Compartir vía


Alertas para clústeres de Kubernetes

Defender for Containers proporciona funcionalidades de alerta mejoradas para las amenazas al plano de control de Kubernetes y al entorno de ejecución de la carga de trabajo. Microsoft Defender para punto de conexión (MDE) y Inteligencia contra amenazas de Microsoft Defender también detectan amenazas relevantes para los contenedores de Kubernetes y, en combinación con el sensor de Defender, proporcionan contexto enriquecido para alertas completas y accionables para proteger su Entorno de Kubernetes.

Detección del plano de control

En Kubernetes, el plano de control administra y organiza todos los recursos del clúster. Defender for Containers identifica posibles amenazas en el plano de control que pueden poner en peligro la seguridad e integridad de todo el clúster mediante la supervisión de las actividades del servidor de API de Kubernetes. Se capturan eventos críticos que indican posibles amenazas de seguridad, como operaciones sospechosas por cuentas de servicio o exposición de servicios.

Entre los ejemplos de operaciones sospechosas capturadas por Defender for Containers se incluyen:

  • Las implementaciones de contenedores con privilegios pueden ser un riesgo de seguridad, ya que conceden privilegios elevados a los contenedores dentro del sistema host. Los contenedores con privilegios se supervisan para implementaciones no autorizadas, el uso excesivo de privilegios y posibles configuraciones incorrectas que podrían provocar infracciones de seguridad.
  • Las exposiciones de servicio de riesgo a la red pública de Internet pueden exponer el clúster de Kubernetes a posibles ataques. El clúster se supervisa para los servicios que se exponen involuntariamente, están mal configurados con controles de acceso excesivamente permisivos o que carecen de medidas de seguridad adecuadas.
  • Las actividades sospechosas de la cuenta de servicio pueden indicar un acceso no autorizado o un comportamiento malintencionado dentro del clúster. El clúster se supervisa en busca de patrones inusuales, como solicitudes excesivas de recursos, llamadas API no autorizadas o acceso a datos confidenciales.

Detección de tiempo de ejecución de carga de trabajo

Defender for Containers usa el sensor de Defender para supervisar la actividad en tiempo de ejecución de la carga de trabajo de Kubernetes para detectar operaciones sospechosas, incluidos los eventos de creación de procesos de carga de trabajo.

Entre los ejemplos de actividad sospechosa en tiempo de ejecución de carga de trabajo se incluyen:

  • Actividad del shell web: Defender para contenedores supervisa la actividad en los contenedores en ejecución para identificar comportamientos similares a las invocaciones del shell web.
  • Actividad de minería de datos criptográficas: Defender for Containers usa varias heurística para identificar la actividad de minería de datos criptográficas en los contenedores en ejecución, incluida la actividad de descarga sospechosa, la optimización de LA CPU, la ejecución de procesos sospechosos, etc.
  • Herramientas de análisis de red: Defender for Containers identifica el uso de herramientas de examen que se han usado para actividades malintencionadas.
  • Detección de desfase binario: Defender for Cloud identifica la ejecución de archivos binarios de carga de trabajo que se han desfasado de la imagen de contenedor original. Para obtener más información, consulte Detección de desfase binario.

Herramienta de simulación de alertas de Kubernetes

Defender for Containers proporciona una herramienta para simular varios escenarios de ataque en el entorno de Kubernetes, lo que provoca que se generen alertas. La herramienta de simulación implementa dos pods en un clúster de destino: atacante y víctima. Durante la simulación, el atacante "ataca" a la víctima mediante técnicas reales.

Nota:

Aunque la herramienta de simulación no ejecuta ningún componente malintencionado, se recomienda ejecutarlo en un clúster dedicado sin cargas de trabajo de producción.

La herramienta de simulación se ejecuta mediante una CLI basada en Python que implementa gráficos de Helm en el clúster de destino.

Instalación de la herramienta de simulación

  1. Requisitos previos:

    • Un usuario con permisos de administrador sobre el clúster de destino.

    • Defender para contenedores está habilitado y el sensor de Defender también está instalado. Para comprobar que el sensor de Defender está instalado, ejecute lo siguiente:

      kubectl get ds microsoft-defender-collector-ds -n kube-system

    • Un cliente de Helm se instala en el equipo local.

    • La versión 3.7 o posterior de Python está instalada en el equipo local.

  2. Apunte kubeconfig al clúster de destino. Para Azure Kubernetes Service, puede ejecutar:

    az aks get-credentials --name [cluster-name] --resource-group [resource-group]

  3. Descargue la herramienta de simulación con el siguiente comando:

    curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py

Ejecución de la herramienta de simulación

  1. Ejecute el script de simulación con el siguiente comando: python simulation.py

  2. Elija un escenario de ataque simulado o elija simular todos los escenarios de ataque a la vez. Los escenarios de ataque simulados disponibles son:

Escenario Alertas esperadas
Reconocimiento Posible actividad de Web Shell detectada
Se detectó una operación sospechosa de cuenta de servicio de Kubernetes
Herramienta de examen de red detectada
Movimiento lateral Posible actividad de Web Shell detectada
Se detectó acceso al servicio de metadatos en la nube
Recopilación de secretos Posible actividad de Web Shell detectada
Se detectó acceso a archivos confidenciales
Se detectó un posible reconocimiento de secretos
Minería de datos criptográficas Posible actividad de Web Shell detectada
Se detectó la optimización de CPU de Kubernetes
Comando dentro de un contenedor al que se accede ld.so.preload
Posible descarga de mineros criptográficos detectados
Se detectó un binario de desfase que se ejecutaba en el contenedor.
Shell web Posible actividad de Web Shell detectada

Nota:

Aunque algunas alertas se desencadenan casi en tiempo real, otras pueden tardar hasta una hora.

Pasos siguientes