云安全中心旗舰版支持容器K8s威胁检测能力,实时为您检测正在运行的容器集群安全状态,帮助您及时发现容器集群中的安全隐患和黑客入侵行为。本文介绍如何为您的服务器开启容器K8s威胁检测能力及云安全中心支持的容器威胁检测项。

前提条件

已购买或升级至云安全中心旗舰版。具体操作,请参见购买云安全中心升级与降配。各版本支持的功能详情,请参见功能特性

背景信息

开启容器K8s威胁检测能力后,您无需进行其他设置,云安全中心将为您开启容器集群异常类型告警的检测。云安全中心支持的检测项详情,请参见容器K8s威胁检测项

开启容器K8s威胁检测

  1. 登录云安全中心控制台
  2. 在左侧导航栏,单击设置
  3. 容器K8s威胁检测区域,打开威胁检测开关。
    开启容器K8s威胁检测能力后,如果检测到K8s容器集群中存在安全风险,会在安全告警处理页面向您展示相关告警,建议您及时查看并处理相关告警。具体操作,请参见查看和处理告警事件

容器K8s威胁检测项

类型 检测项
容器集群异常 K8s API Server执行异常指令
Pod异常目录挂载
K8s Service Account横向移动
恶意镜像Pod启动
异常网络连接 反弹Shell网络外连
可疑网络外连
疑似内网横向移动
恶意进程(云查杀) DDoS木马
可疑矿机通信
可疑程序
可疑端口爆破扫描工具
可疑黑客程序
后门程序
恶意漏洞扫描工具
恶意程序
挖矿程序
木马程序
自变异木马
蠕虫病毒
网站后门 Webshell
进程异常行为 Apache-CouchDB执行异常指令
FTP应用执行异常指令
Hadoop执行异常指令
Java应用执行异常指令
Jenkins执行异常指令
Linux异常账号创建
Linux计划任务执行异常指令
MySQL执行异常指令
Oracle执行异常指令
PostgreSQL应用执行异常指令
Python应用执行异常指令
SSH远程非交互式一句话异常指令执行
Webshell执行可疑探测指令
Windows-3389-RDP配置被修改
Windows异常下载指令
Windows异常帐号创建
crontab计划任务被写入恶意代码
Linux可疑命令序列
Linux可疑命令执行
动态植入可疑脚本文件
反弹Shell
反弹Shell命令
可疑HTTP隧道信息泄露
可疑SSH Tunnel端口转发隧道
可疑Webshell写入行为
可疑特权容器启动
可疑端口监听异常进程
启动恶意容器
存在风险的Docker远程调试接口
异常操作指令
容器内部提权或逃逸
启动恶意容器