引擎组能力及配合摘录

能力图谱

资产的概念

技术视角上划分两种资产层级(一级资产、二级资产)

容器资产
- 容器信息: ContainerId、ContainerName、MergedDir工作目录、MountDir挂载目录、ContainerPort网络端口、 PortBindings端口映射、 Env环境变量、ImageId所用镜像Id、User用户
- 镜像信息: ImageId镜像Id、ImageName镜像名称、RepoTag镜像仓库&镜像Tag
- 容器内含进程关联: 容器内部进程NsPid, 容器外部进程Pid、容器内所有进程NsId
- 容器血缘: 容器组的概念 (K8s Pod中会有一组Container在同一个Pod中)
进程资产又称应用资产
- 进程信息: Pid、Exe执行文件名称、Cwd工作目录、CmdLine命令行、ParentPid父进程Id、Name进程名
- 进程应用识别:AppName应用名、AppVersion应用版本、应用类型
- 进程网络信息: ListeningPorts 监听端口
- 进程用户信息: UserName用户名、Uid用户Id、Gid用户组Id
- 进程血缘: 进程与进程、进程与socket、进程与用户
- 进程应用配置configFile: 当前应用配置文件
- 进程日志【待定】

为何出现二级资产, 二级资产凸显在一级应用资产概念内部

Api接口: 插桩类(Java\Php\Python\DotNet\Golang)、非插桩类(Nginx\Openrestry\Tegine\Apache.….)【等待AssetDiag壮大】
sbom软件成分: 语言Pkg(Java\Php\Python\DotNet\Golang)、系统Pkg(apk、dpkg、flatpak、pacman….)、Iac配置类
流量池: 插桩类(Java\Php\Python\DotNet\Golang)
应用漏洞
- OWASP Web应用漏洞
- SBOM CVE漏洞
  - Language Pkg SBOM
  - Os Pkg SBOM
应用威胁风险
- Iac侧
  - Docker&Dockerfile侧检测
    - 暴露22端口
    - Evn环境变量携带密钥
    - 使用sudu
    - root
    - ….
  - Kubernetes侧检测
    - apiServer侧
    - cni侧
    - controllermanager侧
    - scheduler侧
    - ….
- 不安全隐患 Q3能力增长
  - 后门检查
  - 密钥泄露
  - 逃逸/提权风险
  - 弱口令
  - 容器不安全挂载
  - ……
- 攻击意图(异常行为) 【Q3能力增长】
  - Dns查询
  - 线程操作
  - Attach
  - native方法绕过
  - …..
- 应用血缘异常【Q3能力增长】
  - 进程网络侧异常
    - 端口异常
    - 非法网络协议
    - 非法持有外部Socket
  - 进程关系测
    - 所属父进程异常
    - 启动命令异常
    - 工作目录异常
  - 用户侧
    - 特权用户异常
    - 非法用户启动异常(容器)
代码【待定】

sbom软件成分: 语言Pkg(Java\Php\Python\DotNet\Golang)、系统Pkg(apk、dpkg、flatpak、pacman….)、Iac配置类
应用漏洞
- SBOM CVE漏洞
  - Language Pkg SBOM
  - Os Pkg SBOM
应用威胁风险
- Iac侧
  - Docker&Dockerfile侧检测
    - 暴露22端口
    - Evn环境变量携带密钥
    - 使用sudu
    - root
    - ….
  - Kubernetes侧检测
    - apiServer侧
    - cni侧
    - controllermanager侧
    - scheduler侧
    - ….
- 不安全隐患 Q3能力增长
  - 后门检查
  - 密钥泄露
  - 逃逸/提权风险
  - 弱口令
  - 容器不安全挂载
  - ……

DaemonAgent启动器
AssetDiag
- 【原子能力】RuleEngine - 识别审计库
- 【基础能力包】
Scanner(sbom及威胁检测)
- 【基础能力包】命令解析、控制、通信
- 【原子能力】Iac 【defsec】
- 【原子能力】bom
- 【原子能力】insecure隐患筛查

一级资产

容器资产
- 容器信息: ContainerId、ContainerName、MergedDir工作目录、MountDir挂载目录、ContainerPort网络端口、 PortBindings端口映射、 Env环境变量、ImageId所用镜像Id、User用户
- 镜像信息: ImageId镜像Id、ImageName镜像名称、RepoTag镜像仓库&镜像Tag
- 容器内含进程关联: 容器内部进程NsPid, 容器外部进程Pid、容器内所有进程NsId
- 容器血缘: 容器组的概念 (K8s Pod中会有一组Container在同一个Pod中)
进程资产又称应用资产
- 进程信息: Pid、Exe执行文件名称、Cwd工作目录、CmdLine命令行、ParentPid父进程Id、Name进程名
- 进程应用识别:AppName应用名、AppVersion应用版本、应用类型
- 进程网络信息: ListeningPorts 监听端口
- 进程用户信息: UserName用户名、Uid用户Id、Gid用户组Id
- 进程血缘: 进程与进程、进程与socket、进程与用户
- 进程应用配置configFile: 当前应用配置文件
- 进程日志【待定】

二级资产

Api接口: 插桩类(Java\Php\Python\DotNet\Golang)、非插桩类(Nginx\Openrestry\Tegine\Apache.….)【等待AssetDiag壮大】
sbom软件成分: 语言Pkg(Java\Php\Python\DotNet\Golang)、系统Pkg(apk、dpkg、flatpak、pacman….)、Iac配置类
流量池: 插桩类(Java\Php\Python\DotNet\Golang)
应用漏洞
- SBOM CVE漏洞
  - Language Pkg SBOM
  - Os Pkg SBOM
应用威胁风险
- Iac侧
  - Docker&Dockerfile侧检测
    - 暴露22端口
    - Evn环境变量携带密钥
    - 使用sudu
    - root
    - ….
  - Kubernetes侧检测
    - apiServer侧
    - cni侧
    - controllermanager侧
    - scheduler侧
    - ….
- 不安全隐患 Q3能力增长
  - 后门检查
  - 密钥泄露
  - 逃逸/提权风险
  - 弱口令
  - 容器不安全挂载
  - ……
- 应用血缘异常【Q3能力增长】
  - 进程网络侧异常
    - 端口异常
    - 非法网络协议
    - 非法持有外部Socket
  - 进程关系测
    - 所属父进程异常
    - 启动命令异常
    - 工作目录异常
  - 用户侧
    - 特权用户异常
    - 非法用户启动异常(容器)
代码【待定】

DaemonAgent启动器
AssetDiag
- 【原子能力】RuleEngine - 识别审计库
- 【基础能力包】
- 【Agent原子能力通讯包】
  - Iast
    - 【原子能力】漏洞检测
    - 【原子能力】应用三方组件资产搜集
    - 【原子能力】应用流量资产搜集
    - 【原子能力】应用Api资产搜集
  - Rasp
    - 【原子能力】漏洞防护
    - 【原子能力】意图感知
Scanner(sbom及威胁检测)
- 【基础能力包】命令解析、控制、通信
- 【原子能力】Iac 【defsec】
- 【原子能力】bom
- 【原子能力】insecure隐患筛查

能力全部齐全

自研率:
scd
–print
–path
/home/coderss/Documents/some_c_cpp/zero/src/strings
–name
zero-test
–version
unkonw