Alertes pour les clusters Kubernetes
Defender pour conteneurs fournit des fonctionnalités d’alerte améliorées pour les menaces pour le plan de contrôle Kubernetes et le runtime de charge de travail. Microsoft Defender pour point de terminaison (MDE) et Veille des menaces Microsoft Defender également détecter les menaces pertinentes pour les conteneurs Kubernetes, et combinées avec le capteur Defender, donnent un contexte enrichi pour des alertes complètes et exploitables pour protéger votre environnement Kubernetes.
Détection du plan de contrôle
Dans Kubernetes, le plan de contrôle gère et orchestre toutes les ressources au sein du cluster. Defender pour conteneurs identifie les menaces potentielles dans le plan de contrôle qui peuvent compromettre la sécurité et l’intégrité de l’ensemble du cluster en surveillant les activités du serveur d’API Kubernetes. Les événements critiques sont capturés qui indiquent des menaces de sécurité potentielles, telles que les opérations suspectes par les comptes de service ou l’exposition des services.
Voici quelques exemples d’opérations suspectes capturées par Defender pour conteneurs :
- Les déploiements de conteneurs privilégiés peuvent être un risque de sécurité, car ils accordent des privilèges élevés aux conteneurs au sein du système hôte. Les conteneurs privilégiés sont surveillés pour les déploiements non autorisés, l’utilisation excessive des privilèges et les configurations incorrectes potentielles susceptibles d’entraîner des violations de sécurité.
- Les expositions de service risquées à l’Internet public peuvent exposer le cluster Kubernetes à des attaques potentielles. Le cluster est surveillé pour les services qui sont involontairement exposés, mal configurés avec des contrôles d’accès trop permissifs ou qui manquent de mesures de sécurité appropriées.
- Les activités de compte de service suspectes peuvent indiquer un accès non autorisé ou un comportement malveillant au sein du cluster. Le cluster est surveillé pour des modèles inhabituels tels que des demandes de ressources excessives, des appels d’API non autorisés ou l’accès aux données sensibles.
Détection du runtime de charge de travail
Defender pour conteneurs utilise le capteur Defender pour surveiller l’activité d’exécution de la charge de travail Kubernetes afin de détecter les opérations suspectes, notamment les événements de création de processus de charge de travail.
Voici quelques exemples d’activité suspecte du runtime de charge de travail :
- Activité de l’interpréteur de commandes web : Defender pour conteneurs surveille l’activité sur les conteneurs en cours d’exécution pour identifier les comportements qui ressemblent à des appels d’interpréteur de commandes web.
- Activité d’exploration de données de chiffrement : Defender pour conteneurs utilise plusieurs heuristiques pour identifier l’activité d’exploration de données de chiffrement sur les conteneurs en cours d’exécution, notamment l’activité de téléchargement suspecte, l’optimisation du processeur, l’exécution suspecte des processus, etc.
- Outils d’analyse réseau : Defender pour conteneurs identifie l’utilisation des outils d’analyse utilisés pour les activités malveillantes.
- Détection de dérive binaire : Defender pour le cloud identifie l’exécution des fichiers binaires de charge de travail qui ont dérivé de l’image conteneur d’origine. Pour plus d’informations, consultez la détection de dérive binaire.
Outil de simulation des alertes Kubernetes
Defender pour conteneurs fournit un outil permettant de simuler différents scénarios d’attaque dans votre environnement Kubernetes, ce qui entraîne la génération d’alertes. L’outil de simulation déploie deux pods dans un cluster cible : l’attaquant et la victime. Pendant la simulation, l’attaquant « attaque » la victime à l’aide de techniques réelles.
Remarque
Bien que l’outil de simulation n’exécute aucun composant malveillant, il est recommandé de l’exécuter sur un cluster dédié sans charges de travail de production.
L’outil de simulation s’exécute à l’aide d’une interface CLI basée sur Python qui déploie des graphiques Helm dans le cluster cible.
Installer l’outil de simulation
Configuration requise :
Un utilisateur disposant d’autorisations d’administrateur sur le cluster cible.
Defender pour conteneurs est activé et le capteur Defender est également installé. Vous pouvez vérifier que le capteur Defender est installé en exécutant :
kubectl get ds microsoft-defender-collector-ds -n kube-system
Un client Helm est installé sur votre ordinateur local.
Python version 3.7 ou ultérieure est installé sur votre ordinateur local.
Pointez
kubeconfig
vers le cluster cible. Pour Azure Kubernetes Service, vous pouvez exécuter :az aks get-credentials --name [cluster-name] --resource-group [resource-group]
Téléchargez l’outil de simulation avec la commande suivante :
curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py
Exécuter l’outil de simulation
Exécutez le script de simulation avec la commande suivante :
python simulation.py
Choisissez un scénario d’attaque simulé ou choisissez de simuler tous les scénarios d’attaque en même temps. Les scénarios d’attaque simulé disponibles sont les suivants :
Scénario | Alertes attendues |
---|---|
Reconnaissance | Activité Web Shell possible détectée Opération suspecte de compte de service Kubernetes détectée Outil d’analyse réseau détecté |
Mouvement latéral | Activité Web Shell possible détectée Détection de l’accès au service de métadonnées cloud |
Collecte des secrets | Activité Web Shell possible détectée Accès aux fichiers sensibles détecté Détection d’une reconnaissance de secret possible |
Exploration de données de chiffrement | Activité Web Shell possible détectée Optimisation du processeur Kubernetes détectée Commande dans un conteneur accessible ld.so.preload Téléchargement possible des mineurs de chiffrement détectés Un binaire de dérive détecté s’exécutant dans le conteneur |
Interpréteur de commandes web | Activité Web Shell possible détectée |
Remarque
Bien que certaines alertes soient déclenchées en quasi temps réel, d’autres peuvent prendre jusqu’à une heure.