Kontener

Rozszerzenie treści kontenera produktu IBM® QRadar ® służy do ścisłego monitorowania kontenerów w danym wdrożeniu.

Uwaga: To rozszerzenie treści nie jest instalowane, gdy właściwość niestandardowa Nazwa pliku nadrzędnego jest obecna z poziomu Cisco AMP V.1.0.0. Usuń plik Nazwa pliku nadrzędnego przed zainstalowaniem tego rozszerzenia treści.

Ważne: Aby uniknąć błędów związanych z treścią w tym rozszerzeniu treści, należy pozostawić do tej pory powiązane z nią elementy DSM. Funkcje DSM są aktualizowane w ramach automatycznych aktualizacji. Jeśli aktualizacje automatyczne nie są włączone, należy pobrać najnowszą wersję powiązanych z nią pakietów DSM z serwisu IBM Fix Central (https://www.ibm.com/support/fixcentral).

IBM Security QRadar Container Content Extension 1.1.4
IBM Security QRadar Container Content Extension 1.1.3
IBM Security QRadar Container Content Extension 1.1.2
IBM Security QRadar Container Content Extension 1.1.1
IBM Security QRadar Container Content Extension 1.1.0
IBM Security QRadar Container Content Extension 1.0.1
IBM Security QRadar Container Content Extension 1.0.0

IBM Security QRadar Container Content Extension 1.1.4

W poniższej tabeli przedstawiono właściwości niestandardowe, które są aktualizowane w produkcie IBM Security QRadar Container Content Extension 1.1.4.

Tabela 1. Właściwości niestandardowe w produkcie IBM Security QRadar Container Content Extension 1.1.4
Nazwa	Szczegóły
Obraz kontenera	Właściwość jest teraz zoptymalizowana.
GroupID	Zaktualizowano opis właściwości.

_{(Początek strony)}

IBM Security QRadar Container Content Extension 1.1.3

W poniższej tabeli przedstawiono elementy składowe, które są nowe w produkcie IBM Security QRadar Container Content Extension 1.1.3.

Tabela 2. Budowanie bloku w programie IBM Security QRadar Container Content Extension 1.1.3
Nazwa	Opis
BB:DeviceDefinition: kontenery	Definiuje wszystkie źródła dziennika kontenera w systemie.

_{(Początek strony)}

IBM Security QRadar Container Content Extension 1.1.2

W poniższej tabeli przedstawiono właściwości niestandardowe w produkcie IBM Security QRadar Container Content Extension 1.1.2.

Tabela 3. Właściwości niestandardowe w produkcie IBM Security QRadar Container Content Extension 1.1.2
Nazwa	Zoptymalizowane	Grupa przechwytywania	Wyrażenie regularne
Argumenty komendy	Tak	1	argc= \d + ((a\d + =" [ ^ "] +?"?) +)
Punkt podłączenia źródła	Tak	1	volumeMounts"\:[{.*?\"mountPath[\":]([^\"])

W poniższej tabeli przedstawiono reguły i elementy składowe, które są nowe lub zaktualizowane w produkcie IBM Security QRadar Container Content Extension 1.1.2.

Tabela 4. Reguły i bloki budowlane w produkcie IBM Security QRadar Container Content Extension 1.1.2
Typ	Nazwa	Opis
Blok budynku	BB:CategoryDefinition: Zdarzenia tworzenia zasobów	Wyzwalane, gdy komponenty są tworzone w newralgicznych przestrzeniach nazw, takich jak kube-system lub kube-public. Przestrzeń nazw kube-system powinien być używany tylko przez obiekty utworzone z systemu Kubernetes . Przestrzeń nazw kube-public jest czytelna dla wszystkich użytkowników, która musi być używana z zachowaniem ostrożności.
Reguła	Tworzenie zasobów w newralgicznych przestrzeniach nazw	Wyzwalana, gdy zasoby są tworzone w newralgicznych przestrzeniach nazw, takich jak kube-system lub kube-public. Przestrzeń nazw kube-system powinien być używany tylko przez obiekty utworzone z systemu Kubernetes . Przestrzeń nazw kube-public jest czytelna dla wszystkich użytkowników, która musi być używana z zachowaniem ostrożności.
Reguła	Krytyczny plik lub katalog podłączony w kontenerze	Wykrywa, kiedy newralgiczny plik lub katalog jest podłączony do kontenera, na przykład /etc/passwd. Umożliwia to dostęp do krytycznego katalogu lub plików na hoście.
Reguła	Utworzona przestrzeń nazw, po której następuje wiele zasobów utworzonych w środowisku kontenera	Wyzwalana, gdy nieautoryzowany użytkownik tworzy nową przestrzeń nazw, po której następuje utworzenie wielu zasobów w tej przestrzeni nazw. Tworzenie przestrzeni nazw jest poprawnym działaniem dla dowolnego użytkownika, ale tworzenie wielu zasobów w przestrzeni nazw tuż po utworzeniu przestrzeni nazw jest podejrzane.
Reguła	SUID lub SGID Binaries Reconnaissance	Wykrywa użytkownika, który próbuje znaleźć wszystkie pliki binarne SUID/SGID. Przeciwnicy mogą używać plików binarnych SUID/SGID, aby eskalować ich uprawnienia.

_{(Początek strony)}

IBM Security QRadar Container Content Extension 1.1.1

W poniższej tabeli przedstawiono właściwości niestandardowe w produkcie IBM Security QRadar Container Content Extension 1.1.1.

Tabela 5. Właściwości niestandardowe w produkcie IBM Security QRadar Container Content Extension 1.1.1
Nazwa	Zoptymalizowane	Miejsce występowania
Obraz kontenera	Nie	osquery
Identyfikator obrazu kontenera	Nie	osquery
Nazwa kontenera	Nie	osquery

_{(Początek strony)}

IBM Security QRadar Container Content Extension 1.1.0

W poniższej tabeli przedstawiono właściwości niestandardowe w produkcie IBM Security QRadar Container Content Extension 1.1.0.

Tabela 6. Właściwości niestandardowe w produkcie IBM Security QRadar Container Content Extension 1.1.0
Nazwa	Zoptymalizowane	Miejsce występowania
Przestrzeń nazw	Tak	Kubernetes
Kontener Uprzywilejowany	Tak	Kubernetes osquery
Proces CommandLine	Tak	Czarna odpowiedź węglowa Kubernetes Microsoft Windows osquery Sysmon
Powód	Tak	Kubernetes
Zasób	Tak	Kubernetes
Nazwa zasobu	Tak	Kubernetes
Rola	Tak	Zgodność z ogólnym rozporządzeniem o ochronie danych (GDPR) Kubernetes
Działania dotyczące roli	Tak	Kubernetes
Zasoby przypisane do roli	Tak	Kubernetes

W poniższej tabeli przedstawiono reguły i elementy składowe w produkcie IBM Security QRadar Container Content Extension 1.1.0.

Tabela 7. Reguły i bloki budowlane w produkcie IBM Security QRadar Container Content Extension 1.1.0
Typ	Nazwa	Opis
Blok budynku	BB:BehaviourDefinition: Nieautoryzowany Użytkownik Tworzący Przestrzenie Nazw	Identyfikuje nieautoryzowane użytkowników tworzący przestrzenie nazw.
Blok budynku	BB:CategoryDefinition: Zdarzenia tworzenia zasobów	Wykrywa, kiedy komponenty są tworzone w newralgicznych przestrzeniach nazw, takich jak kube-system lub kube-public. Przestrzeń nazw kube-system powinien być używany tylko przez obiekty utworzone z systemu Kubernetes . Przestrzeń nazw kube-public jest czytelna dla wszystkich użytkowników, która musi być używana z zachowaniem ostrożności.
Blok budynku	BB:DeviceDefinition: kontenery	Definiuje wszystkie źródła dziennika kontenera w systemie.
Reguła	Wykonanie komendy w newralgicznych przestrzeniach nazw przez użytkownika innego niż system	Wykrywa wykonanie komendy w krytycznej przestrzeni nazw, na przykład kube-system w Kerbernetes, przez użytkownika innego niż system. Zwykli użytkownicy nie powinni wchodzić w interakcje z zasobami systemowymi. Uwaga: Edytuj regułę, aby zastąpić "system:serviceaccount" typowymi kontami serwisowymi w systemie.
Reguła	Komunikacja z niezabezpieczonego portu	Wykrywa wykrywanie komunikacji z niezabezpieczonego portu (2379, 8080 lub 10250). Niezabezpieczony port jest domyślnie wyłączony z poziomu Kubernetes v.1.14, ale można go jawnie włączyć (flaga insecure-port w strategii). Po włączeniu niezabezpieczonego portu zostanie nadany pełny dostęp do interfejsu API bez uwierzytelniania.
Reguła	Tworzenie roli uprzywilejowanej dla kontenera	Wykrywa utworzenie uprzywilejowanej roli. Domyślnie jest to rola, która ma dostęp do wszystkich zasobów ze wszystkimi prawami, lub po utworzeniu, aktualizacji lub usuwaniu praw do "tajemnic". Uwaga: Odpowiedź reguły doda rolę do zestawu odwołań Rola uprzywilejowana . Dopasuj zapytanie AQL tak, aby obejmował wszelkie uprawnienia uznane za uprawnienia uprzywilejowane.
Reguła	Tworzenie zasobów w newralgicznych przestrzeniach nazw	Wykrywa, kiedy zasoby są tworzone w newralgicznych przestrzeniach nazw, takich jak kube-system lub kube-public. Przestrzeń nazw kube-system powinien być używany tylko przez obiekty utworzone z systemu Kubernetes . Przestrzeń nazw kube-public jest czytelna dla wszystkich użytkowników, która musi być używana z zachowaniem ostrożności.
Reguła	Usuwanie roli uprzywilejowanej dla kontenera	Wykrywa usunięcie roli uprzywilejowanej zdefiniowanej w zestawie odwołań Rola uprzywilejowana . Uwaga: Odpowiedź reguły usuwa rolę z zestawu odwołań Rola uprzywilejowana . Uwaga: W produkcie IBM Security QRadar 7.3.2 i wcześniejszych wersjach zestaw odwołań nie jest poprawnie dowiązany do ról uprzywilejowanych- AlphaNumeric. Poprawki zostały poprawione w 7.3.2 poprawki 1. Jeśli nie zainstalowano poprawki 7.3.2 1, można wykonać następujące czynności: wybrać regułę, a następnie kliknąć przycisk Dalej. W obszarze Odpowiedź regułykliknij listę dla zestawu odwołań, a następnie wybierz opcję Role uprzywilejowane- AlphaNumeric.
Reguła	Tajemnice wielokrotne odczytywanie wielu niepowodzeń	Wykrywa wiele niepowodzeń odczytu danych niejawnych (przechowywanie poufnych informacji, takich jak hasła, znaczniki OAuth, klucze ssh itp.).
Reguła	Usunięte wiele wrażliwych zasobów	Wykrywa, kiedy usuwana jest wiele wrażliwych zasobów. Może to oznaczać, że intruz jest wrażliwy na zagrożenia. Uwaga: Odwzorowanie referencyjne Nazwy zasobów wrażliwych w zestawach musi być zapełnione odpowiednimi nazwami.
Reguła	Utworzona przestrzeń nazw, po której następuje wiele zasobów utworzonych w środowisku kontenera	Wykrywa, kiedy nieautoryzowany użytkownik tworzy nową przestrzeń nazw, a następnie tworzy wiele zasobów w tej przestrzeni nazw. Tworzenie przestrzeni nazw jest poprawnym działaniem dla dowolnego użytkownika, ale tworzenie wielu zasobów w przestrzeni nazw tuż po utworzeniu przestrzeni nazw jest podejrzane. Uwaga: Edytuj regułę, aby zastąpić "authorized_users" typowymi administratorami systemu.
Reguła	Wykonanie zdalnej powłoki do kontenera wykrytego	Wykrywa zdalne wykonywanie powłoki. Przeciwnik może używać tej techniki do wykonywania dowolnych komend na serwerze. Może to mieć wpływ na aplikacje i dane oraz pozwolić na przestawianie się na inne systemy w organizacji.

W poniższej tabeli przedstawiono raporty w produkcie IBM Security QRadar Container Content Extension 1.1.0.

Tabela 8. Raporty w produkcie IBM Security QRadar Container Content Extension 1.1.0
Nazwa raportu	Opis
Zabronione żądania API zakończone niepowodzeniem pogrupowane według nazwy użytkownika	Wyświetla niedozwolone żądania API zakończone niepowodzeniem z użytkowników Kubernetes . Zapisane wyszukiwanie: events: Zakazane nieudane żądania API Zgrupowane według nazwy użytkownika Uwaga: Edytuj to wyszukiwanie i wszelkie odpowiednie zależności wyszukiwania, aby doprecyzować wyniki.
Role uprzywilejowane i użytkownicy dla kontenera	Wyświetla uprzywilejowane role i użytkowników z poziomu Kubernetes. Treść raportu jest zestawiana przy użyciu następujących wyszukiwań aktywności dzienników: Role uprzywilejowane dla kontenera Użytkownicy Uprzywilejowani dla kontenera Uwaga: Edytuj to wyszukiwanie i wszelkie odpowiednie zależności wyszukiwania, aby doprecyzować wyniki.

W poniższej tabeli przedstawiono dane referencyjne w IBM Security QRadar Container Content Extension 1.1.0.

Tabela 9. Dane odniesienia w produkcie IBM Security QRadar Container Content Extension 1.1.0
Typ	Nazwa	Opis
zestaw referencji	Rola uprzywilejowana	Wyświetla listę wszystkich ról uprzywilejowanych.
Referencyjna mapa zestawów	Wrażliwe nazwy zasobów	Wyświetla listę wszystkich wrażliwych nazw zasobów dla każdego typu zasobu.

Poniższa tabela zawiera zapisane wyszukiwania w produkcie IBM Security QRadar Container Content Extension 1.1.0.

Tabela 10. Zapisane wyszukiwania w produkcie IBM Security QRadar Container Content Extension 1.1.0
Nazwa	Opis
Zabronione żądania API zakończone niepowodzeniem pogrupowane według nazwy użytkownika	Wyświetla wszystkie niedozwolone żądania API zakończone niepowodzeniem, pogrupowane według nazwy użytkownika.
Role uprzywilejowane dla kontenera	Wyświetla wszystkie uprzywilejowane role dla kontenerów.
Użytkownicy Uprzywilejowani dla kontenera	Wyświetla wszystkich użytkowników uprzywilejowanych w przypadku kontenerów.

_{(Początek strony)}

IBM Security QRadar Container Content Extension 1.0.1

Zaktualizowano rozszerzenie treści, aby domyślnie włączone były wszystkie właściwości niestandardowe, a także w celu naprawienia niepoprawnych odsyłaczy w ograniczniku odpowiedzi reguły.

_{(Początek strony)}

IBM Security QRadar Container Content Extension 1.0.0

W poniższej tabeli przedstawiono właściwości niestandardowe w produkcie IBM Security QRadar Container Content Extension 1.0.0.

Tabela 11. Właściwości niestandardowe w produkcie IBM Security QRadar Container Content Extension 1.0.0
Nazwa	Zoptymalizowane	Miejsce występowania
Identyfikator kontenera	Tak	osquery
Katalog plików	Tak	AMP Cisco Firepower Cisco Linux Microsoft Office 365 Microsoft Windows osquery Microsoft 365 Defender
Nazwa pliku	Tak	Amazon AWS Azure Platforma zabezpieczeń produktu Bit9 Marynarka niebieska Czarna Ochrona węgla AMP Cisco Firepower Cisco Cisco IronPort Punkt końcowy FireEye MPS Fortinet FortiAnalyzer Linux McAfee EPO Microsoft Office 365 Microsoft Windows osquery Palo Alto PA Series poprawka Postfix Squid Sysmon VMware Microsoft 365 Defender
GroupID	Tak	Linux Microsoft Windows osquery
Nazwa procesu nadrzędnego	Tak	osquery Microsoft Windows
Nadrzędna ścieżka procesu	Tak	osquery Microsoft Windows
Kontener Uprzywilejowany	Tak	Kubernetes osquery
Proces CommandLine	Tak	Czarna odpowiedź węglowa Kubernetes Microsoft Windows osquery Sysmon
Nazwa procesu	Tak	Czarna odpowiedź węglowa Punkt końcowy FireEye MPS Linux Microsoft Windows ObserveIT osquery
Szczegóły reguły	Tak	osquery
HashSHA256	Tak	AMP Cisco Microsoft 365 Defender osquery Sysmon
Punkt podłączenia źródła	Tak	osquery
Nazwa użytkownika docelowego	Tak	Amazon AWS Azure Kubernetes Microsoft Office 365 Microsoft Windows osquery VMware
ID użytkownika	Tak	Azure Linux osquery

W poniższej tabeli przedstawiono reguły i elementy składowe w produkcie IBM Security QRadar Container Content Extension 1.0.0.

Tabela 12. Reguły i bloki budowlane w produkcie IBM Security QRadar Container Content Extension 1.0.0
Typ	Nazwa	Opis
Blok budynku	BB:BehaviourDefinition: Nieprawidłowy Proces Procesu	Służy do śledzenia modyfikacji uprawnień, po której następuje podejrzana aktywność.
Blok budynku	BB:BehaviourDefinition: Abnormal Right Przypisane za pomocą tworzenia kontenera uprzywilejowanego (Privileged Container Creation)	Służy do śledzenia modyfikacji uprawnień, po której następuje podejrzana aktywność.
Blok budynku	BB:BehaviourDefinition: Linux Shell Spawned by a Process	Wykrywa powłokę, która jest tworzona na podstawie procesu, co jest mało prawdopodobne. Uwaga: Zapełnij zestaw odwołań do procesów w systemie Linux , aby utworzyć listę dozwolonych procesów, które mogą tworzyć nowe powłoki systemu Linux .
Blok budynku	BB:DeviceDefinition: system operacyjny	Definiuje wszystkie systemy operacyjne w systemie.
Blok budynku	BB:BehaviourDefinition: proces spawabowany przez program narzędziowy	Wykrywa programy narzędziowe wiersza komend, które są używane do tworzenia nowych procesów, takich jak echo, find, nmap, ncati zip.
Reguła	Nieprawidłowe prawa przypisane do nieautoryzowanych użytkowników	Wykrywa nietypową regułę sudo dodaną w systemie. Nazwą użytkownika docelowego jest użytkownik, do którego zastosowano regułę sudoera. Uwaga: Edytuj tę regułę, aby zastąpić nazwę authorized_username listą typowych administratorów systemu i programów narzędziowych z modyfikacją plików lub możliwościami wykonywania.
Reguła	Tworzenie kontenera uprzywilejowanego	Wykrywa tworzenie kontenera uprzywilejowanego. Uruchomienie kontenera z flagą uprzywilejowaną daje wszystkie możliwości kontenera, w tym dostęp do urządzenia hosta.
Reguła	Tworzenie użytkownika z uprawnieniami administratora	Wykrywa tworzenie konta użytkownika o identyfikatorze UID lub gid o wartości 0, co oznacza, że użytkownik jest administratorem.
Reguła	Krytyczny plik lub katalog podłączony w kontenerze	Wykrywa, kiedy newralgiczny plik lub katalog jest podłączony do kontenera, na przykład /etc/passwd. Newralgiczny plik lub katalog, który jest podłączony w kontenerze, umożliwia dostęp do newralgicznych katalogów lub plików hosta. Uwaga: Edytuj tę regułę, aby dodać dowolny newralgiczny plik lub katalog, który ma być monitorowany.
Reguła	Przyjazny proces wykryty w kontenerze	Wykrywa procesy skategoryzowane jako wrogie, takie jak malware, phishing, cryptomining. Uwaga: Zestaw porównawczy szkodliwego oprogramowania Hashes SHA musi być zapełniony. Istnieje możliwość użycia aplikacji Threat Intelligence App w celu zaimportowania kanałów informacyjnych informacji o zagrożeniach do tego zestawu odwołań.
Reguła	Przesłonięte powłoki logowania	Wykrywa, kiedy powłoka logowania zostanie nadpisana. Przeciwnicy mogą przesłonić powłokę logowania, aby osiągnąć trwałość. Uwaga: Zestaw porównawczy Nazwa pliku powłoki logowania jest wstępnie zapełniony nazwami plików powłoki i może być strojony.
Reguła	Modyfikacja pliku kluczy autoryzowanych	Wykrywa, kiedy plik /.ssh/authorized_keys jest modyfikowany. Atakujący dodaje klucz publiczny do pliku authorized_keys , który umożliwia zalogowanie się do systemu w dowolnym momencie bez dodatkowego uwierzytelniania, jeśli mają one swój klucz prywatny.
Reguła	Zatrzymane lub usunięte wiele kontenerów wrażliwych	Wykrywa, kiedy wiele wrażliwych kontenerów jest zatrzymanych lub usuniętych. Może to oznaczać, że intruz jest wrażliwy na zagrożenia. Uwaga: Zestaw porównawczy Identyfikatory kontenerów wrażliwych musi być zapełniony odpowiednimi identyfikatorami kontenerów.
Reguła	Nie dodano reguły hasła do pliku sudoers	Wykrywa nietypową regułę sudo dodaną w systemie, która nie wymaga podania hasła dla użytkownika. Uwaga: Edytuj regułę, aby zastąpić wartość authorized_username listą autoryzowanych administratorów systemu.
Reguła	Modyfikacja uprawnienia, po której następuje podejrzana aktywność	Wykrywa dodatek uprawnień dla nieautoryzowanych użytkowników, a następnie podejrzane wykonywanie procesów.
Reguła	Wykryto powłokę odwrotną lub Powiąż	Wykrywa dowolną powłokę odwrotną lub wiążową. Jest to połączenie powłoki, które jest inicjowane z hosta docelowego do hosta atakującego.
Reguła	SUID lub SGID Binaries Reconnaissance	Wykrywa użytkownika, który próbuje znaleźć wszystkie pliki binarne SUID/SGID. Przeciwnicy mogą używać plików binarnych SUID/SGID, aby eskalować ich uprawnienia.

W poniższej tabeli przedstawiono dane referencyjne w IBM Security QRadar Container Content Extension 1.0.0.

Tabela 13. Dane odniesienia w produkcie IBM Security QRadar Container Content Extension 1.0.0
Typ	Nazwa	Opis
zestaw referencji	Nazwa pliku powłoki logowania	Wyświetla listę wszystkich nazw powłok logowania.
zestaw referencji	Nieszkodliwe oprogramowanie Hashes SHA	Wyświetla wszystkie mieszające szkodliwe oprogramowanie SHA dla procesów.
zestaw referencji	Komendy programu narzędziowego do obsługi sieci	Wyświetla listę wszystkich komend programu narzędziowego do obsługi sieci, które mogą otwierać sesje.
zestaw referencji	Identyfikatory kontenerów wrażliwych	Wyświetla wszystkie poufne identyfikatory kontenerów (muszą być zapełnione przez użytkownika).
zestaw referencji	Program narzędziowy z uprawnieniami do wykonywania	Wyświetla listę wszystkich komend programu narzędziowego z możliwościami wykonywania.
zestaw referencji	Whitewyświetlone procesy w systemie Linux	Wyświetla listę wszystkich dozwolonych procesów w systemie Linux , które są autoryzowane do wykonywania działań na plikach krytycznych.

_{(Początek strony)}