Slide 46
Slide 46 text
によるモニタリング
は、 のシステムコールの実行を検出してルー
ルに基づいて警告できます。
たとえば、 は次のようなコンテナランタイムの操作を
検出できます。
・コンテナ内でのシェルの実行
・サーバープロセスが予期しない子プロセスの生成
・機密ファイル など の読み取り
・非デバイスファイル など への書き込み
・特定バイナリによる、ネットワーク接続の確立
など
- rule: Disallowed SSH Connection
desc: Detect any new ssh connection to
a host other than those in an allowed
group of hosts
condition: (inbound_outbound) and
ssh_port and not allowed_ssh_hosts
output: Disallowed SSH Connection
(command=%proc.cmdline
connection=%fd.name user=%user.name
container_id=%container.id
image=%container.image.repository)
priority: NOTICE
tags: [network, mitre_remote_service]