Kapsayıcı
Dağıtımınızdaki kapsayıcıları yakından izlemek için IBM® QRadar ® Container Content Extension olanağını kullanın.
- IBM Security QRadar Container Content Extension 1.1.4
- IBM Security QRadar Container Content Extension 1.1.3
- IBM Security QRadar Container Content Extension 1.1.2
- IBM Security QRadar Container Content Extension 1.1.1
- IBM Security QRadar Container Content Extension 1.1.0
- IBM Security QRadar Container Content Extension 1.0.1
- IBM Security QRadar Container Content Extension 1.0.0
IBM Security QRadar Container Content Extension 1.1.4
Aşağıdaki tabloda, IBM Security QRadar Container Content Extension 1.1.4içinde güncellenen özel özellikler gösterilmektedir.
| Ad | Ayrıntılar |
|---|---|
| Kapsayıcı Resmi | Özellik artık eniyilenmiş. |
| GroupID | Özellik açıklaması güncellendi. |
IBM Security QRadar Container Content Extension 1.1.3
Aşağıdaki tabloda, IBM Security QRadar Container Content Extension 1.1.3içinde yeni olan oluşturma öbekleri gösterilmektedir.
| Ad | Açıklama |
|---|---|
| BB:DeviceDefinition: Containers | Sistemdeki tüm kapsayıcı günlük kaynaklarını tanımlar. |
IBM Security QRadar Container Content Extension 1.1.2
Aşağıdaki tablo, IBM Security QRadar Container Content Extension 1.1.2içindeki özel özellikleri göstermektedir.
| Ad | Optimize edilmiş | Yakalama Grubu | Regex |
|---|---|---|---|
| Komut Bağımsız Değişkenleri | Evet | 1 | argc= \d + ((a\d + =" [ ^ "] +?"?) +) |
| Kaynak Montaj Noktası | Evet | 1 | volumeMounts"\:[{.*?\"mountPath[\":]([^\"]) |
Aşağıdaki tablo, IBM Security QRadar Container Content Extension 1.1.2içinde yeni ya da güncellenen kuralları ve oluşturma öbeklerini göstermektedir.
| Tip | Ad | Açıklama |
|---|---|---|
| Yapı Taşı | BB:CategoryDefinition: Kaynak Yaratma Olayları | Bileşenler, kube-sistem ya da kube-public gibi kritik ad alanları altında oluşturulduğunda tetiklenir. Ad alanı kube-sistemi yalnızca Kubernetes sisteminden yaratılan nesneler tarafından kullanılmalıdır. Ad alanı kube-genel tüm kullanıcılar tarafından okunabilir, bu da dikkatli kullanılması gerekir. |
| Kural | Kritik Ad Alanlarında Kaynak Yaratılması | Kaynaklar, kube-sistem ya da kube-public gibi kritik ad alanları altında yaratıldığında tetiklenir. Ad alanı kube-sistemi yalnızca bir Kubernetes sisteminden oluşturulan nesneler tarafından kullanılmalıdır. Ad alanı kube-genel tüm kullanıcılar tarafından okunabilir, bu da dikkatli kullanılması gerekir. |
| Kural | Kritik Dosya ya da Taşıyıcıda Kurulu Dizin | Kritik bir dosya ya da dizinin bir taşıyıcıya (örneğin, /etc/passwd) ne zaman yüklendiğini saptar. Bu, bir anasistemdeki kritik dizin ya da dosyalara erişime izin verir. |
| Kural | Bir Konteyner Ortamında Yaratılan Birden Çok Kaynak Tarafından Yaratılan Ad Alanı Yaratıldı | Yetkisiz bir kullanıcının yeni bir ad alanı yarattığında tetikleyiciler ve ardından bu ad alanında birden çok kaynak yaratılırmış. Bir ad alanı yaratılması herhangi bir kullanıcı için geçerli bir işlemdir, ancak ad alanı yaratıldıktan hemen sonra ad alanında birden çok kaynak yaratılması şüpheli olur. |
| Kural | SUID ya da SGID Binaries Keşif | Tüm SUID/SGID ikilileri bulmaya çalışan bir kullanıcı algılar. Rakipler, ayrıcalıklarını yükseltmek için SUID/SGID ikililerini kullanabilir. |
IBM Security QRadar Container Content Extension 1.1.1
Aşağıdaki tablo, IBM Security QRadar Container Content Extension 1.1.1içindeki özel özellikleri göstermektedir.
IBM Security QRadar Container Content Extension 1.1.0
Aşağıdaki tablo, IBM Security QRadar Container Content Extension 1.1.0içindeki özel özellikleri göstermektedir.
| Ad | Optimize edilmiş | Bulunduğu yer |
|---|---|---|
| Ad Alanı | Evet | Kubernetes |
| Ayrıcalıklı Kapsayıcı | Evet | |
| Süreç CommandLine | Evet | |
| Neden | Evet | Kubernetes |
| Kaynak | Evet | Kubernetes |
| Kaynak Adı | Evet | Kubernetes |
| Rol | Evet | |
| Rol İşlemleri | Evet | Kubernetes |
| Rol Atanan Kaynaklar | Evet | Kubernetes |
The following table shows the rules and building blocks in IBM Security QRadar Container Content Extension 1.1.0.
| Tip | Ad | Açıklama |
|---|---|---|
| Yapı Taşı | BB:BehaviourDefinition: Yetkisi olmayan Kullanıcı Oluşturma Ad Alanları | Ad alanları yaratan yetkisiz kullanıcıları tanımlar. |
| Yapı Taşı | BB:CategoryDefinition: Kaynak Yaratma Olayları | Bileşenler, kube-sistem ya da kube-public gibi kritik ad alanları altında oluşturulduğunda algılar. Ad alanı kube-sistemi yalnızca Kubernetes sisteminden yaratılan nesneler tarafından kullanılmalıdır. Ad alanı kube-genel tüm kullanıcılar tarafından okunabilir, bu da dikkatli kullanılması gerekir. |
| Yapı Taşı | BB:DeviceDefinition: Containers | Sistemdeki tüm kapsayıcı günlük kaynaklarını tanımlar. |
| Kural | System Dışı Kullanıcı Tarafından Kritik Ad Alanlarında Komut Yürütme | Sistem kullanıcısı olmayan bir kullanıcı tarafından, kritik ad alanında bir komutun yürütülmesini (Kerbernetes 'de kube-system) algılar. Normal kullanıcıların sistem kaynaklarıyla etkileşimde bulunmaları gerekmez. Not: "system:serviceaccount" öğesini, sistemdeki tipik hizmet hesaplarıyla değiştirmek için kuralı düzenleyin.
|
| Kural | Güvenli Olmayan Bağlantı Noktasından İletişim | Güvenli olmayan bir kapıdan (2379, 8080 ya da 10250) iletişimi algılar. Güvenli olmayan kapı varsayılan olarak Kubernetes v.1.14' den devre dışı bırakılır, ancak açıkça (ilkede güvenli olmayan kapı işareti) etkinleştirmek mümkündür. Güvenli olmayan kapı etkinleştirildikten sonra, kimlik doğrulaması olmadan API ' ye tam erişim verilir. |
| Kural | Kapsayıcı için Ayrıcalıklı Rol Oluşturma | Ayrıcalıklı bir rol oluşturulmasını saptar. Varsayılan olarak, tüm haklara sahip tüm kaynaklara erişimi olan bir rol olarak tanımlanır ya da özel olarak "sırlar" üzerinde yaratma, güncelleme ya da silme haklarıyla ilgili olarak tanımlanır. Not: Kural yanıtı, rolü Ayrıcalıklı Rol başvuru kümesine ekler. AQL sorgularını, Ayrıcalıklı olarak kabul edilen herhangi bir izne dahil etmek için ayarlayın.
|
| Kural | Kritik Ad Alanlarında Kaynak Yaratılması | Kaynaklar, kube-sistem ya da kube-public gibi kritik ad alanları altında ne zaman oluşturuldugunun saptar. Ad alanı kube-sistemi yalnızca Kubernetes sisteminden yaratılan nesneler tarafından kullanılmalıdır. Ad alanı kube-genel tüm kullanıcılar tarafından okunabilir, bu da dikkatli kullanılması gerekir. |
| Kural | Kapsayıcı için Ayrıcalıklı Rol Silinmesi | Privileged Role (Ayrıcalıklı Rol) başvuru kümesinde tanımlanan ayrıcalıklı bir rolün silinmesini saptar. Not: Kuralın yanıtı, rolü Ayrıcalıklı Rol başvuru kümesinden kaldırır.
Not: IBM Security QRadar 7.3.2 ve önceki sürümlerde, başvuru kümesi Privileged Roles- AlphaNumeric(Ayrıcalıklı Roller) için düzgün bir şekilde bağlanmaz. Bu, 7.3.2 yama 1 'de düzeltilmişti. Sisteminizde 7.3.2 yama 1 kurulu değilse, şunları yapabilirsiniz: Kuralı seçin ve İleri' yi tıklatın. Kural Yanıtı'nın altında, başvuru kümesine ilişkin listeyi tıklatın ve Ayrıcalıklı Roller- AlphaNumeric' ı seçin.
|
| Kural | Gizli Bilgileri Okuyan Birden Çok Hata | Gizli bilgileri (parola, OAuth belirteçleri, ssh anahtarları, vb. gibi duyarlı bilgilerin depolandığını) algılar. |
| Kural | Birden Çok Duyarlı Kaynak Silindi | Birden çok hassas kaynağın silinmeye başlandığını saptar. Bu, davetsiz bir kişinin hassas bilgilerden taviz verdiğini gösterebilir. Not: Duyarlı Kaynak Adları başvuru eşleminin ilgili adlarla doldurulması gerekir.
|
| Kural | Bir Konteyner Ortamında Yaratılan Birden Çok Kaynak Tarafından Yaratılan Ad Alanı Yaratıldı | Yetkisiz bir kullanıcının yeni bir ad alanı yarattığında algılar ve ardından bu ad alanında birden çok kaynak yaratılırmış. Bir ad alanı yaratılması herhangi bir kullanıcı için geçerli bir işlemdir, ancak ad alanı yaratıldıktan hemen sonra ad alanında birden çok kaynak yaratılması şüpheli olur. Not: "Authorized_users" öğesini sistemin tipik denetimcileri tarafından başkasıyla değiştirmek için kuralı düzenleyin.
|
| Kural | Bir Taşıyıcıya Uzak Kabuk Yürütmesi Saptandı | Uzak kabuk yürütmeyi saptar. Bir rakip, bu tekniği, bir sunucuda isteğe bağlı komutlar yürütmek için kullanabilir. Bu, uygulamaları ve verileri etkileyebilir ve kuruluş içindeki diğer sistemlere eksenel olarak dönebilmesine olanak tanır. |
The following table shows the reports in IBM Security QRadar Container Content Extension 1.1.0.
| Rapor Adı | Açıklama |
|---|---|
| Kullanıcı Adı Temelinde Gruplanan Yasak Başarısız API İstekleri | Kubernetes kullanıcılarından izin verilmeyen API isteklerini gösterir. Saklanmış Arama: Olaylar: Kullanıcı adı temelinde gruplanmış, yasak başarısız API istekleri Not: Sonuçların iyileştirilmesi için bu aramayı ve ilgili arama bağımlılıklarını düzenleyin.
|
| Kapsayıcıya İlişkin Ayrıcalıklı Roller ve Kullanıcılar | Ayrıcalıklı rolleri ve kullanıcıları Kubernetes' ten gösterir. Rapor içeriği, aşağıdaki Günlük Etkinliği aramaları kullanılarak harmanlanır:
Not: Sonuçların iyileştirilmesi için bu aramayı ve ilgili arama bağımlılıklarını düzenleyin.
|
Aşağıdaki çizelge, IBM Security QRadar Container Content Extension 1.1.0içindeki başvuru verilerini gösterir.
| Tip | Ad | Açıklama |
|---|---|---|
| Referans Kümesi | Ayrıcalıklı Rol | Tüm ayrıcalıklı rolleri listeler. |
| kümelerin başvuru eşlemi | Duyarlı Kaynak Adları | Kaynak tipi başına tüm duyarlı kaynak adlarını listeler. |
The following table shows the saved searches in IBM Security QRadar Container Content Extension 1.1.0.
| Ad | Açıklama |
|---|---|
| Kullanıcı Adı Temelinde Gruplanan Yasak Başarısız API İstekleri | Kullanıcı adı temelinde gruplanmış, yasak olan tüm başarısız API isteklerini gösterir. |
| Kapsayıcıya İlişkin Ayrıcalıklı Roller | Kapsayıcılar için tüm ayrıcalıklı rolleri gösterir. |
| Kapsayıcı için Ayrıcalıklı Kullanıcılar | Kapsayıcılar için tüm ayrıcalıklı kullanıcıları gösterir. |
IBM Security QRadar Container Content Extension 1.0.1
Varsayılan olarak tüm özel özellikleri etkinleştirmek ve kural yanıt sınırlayıcısındaki bozuk bağlantıları düzeltmek için içerik uzantısını güncelleştirin.
IBM Security QRadar Container Content Extension 1.0.0
Aşağıdaki tablo, IBM Security QRadar Container Content Extension 1.0.0içindeki özel özellikleri göstermektedir.
| Ad | Optimize edilmiş | Bulunduğu yer |
|---|---|---|
| Taşıyıcı Tanıtıcısı | Evet | ovma |
| Dosya Dizini | Evet | |
| Dosya adı | Evet |
|
| GroupID | Evet | |
| Üst Süreç Adı | Evet | |
| Üst Süreç Yolu | Evet | |
| Ayrıcalıklı Kapsayıcı | Evet | |
| Süreç CommandLine | Evet | |
| Süreç Adı | Evet | |
| Kural ayrıntıları | Evet | ovma |
| SHA256 HASH | Evet | |
| Kaynak Montaj Noktası | Evet | ovma |
| Hedef Kullanıcı Adı | Evet | |
| Kullanıcı Kimliği | Evet |
The following table shows the rules and building blocks in IBM Security QRadar Container Content Extension 1.0.0.
| Tip | Ad | Açıklama |
|---|---|---|
| Yapı Taşı | BB:BehaviourDefinition: Olağandışı Süreç Spawned | Privilege Değişikliğini takip eden Şüpheli Etkinlik' i izlemek için kullanılır. |
| Yapı Taşı | BB:BehaviourDefinition: Aabnormal Sağ Atandı ve ardından Ayrıcalıklı Taşıyıcı Oluşturma | Privilege Değişikliğini takip eden Şüpheli Etkinlik' i izlemek için kullanılır. |
| Yapı Taşı | BB:BehaviourDefinition: Linux Shell Bir Süreç Tarafından Oluşturulmuş | Bir süreçten oluşturulan bir kabuk algılar; bu bir olasılık dışı. Not: Whitelisted Linux Processes başvuru kümesini, yeni Linux kabukları oluşturabilmek için izin verilen beyaz liste süreçlerine ayarlayın.
|
| Yapı Taşı | BB:DeviceDefinition: İşletim Sistemi | Sistemdeki tüm işletim sistemlerini tanımlar. |
| Yapı Taşı | BB:BehaviourDefinition: Yardımcı Program Tarafından İşlem Yedekleniyor | Detects command line utilities that are used to create new processes, such as echo, find, nmap, ncat, and zip. |
| Kural | Yetkisiz Kullanıcılara Atanmış Olağandışı Haklar | Sisteme eklenen olağan dışı bir sudo kuralını algılar. Hedef Kullanıcı Adı, sudoer kuralının uygulandığı kullanıcıdır. Not:
Authorized_usernamekullanıcı adını, sistemin tipik denetimcileri ve dosya değiştirme ya da yürütme yeteneklerine sahip yardımcı programlar listesiyle değiştirmek için bu kuralı düzenleyin. |
| Kural | Ayrıcalıklı Taşıyıcı Yaratılması | Ayrıcalıklı bir taşıyıcının oluşturulmasını saptar. Bir kapsayıcının ayrıcalıklı işaretle çalıştırılması, anasistem aygıtına erişim de dahil olmak üzere, kapsayıcıya tüm yetenekleri verir. |
| Kural | Ayrıcalıklı Kullanıcı Ayrıcalıklarına Sahip Bir Kullanıcı Yaratılması | Uid ya da gid değeri 0 olan bir kullanıcı hesabının yaratıldığını algılar; bu da bir Superuser değerini gösterir. |
| Kural | Kritik Dosya ya da Taşıyıcıda Kurulu Dizin | Kritik bir dosya ya da dizinin bir taşıyıcıya (örneğin, /etc/passwd) ne zaman yüklendiğini saptar. Bir taşıyıcıya takılan önemli bir dosya ya da dizin, anasistemin kritik dizinine ya da dosyalarına erişilmesine olanak sağlar. Not: İzlemek isteyebileceğiniz önemli bir dosyayı ya da dizini eklemek için bu kuralı düzenleyin.
|
| Kural | Taşıyıcıda Algılanan Düşmanca Süreç | Kötü niyetli yazılım, kimlik avı, kriptomatik gibi saldırgan olarak sınıflandırılan süreçleri algılar. Not: Malware Haches SHA başvuru kümesinin doldurulması gerekir. Tehdit istihbaratındaki özet akışlarını bu başvuru kümesine aktarmak için Threat Intelligence App olanağını kullanabilirsiniz.
|
| Kural | Oturum Açma Kabuğu Geçersiz Kılındı | Bir oturum açma kabuğu geçersiz kılındığında algılanır. Adveraries, kalıcılığı gerçekleştirmek için bir oturum açma kabuğunu geçersiz kılabilir. Not: Login Shell Filename başvuru kümesi kabuk dosyası adlarıyla önceden doldurulur ve ayarlanabilmektedir.
|
| Kural | Yetkili Anahtar Dosyasına İlişkin Değişiklik | /.ssh/authorized_keys dosyasının ne zaman değiştirildiğini algılar. Saldırgan, Genel Anahtarı 'nı authorized_keys dosyasına ekler; bu da Özel Anahtarlarına sahip olması durumunda, daha fazla kimlik doğrulaması yapılmaksızın sistemde oturum açmalarını sağlar. |
| Kural | Birden Çok Hassas Kap Durdu ya da Silindi | Birden çok hassas kap durdurulduğunda ya da silindiğinde algılanır. Bu, bir davetsiz misafirin hassas bilgilerden taviz verdiğine işaret edebilir. Not: Duyarlı Taşıyıcı Tanıtıcıları başvuru kümesi, ilgili Taşıyıcı Tanıtıcılarıyla doldurulmalıdır.
|
| Kural | Sudoers Dosyasına Parola Kuralı Eklenmedi | Sistemde, kullanıcı için parola gerektirmeyecek olan olağan dışı bir sudo kuralını algılar. Not: Edit the rule to replace
authorized_usernamewith the list of authorized administrators of the system. |
| Kural | Ayrıcalık Değişikliği ve ardından Şüpheli Etkinlik | Yetkisiz kullanıcılar için ayrıcalık eklenmesini saptar ve ardından süreçlerin şüpheli olarak yürütülmesini sağlar. |
| Kural | Ters ya da Bağ Kabuğu Saptandı | Ters ya da bağ kabuğu kabuğu olduğunu saptar. Bu, hedef anasistemden saldırgan anasistemle başlatılan bir kabuk bağlantısıdır. |
| Kural | SUID ya da SGID Binaries Keşif | Tüm SUID/SGID ikilileri bulmaya çalışan bir kullanıcı algılar. Rakipler, ayrıcalıklarını yükseltmek için SUID/SGID ikililerini kullanabilir. |
Aşağıdaki çizelge, IBM Security QRadar Container Content Extension 1.0.0içindeki başvuru verilerini gösterir.
| Tip | Ad | Açıklama |
|---|---|---|
| Referans Kümesi | Oturum Açma Kabuk Adı | Tüm oturum açma kabuk adlarını listeler. |
| Referans Kümesi | Kötü Amaçlı Yazılım Karmaları SHA | Süreçler için tüm kötü niyetli yazılım SHA HASH ' lerini listeler. |
| Referans Kümesi | Networking Utility Komutları | Oturumları açabilecek tüm ağ oluşturma yardımcı programlarını listeler. |
| Referans Kümesi | Hassas Kapsayıcı Tanıtıcıları | Tüm duyarlı taşıyıcı tanıtıcılarını listeler (kullanıcı tarafından doldurulmalıdır). |
| Referans Kümesi | Yürütme Yeteneklerine Sahip Yardımcı Program | Yürütme yeteneklerine sahip tüm yardımcı program komutlarını listeler. |
| Referans Kümesi | Whitelisted Linux Süreçleri | Kritik dosyalarda işlem gerçekleştirme yetkisine sahip olan tüm beyaz listeye alınmış Linux işlemlerini listeler. |