容器防护设置支持配置容器K8s威胁检测能力,实时检测正在运行的容器集群安全状态,及时发现容器集群中的安全隐患和黑客入侵行为。本文介绍如何开启容器K8s威胁检测能力及云安全中心支持的容器威胁检测项。

背景信息

开启容器K8s威胁检测能力后,云安全中心将为您开启容器集群异常类型告警的检测。云安全中心支持的检测项详情,请参见容器K8s威胁检测项

版本限制

仅云安全中心的旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配

开启容器K8s威胁检测

  1. 登录云安全中心控制台在左侧导航栏,选择系统配置 > 功能设置
  2. 设置页签主机防护设置 子页签的容器K8s威胁检测区域,打开威胁检测开关。
    开启该功能后,如果检测到K8s容器集群中存在安全风险,会在安全告警处理页面展示相关告警,建议您及时查看并处理相关告警。具体操作,请参见查看和处理告警事件

容器K8s威胁检测项

类型 检测项
容器集群异常 K8s API Server执行异常指令
Pod异常目录挂载
K8s Service Account横向移动
恶意镜像Pod启动
异常网络连接 反弹Shell网络外连
可疑网络外连
疑似内网横向移动
恶意进程(云查杀) DDoS木马
可疑矿机通信
可疑程序
可疑端口爆破扫描工具
可疑黑客程序
后门程序
恶意漏洞扫描工具
恶意程序
挖矿程序
木马程序
自变异木马
蠕虫病毒
网站后门 WebShell
进程异常行为 Apache-CouchDB执行异常指令
FTP应用执行异常指令
Hadoop执行异常指令
Java应用执行异常指令
Jenkins执行异常指令
Linux异常账号创建
Linux计划任务执行异常指令
MySQL执行异常指令
Oracle执行异常指令
PostgreSQL应用执行异常指令
Python应用执行异常指令
SSH远程非交互式一句话异常指令执行
WebShell执行可疑探测指令
Windows-3389-RDP配置被修改
Windows异常下载指令
Windows异常账号创建
crontab计划任务被写入恶意代码
Linux可疑命令序列
Linux可疑命令执行
动态植入可疑脚本文件
反弹Shell
反弹Shell命令
可疑HTTP隧道信息泄露
可疑SSH Tunnel端口转发隧道
可疑WebShell写入行为
可疑特权容器启动
可疑端口监听异常进程
启动恶意容器
存在风险的Docker远程调试接口
异常操作指令
容器内部提权或逃逸
启动恶意容器