Container
Use a IBM Security QRadar Container Content Extension para monitorar de perto os contêineres em sua implantação.
- IBM Segurança QRadar Extensão do conteúdo do contêiner 1.1.4
- IBM Segurança QRadar Extensão do conteúdo do contêiner 1.1.3
- IBM Segurança QRadar Extensão do conteúdo do contêiner 1.1.2
- IBM Security QRadar Extensão de conteúdo do contêiner 1.1.1
- IBM Segurança QRadar Extensão do conteúdo do contêiner 1.1.0
- IBM Segurança QRadar Extensão do conteúdo do contêiner 1.0.1
- IBM Segurança QRadar Extensão do conteúdo do contêiner 1.0.0
IBM Segurança QRadar Extensão do conteúdo do contêiner 1.1.4
A tabela a seguir mostra as propriedades customizadas que são atualizadas no IBM Security QRadar Container Content Extension 1.1.4.
| Nome | Detalhes |
|---|---|
| Imagem do contêiner | A propriedade agora é otimizada. |
| GroupID | Descrição do imóvel atualizado. |
IBM Segurança QRadar Extensão do conteúdo do contêiner 1.1.3
A tabela a seguir mostra os blocos de construção que são novos no IBM Security QRadar Container Content Extension 1.1.3.
| Nome | Descrição |
|---|---|
| BB:DeviceDefinition: Contêineres | Define todas as origens de log de contêiner no sistema. |
IBM Segurança QRadar Extensão do conteúdo do contêiner 1.1.2
A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Container Content Extension 1.1.2.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Argumentos de Comando | Sim | 1 | argc=\d+ ((a\d+="[^"]+?" ?)+) |
| Ponto de montagem de origem | Sim | 1 | volumeMounts"\:[{.*?\"mountPath[\":]([^\"]) |
A tabela a seguir mostra as regras e os blocos de construção novos ou atualizados no IBM Security QRadar Container Content Extension 1.1.2.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:CategoryDefinition: eventos de criação de recurso | É acionado quando componentes são criados em espaços de nomes críticos, como kube-system ou kube-public. O namespace kube-system deve ser usado apenas por objetos criados no sistema Kubernetes. O namespace kube-public pode ser lido por todos os usuários, por isso, deve ser usado com cuidado. |
| Regra | Criação de recursos em namespaces críticos | É acionada quando recursos são criados em espaços de nomes críticos, como kube-system ou kube-public. O espaço de nomes kube-system só deve ser usado por objetos criados por um sistema Kubernetes. O namespace kube-public pode ser lido por todos os usuários, por isso, deve ser usado com cuidado. |
| Regra | Arquivo ou diretório crítico montado em um contêiner | Detecta quando um arquivo ou diretório crítico é montado em um contêiner, por exemplo, /etc/passwd. Isso permite o acesso ao diretório ou a arquivos críticos em um host. |
| Regra | Criação de namespace seguida pela criação de diversos recursos em um ambiente de contêiner | É acionada quando um usuário não autorizado cria um novo espaço de nomes e, em seguida, diversos recursos nele. Criar um namespace é uma ação válida para qualquer usuário, mas a criação de diversos recursos no namespace logo após a criação dele é suspeita. |
| Regra | Ressonância dos binários SUID ou SGID | Detecta um usuário tentando localizar todos os binários SUID/SGID. Os adversários podem usar binários SUID/SGID para escalar seus privilégios. |
IBM Segurança QRadar Extensão do conteúdo do contêiner 1.1.1
A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Container Content Extension 1.1.1.
IBM Segurança QRadar Extensão do conteúdo do contêiner 1.1.0
A tabela a seguir mostra as propriedades customizáveis no IBM Security QRadar Container Content Extension 1.1.0
| Nome | Otimizada | Localizado em |
|---|---|---|
| Espaço de Nomes | Sim | Kubernetes |
| Contêiner Privilegiado | Sim | |
| Process CommandLine | Sim | |
| Motivo | Sim | Kubernetes |
| Recurso | Sim | Kubernetes |
| Nome do recurso | Sim | Kubernetes |
| Função | Sim | |
| Ações de Função | Sim | Kubernetes |
| Recursos Atribuídos a Função | Sim | Kubernetes |
A tabela a seguir mostra as regras e blocos de construção no IBM Security QRadar Container Content Extension 1.1.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:BehaviourDefinition: usuário não autorizado criando namespaces | Identifica usuários não autorizados criando namespaces. |
| Bloco de construção | BB:CategoryDefinition: eventos de criação de recurso | Detecta quando componentes são criados em namespaces críticos, como kube-system ou kube-public. O namespace kube-system deve ser usado apenas por objetos criados no sistema Kubernetes. O namespace kube-public pode ser lido por todos os usuários, por isso, deve ser usado com cuidado. |
| Bloco de construção | BB:DeviceDefinition: Contêineres | Define todas as origens de log de contêiner no sistema. |
| Regra | Execução de comando em namespaces críticos por um usuário não pertencente ao sistema | Detecta a execução de um comando em um namespace crítico, por exemplo, kube-system no Kubernetes, por um usuário não pertencente ao sistema. Usuários normais não devem interagir com os recursos do sistema. Nota: Editar a regra para substituir "system:serviceaccount" com contas típicas de serviços no sistema.
|
| Regra | Comunicação de uma porta não segura | Detecta comunicações de uma porta não segura (2379, 8080 ou 10250). A porta não segura é desativada por padrão no Kubernetes v.1.14, mas é possível ativá-la explicitamente (sinalizador de porta não segura na política). Depois que a porta não segura é ativada, é concedido acesso total à API sem autenticação. |
| Regra | Criação de uma função privilegiada para contêineres | Detecta a criação de uma função privilegiada. Por padrão, é definido como uma função que tem acesso a todos os recursos com todos os direitos ou que tem direitos de criação, atualização ou exclusão especificamente sobre “segredos”. Nota: A resposta de regra adiciia a função ao conjunto de referência Foro Privilegiado . Ajuste a consulta AQL para incluir qualquer permissão considerada Privilegiada.
|
| Regra | Criação de recursos em namespaces críticos | Detecta quando recursos são criados em namespaces críticos, como kube-system ou kube-public. O namespace kube-system deve ser usado apenas por objetos criados no sistema Kubernetes. O namespace kube-public pode ser lido por todos os usuários, por isso, deve ser usado com cuidado. |
| Regra | Exclusão de uma função privilegiada para contêineres | Detecta a exclusão de uma função privilegiada definida no conjunto de referências Função privilegiada. Nota: A resposta de regra remove a função do conjunto de referência Foro Privilegiado .
Nota: No IBM Security QRadar 7.3.2 e versões anteriores, o conjunto de referência não se vincula adequadamente a Funções privilegiadas- AlphaNumeric. Isso foi corrigido em 7.3.2 patch 1. Se você não tiver 7.3.2 patch 1 instalado, pode-se fazer o seguinte: Selecione a regra e clique em Avançar. Em Resposta de regra, clique na lista do conjunto de referências e selecione Funções privilegiadas - Alfanumérico.
|
| Regra | Diversas falhas na leitura de segredos | Detecta diversas falhas na leitura de segredos (armazenamento de informações confidenciais, como senhas, tokens OAuth, chaves SSH etc.). |
| Regra | Diversos recursos sensíveis excluídos | Detecta quando diversos recursos sensíveis estão sendo excluídos. Isso pode indicar que um intruso está comprometendo informações confidenciais. Nota: O Mapa de referência de Nomes de Recursos Sensíveis de conjuntos deve ser preenchido com os nomes relevantes.
|
| Regra | Criação de namespace seguida pela criação de diversos recursos em um ambiente de contêiner | Detecta quando um usuário não autorizado cria um novo namespace e diversos recursos nele. Criar um namespace é uma ação válida para qualquer usuário, mas a criação de diversos recursos no namespace logo após a criação dele é suspeita. Nota: Editar a regra para substituir "autorized_users" por administradores típicos do sistema.
|
| Regra | Execução de shell remoto em um contêiner detectada | Detecta execuções de shell remoto. Um intruso pode usar essa técnica para executar comandos arbitrários em um servidor. Isso pode afetar aplicativos e dados e permitir a alternância para outros sistemas dentro da organização. |
A tabela a seguir mostra os relatórios no IBM Security QRadar Container Content Extension 1.1.0.
| Nome do Relatório | Descrição |
|---|---|
| Solicitações de API proibidas com falha agrupadas por nome de usuário | Mostra solicitações de API proibidas com falha de usuários do Kubernetes. Procura salva: Eventos: solicitações de API proibidas com falha agrupadas por nome de usuário Nota: Editar esta pesquisa e quaisquer dependências de pesquisa relevantes para refinar os resultados.
|
| Funções e usuários privilegiados para contêineres | Mostra funções e usuários privilegiados do Kubernetes. O conteúdo do relatório é coletado usando as procuras de atividades de log a seguir:
Nota: Editar esta pesquisa e quaisquer dependências de pesquisa relevantes para refinar os resultados.
|
A tabela a seguir mostra os dados de referência no IBM Security QRadar Container Content Extension 1.1.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Conjunto de Referências | Papel Privilegiado | Lista todas as funções privilegiadas. |
| Mapa de Referência de Conjuntos | Nomes de recursos sensíveis | Lista todos os nomes de recursos sensíveis por tipo de recurso. |
A tabela a seguir mostra as procuras salvas no IBM Security QRadar Container Content Extension 1.1.0.
| Nome | Descrição |
|---|---|
| Solicitações de API proibidas com falha agrupadas por nome de usuário | Mostra todas as solicitações de API proibidas com falha agrupadas por nome de usuário. |
| Funções Privilegiadas para Container | Mostra todas as funções privilegiadas para contêineres. |
| Usuários Privilegiados para Container | Mostra todos os usuários privilegiados para contêineres. |
IBM Segurança QRadar Extensão do conteúdo do contêiner 1.0.1
Atualizada a extensão de conteúdo para ativar todas as propriedades customizadas por padrão e para corrigir links quebrados no delimitador de resposta de regra.
IBM Segurança QRadar Extensão do conteúdo do contêiner 1.0.0
A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Container Content Extension 1.0.0.
| Nome | Otimizada | Localizado em |
|---|---|---|
| ID do contêiner | Sim | osquery |
| Diretório de Arquivos | Sim | |
| Nome do Arquivo | Sim | |
| GroupID | Sim | |
| Nome do processo pai | Sim | |
| Caminho do Processo Pai | Sim | |
| Contêiner Privilegiado | Sim | |
| Process CommandLine | Sim | |
| Nome do Processo | Sim | |
| Detalhes da regra | Sim | osquery |
| Hash SHA256 | Sim | |
| Ponto de montagem de origem | Sim | osquery |
| Nome do Usuário de Destino | Sim | |
| ID do usuário | Sim |
A tabela a seguir mostra as regras e blocos de construção no IBM Security QRadar Container Content Extension 1.0.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:BehaviourDefinition: processo anormal com spawn efetuado | Usado para rastrear Modificação de privilégio seguida de atividade suspeita. |
| Bloco de construção | BB:BehaviourDefinition: direito anormal designado seguido por criação de contêiner privilegiado | Usado para rastrear Modificação de privilégio seguida de atividade suspeita. |
| Bloco de construção | BB:BehaviourDefinition: shell do Linux com spawn efetuado por um processo | Detecta um shell criado por meio de um processo, o que é improvável. Nota: Preencha o conjunto de referência Whitelisted Linux Processes a processos de whitelist que são permitidos para criar novas conchas Linux .
|
| Bloco de construção | BB:DeviceDefinition: sistema operacional | Define todos os sistemas operacionais no sistema. |
| Bloco de construção | BB:BehaviourDefinition: processo com spawn efetuado por utilitário | Detecta utilitários de linha de comandos que são usados para criar novos processos, como echo, find, nmap, ncat e zip. |
| Regra | Direitos anormais designados a usuários não autorizados | Detecta uma regra sudo incomum incluída no sistema. O nome do usuário de destino é o usuário a quem a regra do sudoer foi aplicada. Nota: Editar esta regra para substituir
autorized_usernamecom a lista de administradores típicos do sistema, e utilitários com modificação de arquivo ou capacidades de execução. |
| Regra | Criação de um contêiner privilegiado | Detecta a criação de um contêiner privilegiado. Executar um contêiner com a sinalização privilegiada fornece todas as capacidades para o contêiner, incluindo o acesso ao dispositivo host. |
| Regra | Criação de um usuário com privilégios de superusuário | Detecta a criação de uma conta de usuário que possui um uid ou gid de 0, o que indica um superusuário. |
| Regra | Arquivo ou diretório crítico montado em um contêiner | Detecta quando um arquivo ou diretório crítico é montado em um contêiner, por exemplo, /etc/passwd. Um arquivo ou diretório crítico montado em um contêiner permite acesso ao diretório ou arquivos críticos do host. Nota: Editar esta regra para adicionar qualquer arquivo crítico ou diretório que você possa desejar monitorar.
|
| Regra | Processo hostil detectado em um contêiner | Detecta processos que são categorizados como hostis, como malware, phishing, cryptomining. Nota: O conjunto de referência Malware Hashes SHA deve ser preenchido. É possível usar o aplicativo Threat Intelligence para importar feeds de inteligência de ameaça nesse conjunto de referência.
|
| Regra | Substituição de shell de login | Detecta quando uma shell de login é substituto. Adversários podem substituir um shell de login para alcançar persistência. Nota: O conjunto de referência Login Shell Filename é pré-preenchido com nomes de arquivos shell, e pode ser ajustado.
|
| Regra | Modificação no arquivo de chaves autorizadas | Detecta quando o arquivo /.ssh/authorized_keys é modificado. O invasor inclui a sua chave pública no arquivo authorized_keys, o que permitirá a ele efetuar login no sistema a qualquer momento sem autenticação adicional se ele tiver a sua chave privada. |
| Regra | Múltiplos contêineres sensíveis interrompidos ou excluídos | Detecta quando múltiplos contêineres sensíveis estão sendo interrompidos ou excluídos. Isso pode indicar que um intruso está comprometendo informações sensíveis. Note: o conjunto de referência Smart container IDs deve ser preenchido com os IDs de Container relevantes.
|
| Regra | Nenhuma regra de senha incluída no arquivo sudoers | Detecta uma regra sudo incomum incluída no sistema que não requer senha para um usuário. Nota: Editar a regra para substituir
autorized_usernamecom a lista de administradores autorizados do sistema. |
| Regra | Modificação de privilégio seguida por atividade suspeita | Detecta adição de privilégio para usuários não autorizados seguida por execução suspeita de processos. |
| Regra | Shell reverso ou de ligação detectado | Detecta qualquer shell reverso ou de ligação. Essa é uma conexão shell iniciada do host de destino para o host do invasor. |
| Regra | Ressonância dos binários SUID ou SGID | Detecta um usuário tentando localizar todos os binários SUID/SGID. Os adversários podem usar binários SUID/SGID para escalar seus privilégios. |
A tabela a seguir mostra os dados de referência no IBM Security QRadar Container Content Extension 1.0.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Conjunto de Referências | Nome do arquivo de shell de login | Lista todos os nomes de shell de login. |
| Conjunto de Referências | Hashs de malware SHA | Lista todos os hashes de malware SHA para processos. |
| Conjunto de Referências | Comandos do utilitário de rede | Lista todos os comandos do utilitário de rede que podem abrir sessões. |
| Conjunto de Referências | IDs de contêiner sensível | Lista todos os IDs de contêiner sensível (devem ser preenchidos pelo usuário). |
| Conjunto de Referências | Utilitário com recursos de execução | Lista todos os comandos do utilitário com recursos de execução. |
| Conjunto de Referências | Processos do Linux incluídos na lista de desbloqueio | Lista todos os processos do Linux whitelisted que estão autorizados a executar ações em arquivos críticos. |