Delen via

Waarschuwingen voor Kubernetes-clusters

  • Artikel

Defender for Containers biedt verbeterde waarschuwingsmogelijkheden voor bedreigingen voor het Kubernetes-besturingsvlak (K8s) en de workloadruntime. Microsoft Defender voor Eindpunt (MDE) en Microsoft Defender-bedreigingsinformatie ook bedreigingen detecteren die relevant zijn voor K8s-containers en gecombineerd met de Defender-sensor, bieden verrijkte context voor uitgebreide en bruikbare waarschuwingen om uw K8s-omgeving te beschermen.

Detectie van besturingsvlak

In Kubernetes beheert en organiseert het besturingsvlak alle resources in het cluster. Defender for Containers identificeert mogelijke bedreigingen in het besturingsvlak waarmee de beveiliging en integriteit van het hele cluster kan worden aangetast door de activiteiten van de K8s-API-server te bewaken. Kritieke gebeurtenissen worden vastgelegd die duiden op mogelijke beveiligingsrisico's, zoals verdachte bewerkingen door serviceaccounts of blootstelling van services.

Voorbeelden van verdachte bewerkingen die zijn vastgelegd door Defender for Containers zijn:

  • Geprivilegieerde containerimplementaties kunnen een beveiligingsrisico vormen omdat containers verhoogde bevoegdheden krijgen binnen het hostsysteem. Bevoegde containers worden gecontroleerd op niet-geautoriseerde implementaties, overmatig gebruik van bevoegdheden en mogelijke onjuiste configuraties die kunnen leiden tot beveiligingsschendingen.
  • Riskante serviceblootstelling op het openbare internet kan het Kubernetes-cluster blootstellen aan mogelijke aanvallen. Het cluster wordt gecontroleerd op services die onbedoeld worden weergegeven, onjuist geconfigureerd met te veel machtigingen voor toegangsbeheer of zonder de juiste beveiligingsmaatregelen.
  • Verdachte serviceaccountactiviteiten kunnen duiden op onbevoegde toegang of schadelijk gedrag binnen het cluster. Het cluster wordt bewaakt op ongebruikelijke patronen, zoals overmatige resourceaanvragen, niet-geautoriseerde API-aanroepen of toegang tot gevoelige gegevens.

Detectie van workloadruntime

Defender for Containers gebruikt de Defender-sensor om de runtimeactiviteit van de K8s-workload te bewaken om verdachte bewerkingen te detecteren, waaronder gebeurtenissen voor het maken van workloads.

Voorbeelden van verdachte runtime-activiteit van workload zijn:

  • Webshell-activiteit : Defender for Containers bewaakt de activiteit op de actieve containers om gedrag te identificeren dat lijkt op aanroepen van webshell.
  • Cryptoanalyseactiviteit - Defender for Containers maakt gebruik van verschillende heuristieken om cryptoanalyseactiviteiten op de actieve containers te identificeren, waaronder verdachte downloadactiviteit, CPU-optimalisatie, verdachte procesuitvoering en meer.
  • Hulpprogramma's voor netwerkscans: Defender for Containers identificeert het gebruik van scanprogramma's die zijn gebruikt voor schadelijke activiteiten.
  • Binaire afwijkingsdetectie: Defender voor Cloud identificeert de uitvoering van binaire workloadbestanden die zijn gedrift van de oorspronkelijke containerinstallatiekopieën. Lees voor meer informatie over detectie van binaire driften.

K8s-hulpprogramma voor waarschuwingensimulatie

Defender for Containers biedt een hulpprogramma voor het simuleren van verschillende aanvalsscenario's binnen uw K8s-omgeving, waardoor waarschuwingen worden gegenereerd. Het simulatieprogramma implementeert twee pods in een doelcluster: aanvaller en slachtoffer. Tijdens de simulatie 'aanvalt' de aanvaller het slachtoffer met behulp van echte technieken.

Notitie

Hoewel het simulatieprogramma geen schadelijke onderdelen uitvoert, is het raadzaam om het uit te voeren op een toegewezen cluster zonder productieworkloads.

Het simulatieprogramma wordt uitgevoerd met behulp van een Op Python gebaseerde CLI waarmee Helm-grafieken in het doelcluster worden geïmplementeerd.

Het simulatieprogramma installeren

  1. Vereisten:

    • Een gebruiker met beheerdersmachtigingen voor het doelcluster.

    • Defender for Containers is ingeschakeld en de Defender-sensor is ook geïnstalleerd. U kunt controleren of de Defender-sensor is geïnstalleerd door het volgende uit te voeren:

      kubectl get ds microsoft-defender-collector-ds -n kube-system

    • Er wordt een Helm-client geïnstalleerd op uw lokale computer.

    • Python-versie 3.7 of hoger is geïnstalleerd op uw lokale computer.

  2. Wijs kubeconfig het doelcluster aan. Voor Azure Kubernetes Service kunt u het volgende uitvoeren:

    az aks get-credentials --name [cluster-name] --resource-group [resource-group]

  3. Download het simulatieprogramma met de volgende opdracht:

    curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py

Het simulatieprogramma uitvoeren

  1. Voer het simulatiescript uit met de volgende opdracht: python simulation.py

  2. Kies een scenario voor een gesimuleerde aanval of kies ervoor om alle aanvalsscenario's tegelijk te simuleren. De beschikbare scenario's voor gesimuleerde aanvallen zijn:

Scenario Verwachte waarschuwingen
Verkenning Mogelijke Web Shell-activiteit gedetecteerd
Suspicious Kubernetes service account operation detected (Verdachte bewerking van kubernetes-serviceaccount
Hulpprogramma voor netwerkscan gedetecteerd
Zijwaartse beweging Mogelijke Web Shell-activiteit gedetecteerd
Toegang tot cloudmetagegevensservice gedetecteerd
Geheimen verzamelen Mogelijke Web Shell-activiteit gedetecteerd
Toegang tot gevoelige bestanden gedetecteerd
Mogelijke geheime reconnaissance gedetecteerd
Cryptomining Mogelijke Web Shell-activiteit gedetecteerd
Kubernetes CPU-optimalisatie gedetecteerd
Opdracht binnen een container die wordt geopend ld.so.preload
Mogelijke crypto miners downloaden gedetecteerd
Er is een binair drift gedetecteerd dat wordt uitgevoerd in de container
Webshell Mogelijke Web Shell-activiteit gedetecteerd

Notitie

Hoewel sommige waarschuwingen bijna in realtime worden geactiveerd, kan het tot een uur duren voordat andere waarschuwingen worden geactiveerd.

Volgende stappen