Container-Forensik
Reaktion auf Vorfälle und Container-Forensik für Kubernetes
Anhand von Forensik und Maßnahmen zur Reaktion auf Vorfälle für Container und Kubernetes können Sie Sicherheitslücken nachvollziehen, Compliance-Anforderungen erfüllen und Ihre Systeme schnell wieder in Gang bringen. Sysdig Secure ist Ihre Source of Truth für alle Aktivitäten im Container-Ökosystem vor, während und nach einem Sicherheitsvorfall.
Auswirkungen von Sicherheitslücken nachvollziehen und eindämmen
Nutzen Sie die Datentiefe eines detaillierten Forensikberichts von Sysdig Secure, um schnell die Fragen zum „Wann“, „Was“, „Wer“ und „Warum“ Ihrer Vorfälle beantworten zu können.
Schneller auf Vorfälle reagieren und mit einem individuellen Workflow alles wieder in Gang bringen
Optimieren Sie Ihre Reaktion auf Vorfälle und ermitteln Sie dank eines detaillierten Aktivitätsdatensatzes schnell, was vorgefallen ist. Detaillierte Richtlinien nutzen die Regelbibliothek von Falco, um Richtlinienverstöße zur Laufzeit zu analysieren und zu prüfen.
Post-mortem-Analyse auf einem Container außerhalb der Produktion durchführen
Analysieren Sie forensische Aufzeichnungen und rekonstruieren Sie alle Systemaktivitäten, sogar für Container, die schon längst nicht mehr eingesetzt werden.
Auswirkungen von Sicherheitslücken nachvollziehen und eindämmen
Die umfangreichen Datenerfassungsfunktionen von Sysdig Secure, die wiederum auf der Erfassung von Systemaufrufen beruhen, sind Ihre Source of Truth für Container-Forensik und die Reaktion auf Vorfälle (Incident Response, IR). Sie erhalten tiefgehende Einsichten in Prozess-, Laufwerks- und Netzwerkaktivitäten vor, während und nach einem Vorfall.
Nutzen Sie die enge Integration mit Kubernetes- und Container-Orchestrierungstools, um Maßnahmen zur Reaktion auf Vorfälle in Kubernetes durchzuführen. Sysdig Secure korreliert Systemaufrufdaten mit den Container/Cloud- und Kubernetes-Metadaten, damit Sie schnell tiefgehende Einblicke in den Vorfall erhalten.
Bei der Reaktion auf Vorfälle in Containern und Kubernetes ist die Beantwortung von „Warum“-Fragen in verteilten und dynamischen Umgebungen besonders schwierig, insbesondere, da Container kurzlebig sind. Mit Sysdig Secure können Sie genaue Regeln definieren (mithilfe von Falco), um auf unerwartete Aktivitäten zu prüfen. Eine flexible Syntax hilft Ihnen bei der Identifizierung, was vorgefallen ist (z. B. Kryptojacking, kompromittierte sensible Informationen), und der Ermittlung von Informationen zur Ursache (z. B. Kompromittierung durch Benutzer, Schwachstelle).
Schneller auf Sicherheitsvorfälle reagieren und mit einem individuellen Workflow alles wieder in Gang bringen
Wenn ungewöhnliche Aktivitäten erkannt werden, können die vordefinierten Sysdig-Richtlinien basierend auf Falco oder Ihren individuellen Laufzeitrichtlinien automatisch ein Sicherheitsereignis auslösen. Wenn Sie einen Vorfall sehen, können Sie sofort weitere Informationen anzeigen und ihn in einem bestimmten Teil der Kubernetes-Infrastruktur isolieren.
Über Sysdig Secure können Sie nach beliebigen Feldern filtern, um den Echtzeit-Stream von Benutzer- und Systemaktivitäten verfolgen zu können. Diese Aktivitäten werden mit Metriken im gesamten Stack korreliert, um die Ursache (Kubernetes, Container, Host, Netzwerk und Dateien) schneller identifizieren zu können. Mit Sysdig Secure können Sie einen kube-exec-Befehl bis hin zum Benutzer und zur Netzwerkaktivität nachverfolgen.
Finden Sie heraus, wie genau der Cyberkriminelle vorgegangen ist. In diesem Beispiel hat er oder sie Bash und anschließend curl-Befehle ausgeführt, um eine Datei aus dem Internet herunterzuladen, zu entpacken und die Bash-Historie zu vernichten.
Post-mortem-Analyse des Containers durchführen
Die Lebensdauer von Containern endet lange vor der ersten Reaktion auf Vorfälle und forensischen Untersuchung in Containern, sodass Sysdig Secure forensische Daten speichert, während die Container noch aktiv sind. Forensische Container-Aufzeichnungen ermöglichen es über eine SCAP-Datei, Aktivitäten im Zusammenhang mit Sicherheitsereignissen vor, während und nach dem Vorfall zu untersuchen, zu analysieren und zu rekonstruieren.
Sie können System-, Benutzer- und Container-Aktivitäten über einen bestimmten Zeitraum als Teil eines Container-Forensik-Workflows korrelieren. Sysdig Secure bietet Ihnen eine interaktive Zeitachse der Ereignisse und Aktionen, auch wenn sich der Container nicht mehr in der Produktionsumgebung befindet.
Führen Sie Aufzeichnungen, die der Reaktion auf Vorfälle dienen. Sysdig Secure zeigt alle Aktivitäten (u. a. Befehle, Dateiaktivitäten, Netzwerkverbindungen usw.) vor und nach dem Ereignis an, sodass Sie eine vollständige forensische Analyse durchführen können. Rekonstruieren Sie sogar Dateiinhalte bei einem schädlichen Vorfall.
“Da wir unverzüglich benachrichtigt werden, wenn ein Vorfall mit nicht autorisiertem Zugriff auftritt, können wir schnell reagieren, um das Problem zu beheben. Und weil Developer Operation Logs erfasst und benutzerfreundlich dargestellt werden, können wir bei einem Vorfall problemlos prüfen, was passiert ist – das ist wirklich beruhigend.”
Hiroki Suezawa, Security-Engineering-Team, Mercari
Das könnte Sie ebenfalls interessieren