Udostępnij za pośrednictwem


Alerty dotyczące klastrów Kubernetes

Usługa Defender for Containers zapewnia ulepszone funkcje alertów dla zagrożeń dla płaszczyzny sterowania i środowiska uruchomieniowego obciążenia platformy Kubernetes. Ochrona punktu końcowego w usłudze Microsoft Defender (MDE) i Microsoft Defender Threat Intelligence wykrywają również zagrożenia związane z kontenerami Kubernetes oraz w połączeniu z czujnikiem usługi Defender, zapewniają wzbogacony kontekst kompleksowych i praktycznych alertów w celu ochrony środowiska Kubernetes.

Wykrywanie płaszczyzny sterowania

Na platformie Kubernetes płaszczyzna sterowania zarządza wszystkimi zasobami w klastrze i organizuje je. Usługa Defender for Containers identyfikuje potencjalne zagrożenia na płaszczyźnie sterowania, które mogą naruszyć bezpieczeństwo i integralność całego klastra, monitorując działania serwera interfejsu API Kubernetes. Zdarzenia krytyczne są przechwytywane, które wskazują potencjalne zagrożenia bezpieczeństwa, takie jak podejrzane operacje według kont usług lub ujawnienie usług.

Przykłady podejrzanych operacji przechwyconych przez usługę Defender for Containers:

  • Wdrożenia kontenerów uprzywilejowanych mogą stanowić zagrożenie bezpieczeństwa, ponieważ przyznają kontenerom podwyższone uprawnienia w systemie hosta. Kontenery uprzywilejowane są monitorowane pod kątem nieautoryzowanych wdrożeń, nadmiernego użycia uprawnień i potencjalnych błędów konfiguracji, które mogą prowadzić do naruszeń zabezpieczeń.
  • Ryzykowne narażenie usług na publiczny Internet może uwidocznić klaster Kubernetes na potencjalne ataki. Klaster jest monitorowany pod kątem usług, które są przypadkowo uwidocznione, nieprawidłowo skonfigurowane za pomocą nadmiernie permissive kontroli dostępu lub brak odpowiednich środków zabezpieczeń.
  • Podejrzane działania konta usługi mogą wskazywać na nieautoryzowany dostęp lub złośliwe zachowanie w klastrze. Klaster jest monitorowany pod kątem nietypowych wzorców, takich jak nadmierne żądania zasobów, nieautoryzowane wywołania interfejsu API lub dostęp do poufnych danych.

Wykrywanie środowiska uruchomieniowego obciążenia

Usługa Defender for Containers używa czujnika usługi Defender do monitorowania działania środowiska uruchomieniowego obciążenia Kubernetes w celu wykrywania podejrzanych operacji, w tym zdarzeń tworzenia procesów obciążenia.

Przykłady podejrzanych działań środowiska uruchomieniowego obciążenia obejmują:

  • Działanie powłoki internetowej — usługa Defender for Containers monitoruje działanie uruchomionych kontenerów w celu identyfikowania zachowań przypominających wywołania powłoki internetowej.
  • Działanie wyszukiwania kryptograficznego — usługa Defender for Containers używa kilku heurystyki do identyfikowania działania wyszukiwania kryptograficznego w uruchomionych kontenerach, w tym podejrzanego działania pobierania, optymalizacji procesora CPU, podejrzanego wykonywania procesów i nie tylko.
  • Narzędzia do skanowania sieci — usługa Defender for Containers identyfikuje użycie narzędzi do skanowania, które zostały użyte do złośliwych działań.
  • Wykrywanie dryfu binarnego — Defender dla Chmury identyfikuje wykonywanie plików binarnych obciążenia, które dryfowały z oryginalnego obrazu kontenera. Aby uzyskać więcej informacji, przeczytaj o wykrywaniu dryfu binarnego.

Narzędzie symulacji alertów platformy Kubernetes

Usługa Defender for Containers udostępnia narzędzie do symulowania różnych scenariuszy ataku w środowisku Kubernetes, co powoduje generowanie alertów. Narzędzie symulacji wdraża dwa zasobniki w klastrze docelowym: osoba atakująca i ofiara. Podczas symulacji osoba atakująca "atakuje" ofiarę przy użyciu rzeczywistych technik.

Uwaga

Mimo że narzędzie symulacji nie uruchamia żadnych złośliwych składników, zaleca się uruchomienie go w dedykowanym klastrze bez obciążeń produkcyjnych.

Narzędzie symulacji jest uruchamiane przy użyciu interfejsu wiersza polecenia opartego na języku Python, który wdraża wykresy Helm w klastrze docelowym.

Instalowanie narzędzia symulacji

  1. Wymagania wstępne:

    • Użytkownik z uprawnieniami administratora w klastrze docelowym.

    • Usługa Defender for Containers jest włączona, a czujnik usługi Defender jest również zainstalowany. Możesz sprawdzić, czy czujnik usługi Defender jest zainstalowany, uruchamiając polecenie:

      kubectl get ds microsoft-defender-collector-ds -n kube-system

    • Klient programu Helm jest zainstalowany na komputerze lokalnym.

    • Język Python w wersji 3.7 lub nowszej jest zainstalowany na komputerze lokalnym.

  2. Wskaż kubeconfig klaster docelowy. W przypadku usługi Azure Kubernetes Service można uruchomić następujące polecenia:

    az aks get-credentials --name [cluster-name] --resource-group [resource-group]

  3. Pobierz narzędzie symulacji za pomocą następującego polecenia:

    curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py

Uruchamianie narzędzia symulacji

  1. Uruchom skrypt symulacji za pomocą następującego polecenia: python simulation.py

  2. Wybierz scenariusz symulowanego ataku lub wybierz symulację wszystkich scenariuszy ataku jednocześnie. Dostępne scenariusze symulowanego ataku to:

Scenariusz Oczekiwane alerty
Rekonesans Wykryto możliwe działanie powłoki internetowej
Wykryto podejrzaną operację konta usługi Kubernetes
Wykryto narzędzie do skanowania sieci
Ruch poprzeczny Wykryto możliwe działanie powłoki internetowej
Wykryto dostęp do usługi metadanych w chmurze
Zbieranie wpisów tajnych Wykryto możliwe działanie powłoki internetowej
Wykryto dostęp do poufnych plików
Wykryto możliwy tajny rekonesans
Górnictwo kryptograficzne Wykryto możliwe działanie powłoki internetowej
Wykryto optymalizację procesora CPU platformy Kubernetes
Polecenie w kontenerze, do których uzyskiwano dostęp ld.so.preload
Wykryto możliwe pobieranie górników kryptograficznych
Wykryto dane binarne dryfu wykonywane w kontenerze
Powłoka sieci Web Wykryto możliwe działanie powłoki internetowej

Uwaga

Chociaż niektóre alerty są wyzwalane niemal w czasie rzeczywistym, inne mogą potrwać do godziny.

Następne kroki