容器

使用 IBM 安全 QRadar 容器内容扩展密切监控部署中的容器。

注: 当 Cisco AMP V.1.0.0中存在 Parent Filename 定制属性时，不会安装此内容扩展。在安装此内容扩展之前，请删除父文件名。

重要信息: 为了避免此内容扩展中的内容错误，请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。如果未启用自动更新，请从 IBM® Fix Central (https://www.ibm.com/support/fixcentral) 下载最新版本的相关 DSM。

IBM Security QRadar Container Content Extension 1.1.4
IBM Security QRadar Container Content Extension 1.1.3
IBM Security QRadar Container Content Extension 1.1.2
IBM Security QRadar Container Content Extension 1.1.1
IBM Security QRadar Container Content Extension 1.1.0
IBM Security QRadar Container Content Extension 1.0.1
IBM Security QRadar 容器内容扩展 1.0.0

IBM Security QRadar 容器内容扩展 1.1.4

下表显示了在 IBM Security QRadar Container Content Extension 1.1.4中更新的定制属性。

表 1. IBM 安全性 QRadar 容器内容扩展 1.1.4 中的定制属性
名称	详细信息
容器映像	现在已优化属性。
GroupID	已更新属性描述。

_{(返回到顶部)}

IBM Security QRadar 容器内容扩展 1.1.3

下表显示了 IBM Security QRadar Container Content Extension 1.1.3中新增的构建块。

表 2. IBM 安全性 QRadar 容器内容扩展 1.1.3 中的构建块
名称	描述
BB:DeviceDefinition: Containers	定义系统上的所有容器日志源。

_{(返回到顶部)}

IBM Security QRadar 容器内容扩展 1.1.2

下表显示了 IBM Security QRadar Container Content Extension 1.1.2中的定制属性。

表 3. IBM 安全性 QRadar 容器内容扩展 1.1.2 中的定制属性
名称	已优化	捕获组	正则表达式
命令参数	是	1	argc= \d + ((a\d + =" [^ "] +?"?) +)
源安装点	是	1	volumeMounts"\:[{.*?\"mountPath[\":]([^\"])

下表显示了 IBM Security QRadar Container Content Extension 1.1.2中新增或更新的规则和构建块。

表 4。 IBM 安全性 QRadar 容器内容扩展 1.1.2 中的规则和构建块
类型	名称	描述
构建块	BB:CategoryDefinition: 资源创建事件	在关键名称空间 (例如 kube-system 或 kube-public) 下创建组件时触发。名称空间 kube-system 仅应由从 Kubernetes 系统创建的对象使用。所有用户都可以读取名称空间 kube-public ，这必须谨慎使用。
规则	在关键名称空间中创建资源	在关键名称空间 (例如 kube-system 或 kube-public) 下创建资源时触发。名称空间 kube-system 仅应由从 Kubernetes 系统创建的对象使用。所有用户都可以读取名称空间 kube-public ，这必须谨慎使用。
规则	安装在容器上的关键文件或目录	检测何时在容器上安装关键文件或目录，例如 /etc/passwd。这允许访问主机上的关键目录或文件。
规则	创建的名称空间后跟在容器环境中创建的多个资源	当未经授权的用户创建新的名称空间时触发，然后在该名称空间中创建多个资源。创建名称空间是对任何用户有效的操作，但在创建名称空间后立即在名称空间中创建多个资源是可疑的。
规则	SUID 或 SGID 二进制侦察	检测尝试查找所有 SUID/SGID 二进制文件的用户。对手可以使用 SUID/SGID 二进制文件来升级其特权。

_{(返回到顶部)}

IBM Security QRadar Container Content Extension 1.1.1

下表显示了 IBM Security QRadar Container Content Extension 1.1.1中的定制属性。

表 5。 IBM 安全性 QRadar 容器内容扩展 1.1.1 中的定制属性
名称	已优化	位置
容器映像	否	osquery
容器映像标识	否	osquery
容器名称	否	osquery

_{(返回到顶部)}

IBM Security QRadar 容器内容扩展 1.1.0

下表显示了 IBM Security QRadar Container Content Extension 1.1.0中的定制属性。

表 6。 IBM 安全性 QRadar 容器内容扩展 1.1.0 中的定制属性
名称	已优化	位置
名称空间	是	Kubernetes
特权容器	是	Kubernetes osquery
进程命令行	是	碳黑响应 Kubernetes Microsoft Windows osquery Sysmon
原因	是	Kubernetes
资源	是	Kubernetes
资源名称	是	Kubernetes
角色	是	通用数据保护条例 (GDPR) 合规性 Kubernetes
角色操作	是	Kubernetes
角色分配的资源	是	Kubernetes

下表显示了 IBM Security QRadar Container Content Extension 1.1.0中的规则和构建块。

表 7。 IBM 安全性 QRadar 容器内容扩展 1.1.0 中的规则和构建块
类型	名称	描述
构建块	BB:BehaviourDefinition: 未授权用户创建命名空间	标识创建名称空间的未授权用户。
构建块	BB:CategoryDefinition: 资源创建事件	检测在关键名称空间 (例如 kube-system 或 kube-public) 下创建组件的时间。名称空间 kube-system 仅应由从 Kubernetes 系统创建的对象使用。所有用户都可以读取名称空间 kube-public ，这必须谨慎使用。
构建块	BB:DeviceDefinition: Containers	定义系统上的所有容器日志源。
规则	非系统用户在关键名称空间中执行命令	检测非系统用户在关键名称空间 (例如 Kerbernetes 中的 kube-system) 中执行命令的情况。正常用户不应与系统资源交互。注: 编辑规则以将 "system:serviceaccount" 替换为系统上的典型服务帐户。
规则	来自不安全端口的通信	检测来自不安全端口 (2379,8080 或 10250) 的通信。缺省情况下，从 Kubernetes v.1.14禁用不安全端口，但可以显式启用该端口 (策略中的不安全端口标志)。一旦启用了不安全的端口，就会授予对 API 的完全访问权而不进行认证。
规则	为容器创建特权角色	检测特权角色的创建。缺省情况下，它定义为有权访问具有所有权限的所有资源的角色，或者具有对 "私钥" 的创建，更新或删除权限的角色。注: 规则响应将角色添加到特权角色引用集。调整 AQL 查询以包含任何被视为 "特权" 的许可权。
规则	在关键名称空间中创建资源	检测何时在关键名称空间 (例如 kube-system 或 kube-public) 下创建资源。名称空间 kube-system 仅应由从 Kubernetes 系统创建的对象使用。所有用户都可以读取名称空间 kube-public ，这必须谨慎使用。
规则	删除容器的特权角色	检测是否删除了特权角色引用集中定义的特权角色。注: 规则响应从特权角色引用集中除去角色。注: 在 IBM Security QRadar 7.3.2 及更低版本中，引用集未正确链接到特权角色- AlphaNumeric。在 7.3.2 补丁 1 中更正了此问题。如果未安装 7.3.2 补丁 1 ，那么可以执行以下操作: 选择规则，然后单击下一步。在规则响应下，单击参考集的列表，然后选择特权角色- AlphaNumeric。
规则	多次读取私钥失败	检测读取私钥的多个故障 (存储敏感信息，例如密码， OAuth 令牌， SSH 密钥等)。
规则	已删除多个敏感资源	检测何时删除多个敏感资源。这可能指示入侵者正在损害敏感信息。注: 必须使用相关名称填充集合的敏感资源名称引用映射。
规则	创建的名称空间后跟在容器环境中创建的多个资源	检测未经授权的用户何时创建新的名称空间，然后在该名称空间中创建多个资源。创建名称空间是对任何用户有效的操作，但在创建名称空间后立即在名称空间中创建多个资源是可疑的。注: 编辑规则以将 "authorized_users" 替换为系统的典型管理员。
规则	检测到对容器的远程 Shell 执行	检测远程 shell 执行。对手可以使用此技术在服务器上执行任意命令。这可能会影响应用程序和数据，并允许转移到组织内的其他系统。

下表显示了 IBM Security QRadar Container Content Extension 1.1.0中的报告。

表 8。 IBM 安全性 QRadar 容器内容扩展 1.1.0 中的报告
报告名称	描述
禁止失败的 API 请求 (按用户名分组)	显示来自 Kubernetes 用户的禁止失败 API 请求。已保存的搜索: 个事件: 禁止失败的 API 请求 (按用户名分组) 注: 编辑此搜索和任何相关搜索依赖关系以优化结果。
容器的特权角色和用户	显示 Kubernetes中的特权角色和用户。通过使用以下 "日志活动" 搜索来整理报告内容: 容器的特权角色容器的特权用户注: 编辑此搜索和任何相关搜索依赖关系以优化结果。

下表显示了 IBM Security QRadar Container Content Extension 1.1.0中的参考数据。

表 9。 IBM 安全性 QRadar 容器内容扩展 1.1.0 中的参考数据
类型	名称	描述
引用集	特权角色	列出所有特权角色。
集合的引用映射	敏感资源名称	列出每种资源类型的所有敏感资源名称。

下表显示了 IBM Security QRadar Container Content Extension 1.1.0中的已保存搜索。

表 10. IBM 安全性 QRadar 容器内容扩展 1.1.0 中的已保存搜索
名称	描述
禁止失败的 API 请求 (按用户名分组)	显示所有禁止的失败 API 请求 (按用户名分组)。
容器的特权角色	显示容器的所有特权角色。
容器的特权用户	显示容器的所有特权用户。

_{(返回到顶部)}

IBM Security QRadar 容器内容扩展 1.0.1

更新了内容扩展，以在缺省情况下启用所有定制属性，并修复规则响应限制器中的中断链接。

_{(返回到顶部)}

IBM Security QRadar 容器内容扩展 1.0.0

下表显示了 IBM Security QRadar Container Content Extension 1.0.0中的定制属性。

表 11. IBM 安全性 QRadar 容器内容扩展 1.0.0 中的定制属性
名称	已优化	位置
容器标识	是	osquery
文件目录	是	Cisco AMP Cisco Firepower Linux Microsoft Office 365 Microsoft Windows osquery Microsoft 365 Defender
文件名	是	Amazon AWS Azure Bit9 安全平台蓝色外套碳黑保护 Cisco AMP Cisco Firepower Cisco IronPort 端点 FireEye MPS Fortinet FortiAnalyzer Linux McAfee EPO Microsoft Office 365 Microsoft Windows osquery Palo Alto PA 系列 Postfix Squid Sysmon VMware Microsoft 365 Defender
GroupID	是	Linux Microsoft Windows osquery
父进程名称	是	osquery Microsoft Windows
父进程路径	是	osquery Microsoft Windows
特权容器	是	Kubernetes osquery
进程命令行	是	碳黑响应 Kubernetes Microsoft Windows osquery Sysmon
进程名称	是	碳黑响应端点 FireEye MPS Linux Microsoft Windows ObserveIT osquery
规则详细信息	是	osquery
SHA256 散列	是	Cisco AMP Microsoft 365 Defender osquery Sysmon
源安装点	是	osquery
目标用户名	是	Amazon AWS Azure Kubernetes Microsoft Office 365 Microsoft Windows osquery VMware
用户标识	是	Azure Linux osquery

下表显示了 IBM Security QRadar Container Content Extension 1.0.0中的规则和构建块。

表 12. IBM 安全性 QRadar 容器内容扩展 1.0.0 中的规则和构建块
类型	名称	描述
构建块	BB:BehaviourDefinition: 异常进程生成	用于跟踪后跟可疑活动的特权修改。
构建块	BB:BehaviourDefinition:异常权利分配，然后创建有权限的容器	用于跟踪后跟可疑活动的特权修改。
构建块	BB:BehaviourDefinition: Linux 由进程生成的 Shell	检测从进程创建的 shell ，这不太可能。注: 填充列入白名单的 Linux 进程参考集，以将允许创建新的 Linux shell 的进程列入白名单。
构建块	BB:DeviceDefinition: 操作系统	定义系统上的所有操作系统。
构建块	BB:BehaviourDefinition: 由实用程序产生的进程	检测用于创建新进程的命令行实用程序，例如 echo， find， nmap， ncat和 zip。
规则	分配给未授权用户的异常权限	检测系统中添加的异常 sudo 规则。 "目标用户名" 是应用了 sudoer 规则的用户。注: 编辑此规则以将 authorized_username 替换为系统的典型管理员列表以及具有文件修改或执行功能的实用程序。
规则	创建特权容器	检测特权容器的创建。使用特权标志运行容器将使该容器具有所有功能，包括对主机设备的访问权。
规则	创建具有超级用户特权的用户	检测是否创建了 uid 或 gid 为 0 的用户帐户，这指示 Superuser。
规则	安装在容器上的关键文件或目录	检测何时在容器上安装关键文件或目录，例如 /etc/passwd。安装在容器上的关键文件或目录允许访问主机的关键目录或文件。注: 编辑此规则以添加您可能要监视的任何关键文件或目录。
规则	在容器中检测到敌对进程	检测归类为恶意的流程，例如恶意软件，网络钓鱼和加密。注: 必须填充 Malware Hashes SHA 引用集。您可以使用威胁情报应用程序将威胁情报订阅源导入到该参考集中。
规则	登录 Shell 已覆盖	检测登录 shell 程序何时被覆盖。对手可能会覆盖登录 shell 程序以实现持久性。注: Login Shell Filename 引用集预先填充了 shell 文件名，并且可以进行调整。
规则	修改授权密钥文件	检测何时修改 /.ssh/authorized_keys 文件。攻击者将其公用密钥添加到 authorized_keys 文件，这允许他们随时登录到系统，而无需进一步认证 (如果他们具有其专用密钥)。
规则	多个敏感容器已停止或已删除	检测何时停止或删除多个敏感容器。这可能指示入侵者正在损害敏感信息。注: 必须使用相关容器标识来填充敏感容器标识参考集。
规则	未向 Sudoers 文件添加密码规则	检测系统中添加的异常 sudo 规则，该规则不需要用户密码。注: 编辑规则以将 authorized_username 替换为系统的授权管理员列表。
规则	特权修改后跟可疑活动	检测是否为未授权用户添加了特权，然后对进程执行可疑操作。
规则	检测到反向或绑定 shell	检测任何反向或绑定 shell。这是从目标主机到攻击者主机的 shell 连接。
规则	SUID 或 SGID 二进制侦察	检测尝试查找所有 SUID/SGID 二进制文件的用户。对手可以使用 SUID/SGID 二进制文件来升级其特权。

下表显示了 IBM Security QRadar Container Content Extension 1.0.0中的参考数据。

表 13. IBM 安全性 QRadar 容器内容扩展 1.0.0 中的参考数据
类型	名称	描述
引用集	登录 shell 文件名	列出所有登录 shell 程序名称。
引用集	恶意软件散列 SHA	列出进程的所有恶意软件 SHA 散列。
引用集	联网实用程序命令	列出可打开会话的所有联网实用程序命令。
引用集	敏感容器标识	列出所有敏感容器标识 (必须由用户填充)。
引用集	具有执行功能的实用程序	列出具有执行功能的所有实用程序命令。
引用集	列入白名单的 Linux 进程	列出授权对关键文件执行操作的所有列入白名单的 Linux 进程。

_{(返回到顶部)}