Compartilhar via

Alertas para clusters do Kubernetes

  • Artigo

O Defender para Contêineres fornece recursos de alerta aprimorados para ameaças ao painel de controle do Kubernetes e ao runtime da carga de trabalho. O Microsoft Defender para Ponto de Extremidade (MDE) e a Inteligência contra Ameaças do Microsoft Defender também detectam ameaças relevantes para contêineres do Kubernetes e, combinados com o sensor do Defender, fornecem contexto enriquecido para alertas abrangentes e acionáveis para proteger seu ambiente do Kubernetes.

Detecção do plano de controle

No Kubernetes, o plano de controle gerencia e orquestra todos os recursos dentro do cluster. O Defender para Contêineres identifica possíveis ameaças no painel de controle que podem comprometer a segurança e a integridade de todo o cluster monitorando as atividades do servidor de API do Kubernetes. São capturados eventos críticos que indicam possíveis ameaças à segurança, como operações suspeitas por contas de serviço ou exposição de serviços.

Exemplos de operações suspeitas capturadas pelo Defender para Contêineres incluem:

  • As implantações de contêineres privilegiados podem ser um risco de segurança, pois concedem privilégios elevados aos contêineres no sistema host. Os contêineres privilegiados são monitorados quanto a implantações não autorizadas, uso excessivo de privilégios e possíveis configurações incorretas que podem levar a violações de segurança.
  • Exposições de serviço arriscadas à Internet pública podem expor o cluster do Kubernetes a possíveis ataques. O cluster é monitorado quanto a serviços expostos involuntariamente, configurados incorretamente com controles de acesso excessivamente permissivos ou sem medidas de segurança adequadas.
  • Atividades suspeitas da conta de serviço podem indicar acesso não autorizado ou comportamento mal-intencionado no cluster. O cluster é monitorado quanto a padrões incomuns, como solicitações excessivas de recursos, chamadas de API não autorizadas ou acesso a dados confidenciais.

Detecção de tempo de execução da carga de trabalho

O Defender para Contêineres usa o sensor do Defender para monitorar a atividade de runtime da carga de trabalho do Kubernetes para detectar operações suspeitas, incluindo eventos de criação do processo de carga de trabalho.

Exemplos de atividade de tempo de execução de carga de trabalho suspeita incluem:

  • Atividade do shell da Web – o Defender para Contêineres monitora a atividade nos contêineres em execução para identificar comportamentos que se assemelham a invocações do shell da Web.
  • Atividade de mineração de criptografia – o Defender para Contêineres usa várias heurísticas para identificar a atividade de mineração de criptografia nos contêineres em execução, incluindo atividade de download suspeita, otimização de CPU, execução de processo suspeita e muito mais.
  • Ferramentas de verificação de rede – o Defender para Contêineres identifica o uso de ferramentas de verificação que foram usadas para atividades mal-intencionadas.
  • Detecção de descompasso binário – o Defender para Nuvem identifica a execução de binários de carga de trabalho que foram desviados da imagem de contêiner original. Para obter mais informações, leia sobre a detecção de desvio binário.

Ferramenta de simulação de alertas do Kubernetes

O Defender para Contêineres fornece uma ferramenta para simular vários cenários de ataque em seu ambiente do Kubernetes, fazendo com que alertas sejam gerados. A ferramenta de simulação implanta dois pods em um cluster de destino: invasor e vítima. Durante a simulação, o invasor "ataca" a vítima usando técnicas do mundo real.

Observação

Embora a ferramenta de simulação não execute nenhum componente mal-intencionado, é recomendável executá-la em um cluster dedicado sem cargas de trabalho de produção.

A ferramenta de simulação é executada usando uma CLI baseada em Python que implanta gráficos do Helm no cluster de destino.

Instale a ferramenta de simulação

  1. Pré-requisitos:

    • Um usuário com permissões de administrador no cluster de destino.

    • O Defender para Contêineres está habilitado e o sensor do Defender também está instalado. Você pode verificar se o sensor do Defender está instalado executando:

      kubectl get ds microsoft-defender-collector-ds -n kube-system

    • Um cliente Helm é instalado em sua máquina local.

    • O Python versão 3.7 ou superior está instalado em sua máquina local.

  2. Aponte kubeconfig para o cluster de destino. Para o Serviço de Kubernetes do Azure, você pode executar:

    az aks get-credentials --name [cluster-name] --resource-group [resource-group]

  3. Baixe a ferramenta de simulação com o seguinte comando:

    curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py

Executar a ferramenta de simulação

  1. Execute o script de simulação com o seguinte comando: python simulation.py

  2. Escolha um cenário de ataque simulado ou opte por simular todos os cenários de ataque de uma só vez. Os cenários de ataque simulados disponíveis são:

Cenário Alertas esperados
Reconhecimento Possível atividade do Web Shell detectada
Operação suspeita da conta de serviço do Kubernetes detectada
Ferramenta de varredura de rede detectada
Movimentação lateral Possível atividade do Web Shell detectada
Acesso ao serviço de metadados de nuvem detectado
Coleta de Segredos Possível atividade do Web Shell detectada
Acesso a arquivos confidenciais detectado
Possível reconhecimento secreto detectado
Mineração de criptografia Possível atividade do Web Shell detectada
Otimização de CPU do Kubernetes detectada
Comando dentro de um contêiner acessado ld.so.preload
Possível download de mineradores de criptografia detectado
Um binário de desvio detectado em execução no contêiner
Web shell Possível atividade do Web Shell detectada

Observação

Enquanto alguns alertas são acionados quase em tempo real, outros podem levar até uma hora.

Próximas etapas