クラスタ イメージ スキャンは、既知のファイルの広範なデータベースと比較することで、検出されたソフトウェアを特定して分類するのに役立ちます。

セキュリティ管理者は、イメージ スキャンのファイル レピュテーション機能を使用して、特定のコンテナ イメージのすべての Linux ELF ファイルを既知の悪意のあるファイルのリストに対して分析できます。

DevSecOps として、クラスタに展開されているすべてのコンテナ イメージの疑わしい/悪意のあるファイル レピュテーションを表示できます。

手順

  1. 左側のナビゲーション ペインで、システム構成とロールに応じて次のいずれかを実行します。
    • Kubernetes Security DevOps または SecOps ロールがあり、システムにコンテナ セキュリティ機能しかない場合は、[インベントリ] > [コンテナ イメージ] の順にクリックします。
    • 他のロールがあり、システムにコンテナ セキュリティ機能とその他の Carbon Black Cloud 機能がある場合は、[インベントリ] > [Kubernetes] > [コンテナ イメージ] の順にクリックします。

    [コンテナ イメージ] 画面には、Kubernetes 環境で現在何が発生しているかを示す一般的なサマリが含まれています。[ファイル レピュテーション] ウィジェットは展開されたコンテナ イメージのすべてのレピュテーションを棒グラフで要約します。

    ファイル レピュテーション ウィジェット

    この可視化により、疑わしいファイルを使用して実行されているイメージの数と、レピュテーション別の分布が明らかになります。

    • [会社承認] — SHA-256 ハッシュによって会社の承認リストに追加されたファイルであることを示します。
    • [会社禁止] — SHA-256 ハッシュによって会社の禁止リストに追加されたファイルであることを示します。
    • [重大] - ファイルが既知のマルウェアであることを示します。クラウド分析と脅威インテリジェンス フィードは、既知のマルウェアのレピュテーションを判断します。
    • [疑わしい] - イメージ ファイルが疑わしいマルウェアであることを示します。クラウド分析と脅威インテリジェンス フィードは、疑わしいマルウェアのレピュテーションを判断します。分析では、ファイルが良好かマルウェアかを判断できません。
  2. ファイル レピュテーションがコンテナ イメージ内のファイルに割り当てる信頼または不信のレベルをさらに調査するには:
    • [展開されたイメージ] タブをクリックし、イメージ行の右側にある矢印 キャレット (>) アイコン アイコンをクリックします。

      [イメージの詳細] パネルの [ファイル レピュテーション] セクションには、コンテナ イメージ内のすべての関心のあるファイルとその割り当てられたレピュテーションが一覧表示されます。

    • [展開されたイメージ] タブで、そのコンテナ イメージの [イメージ タグ] 列の下にあるリンクをクリックします。

      [ファイル レピュテーション] ウィジェットは、[コンテナ イメージ] 画面の [概要] タブに表示されます。イメージの疑わしいファイルと悪意のあるファイルの分布を円グラフで表示します。

    • [コンテナ イメージ] 画面で、[レイヤー] タブをクリックし、レイヤー行をダブルクリックします。

      [ファイル レピュテーション] セクションでは、ファイル名とレピュテーションを表示できます。