云安全中心旗舰版支持容器K8s威胁检测能力,实时为您检测正在运行的容器集群安全状态,帮助您及时发现容器集群中的安全隐患和黑客入侵行为。本文介绍如何为您的服务器开启容器K8s威胁检测能力及云安全中心支持的容器威胁检测项。
背景信息
开启容器K8s威胁检测能力后,您无需进行其他设置,云安全中心将为您开启容器集群异常类型告警的检测。云安全中心支持的检测项详情,请参见容器K8s威胁检测项。
开启容器K8s威胁检测
容器K8s威胁检测项
| 类型 | 检测项 |
|---|---|
| 容器集群异常 | K8s API Server执行异常指令 |
| Pod异常目录挂载 | |
| K8s Service Account横向移动 | |
| 恶意镜像Pod启动 | |
| 异常网络连接 | 反弹Shell网络外连 |
| 可疑网络外连 | |
| 疑似内网横向移动 | |
| 恶意进程(云查杀) | DDoS木马 |
| 可疑矿机通信 | |
| 可疑程序 | |
| 可疑端口爆破扫描工具 | |
| 可疑黑客程序 | |
| 后门程序 | |
| 恶意漏洞扫描工具 | |
| 恶意程序 | |
| 挖矿程序 | |
| 木马程序 | |
| 自变异木马 | |
| 蠕虫病毒 | |
| 网站后门 | Webshell |
| 进程异常行为 | Apache-CouchDB执行异常指令 |
| FTP应用执行异常指令 | |
| Hadoop执行异常指令 | |
| Java应用执行异常指令 | |
| Jenkins执行异常指令 | |
| Linux异常账号创建 | |
| Linux计划任务执行异常指令 | |
| MySQL执行异常指令 | |
| Oracle执行异常指令 | |
| PostgreSQL应用执行异常指令 | |
| Python应用执行异常指令 | |
| SSH远程非交互式一句话异常指令执行 | |
| Webshell执行可疑探测指令 | |
| Windows-3389-RDP配置被修改 | |
| Windows异常下载指令 | |
| Windows异常帐号创建 | |
| crontab计划任务被写入恶意代码 | |
| Linux可疑命令序列 | |
| Linux可疑命令执行 | |
| 动态植入可疑脚本文件 | |
| 反弹Shell | |
| 反弹Shell命令 | |
| 可疑HTTP隧道信息泄露 | |
| 可疑SSH Tunnel端口转发隧道 | |
| 可疑Webshell写入行为 | |
| 可疑特权容器启动 | |
| 可疑端口监听异常进程 | |
| 启动恶意容器 | |
| 存在风险的Docker远程调试接口 | |
| 异常操作指令 | |
| 容器内部提权或逃逸 | |
| 启动恶意容器 |
在文档使用中是否遇到以下问题
更多建议
匿名提交