
ID do usuário Sim

A tabela a seguir mostra as regras e blocos de construção no IBM Security QRadar Container Content Extension 1.0.0.

Tabela 12. Regras e blocos de construção no IBM Security QRadar Container Content Extension 1.0.0
Tipo Nome Descrição
Bloco de construção BB:BehaviourDefinition: processo anormal com spawn efetuado Usado para rastrear Modificação de privilégio seguida de atividade suspeita.
Bloco de construção BB:BehaviourDefinition: direito anormal designado seguido por criação de contêiner privilegiado Usado para rastrear Modificação de privilégio seguida de atividade suspeita.
Bloco de construção BB:BehaviourDefinition: shell do Linux com spawn efetuado por um processo

Detecta um shell criado por meio de um processo, o que é improvável.

Nota: Preencha o conjunto de referência Whitelisted Linux Processes a processos de whitelist que são permitidos para criar novas conchas Linux .
Bloco de construção BB:DeviceDefinition: sistema operacional Define todos os sistemas operacionais no sistema.
Bloco de construção BB:BehaviourDefinition: processo com spawn efetuado por utilitário Detecta utilitários de linha de comandos que são usados para criar novos processos, como echo, find, nmap, ncat e zip.
Regra Direitos anormais designados a usuários não autorizados

Detecta uma regra sudo incomum incluída no sistema. O nome do usuário de destino é o usuário a quem a regra do sudoer foi aplicada.

Nota: Editar esta regra para substituir autorized_username com a lista de administradores típicos do sistema, e utilitários com modificação de arquivo ou capacidades de execução.
Regra Criação de um contêiner privilegiado Detecta a criação de um contêiner privilegiado. Executar um contêiner com a sinalização privilegiada fornece todas as capacidades para o contêiner, incluindo o acesso ao dispositivo host.
Regra Criação de um usuário com privilégios de superusuário Detecta a criação de uma conta de usuário que possui um uid ou gid de 0, o que indica um superusuário.
Regra Arquivo ou diretório crítico montado em um contêiner

Detecta quando um arquivo ou diretório crítico é montado em um contêiner, por exemplo, /etc/passwd. Um arquivo ou diretório crítico montado em um contêiner permite acesso ao diretório ou arquivos críticos do host.

Nota: Editar esta regra para adicionar qualquer arquivo crítico ou diretório que você possa desejar monitorar.
Regra Processo hostil detectado em um contêiner

Detecta processos que são categorizados como hostis, como malware, phishing, cryptomining.

Nota: O conjunto de referência Malware Hashes SHA deve ser preenchido. É possível usar o aplicativo Threat Intelligence para importar feeds de inteligência de ameaça nesse conjunto de referência.
Regra Substituição de shell de login

Detecta quando uma shell de login é substituto. Adversários podem substituir um shell de login para alcançar persistência.

Nota: O conjunto de referência Login Shell Filename é pré-preenchido com nomes de arquivos shell, e pode ser ajustado.
Regra Modificação no arquivo de chaves autorizadas Detecta quando o arquivo /.ssh/authorized_keys é modificado. O invasor inclui a sua chave pública no arquivo authorized_keys, o que permitirá a ele efetuar login no sistema a qualquer momento sem autenticação adicional se ele tiver a sua chave privada.
Regra Múltiplos contêineres sensíveis interrompidos ou excluídos

Detecta quando múltiplos contêineres sensíveis estão sendo interrompidos ou excluídos. Isso pode indicar que um intruso está comprometendo informações sensíveis.

Note: o conjunto de referência Smart container IDs deve ser preenchido com os IDs de Container relevantes.
Regra Nenhuma regra de senha incluída no arquivo sudoers Detecta uma regra sudo incomum incluída no sistema que não requer senha para um usuário.
Nota: Editar a regra para substituir autorized_username com a lista de administradores autorizados do sistema.
Regra Modificação de privilégio seguida por atividade suspeita Detecta adição de privilégio para usuários não autorizados seguida por execução suspeita de processos.
Regra Shell reverso ou de ligação detectado Detecta qualquer shell reverso ou de ligação. Essa é uma conexão shell iniciada do host de destino para o host do invasor.
Regra Ressonância dos binários SUID ou SGID Detecta um usuário tentando localizar todos os binários SUID/SGID. Os adversários podem usar binários SUID/SGID para escalar seus privilégios.

A tabela a seguir mostra os dados de referência no IBM Security QRadar Container Content Extension 1.0.0.

Tabela 13. Dados de referência no IBM Security QRadar Container Content Extension 1.0.0
Tipo Nome Descrição
Conjunto de Referências Nome do arquivo de shell de login Lista todos os nomes de shell de login.
Conjunto de Referências Hashs de malware SHA Lista todos os hashes de malware SHA para processos.
Conjunto de Referências Comandos do utilitário de rede Lista todos os comandos do utilitário de rede que podem abrir sessões.
Conjunto de Referências IDs de contêiner sensível Lista todos os IDs de contêiner sensível (devem ser preenchidos pelo usuário).
Conjunto de Referências Utilitário com recursos de execução Lista todos os comandos do utilitário com recursos de execução.
Conjunto de Referências Processos do Linux incluídos na lista de desbloqueio

Lista todos os processos do Linux whitelisted que estão autorizados a executar ações em arquivos críticos.

(Voltar para o topo)