Alertas para clusters Kubernetes
O Defender for Containers fornece recursos aprimorados de alerta para ameaças ao plano de controle do Kubernetes e ao tempo de execução da carga de trabalho. O Microsoft Defender for Endpoint (MDE) e o Microsoft Defender Threat Intelligence também detetam ameaças relevantes para contêineres Kubernetes e, combinados com o sensor Defender, fornecem contexto enriquecido para alertas abrangentes e acionáveis para proteger seu ambiente Kubernetes.
Deteção de plano de controle
No Kubernetes, o plano de controle gerencia e orquestra todos os recursos dentro do cluster. O Defender for Containers identifica ameaças potenciais no plano de controle que podem comprometer a segurança e a integridade de todo o cluster monitorando as atividades do servidor de API do Kubernetes. São capturados eventos críticos que indicam potenciais ameaças à segurança, como operações suspeitas por contas de serviço ou exposição de serviços.
Exemplos de operações suspeitas capturadas pelo Defender for Containers incluem:
- As implantações de contêineres privilegiados podem ser um risco de segurança, pois concedem privilégios elevados aos contêineres dentro do sistema host. Os contêineres privilegiados são monitorados quanto a implantações não autorizadas, uso excessivo de privilégios e possíveis configurações incorretas que possam levar a violações de segurança.
- Exposições de serviço arriscadas à Internet pública podem expor o cluster Kubernetes a possíveis ataques. O cluster é monitorado para serviços que são expostos involuntariamente, mal configurados com controles de acesso excessivamente permissivos ou sem medidas de segurança adequadas.
- Atividades suspeitas da conta de serviço podem indicar acesso não autorizado ou comportamento mal-intencionado dentro do cluster. O cluster é monitorado em busca de padrões incomuns, como solicitações excessivas de recursos, chamadas de API não autorizadas ou acesso a dados confidenciais.
Deteção de tempo de execução da carga de trabalho
O Defender for Containers usa o sensor do Defender para monitorar a atividade de tempo de execução da carga de trabalho do Kubernetes para detetar operações suspeitas, incluindo eventos de criação do processo de carga de trabalho.
Exemplos de atividade suspeita de tempo de execução da carga de trabalho incluem:
- Atividade do Web shell - O Defender for Containers monitora a atividade nos contêineres em execução para identificar comportamentos que se assemelham a invocações do web shell.
- Atividade de mineração de criptografia - O Defender for Containers usa várias heurísticas para identificar a atividade de mineração de criptografia nos contêineres em execução, incluindo atividade de download suspeita, otimização de CPU, execução de processos suspeitos e muito mais.
- Ferramentas de verificação de rede – O Defender for Containers identifica o uso de ferramentas de verificação que foram usadas para atividades maliciosas.
- Deteção de desvio binário - O Defender for Cloud identifica a execução de binários de carga de trabalho que se desviaram da imagem de contêiner original. Para obter mais informações, leia sobre deteção de desvio binário.
Ferramenta de simulação de alertas do Kubernetes
O Defender for Containers fornece uma ferramenta para simular vários cenários de ataque dentro do seu ambiente Kubernetes, fazendo com que alertas sejam gerados. A ferramenta de simulação implanta dois pods em um cluster de destino: invasor e vítima. Durante a simulação, o atacante "ataca" a vítima usando técnicas do mundo real.
Nota
Embora a ferramenta de simulação não execute nenhum componente mal-intencionado, é recomendável executá-la em um cluster dedicado sem cargas de trabalho de produção.
A ferramenta de simulação é executada usando uma CLI baseada em Python que implanta gráficos Helm no cluster de destino.
Instale a ferramenta de simulação
Pré-requisitos:
Um usuário com permissões de administrador sobre o cluster de destino.
O Defender for Containers está ativado e o sensor Defender também está instalado. Você pode verificar se o sensor Defender está instalado executando:
kubectl get ds microsoft-defender-collector-ds -n kube-systemUm cliente Helm é instalado em sua máquina local.
Python versão 3.7 ou superior está instalado em sua máquina local.
Aponte
kubeconfigpara o cluster de destino. Para o Serviço Kubernetes do Azure, você pode executar:az aks get-credentials --name [cluster-name] --resource-group [resource-group]Faça o download da ferramenta de simulação com o seguinte comando:
curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py
Execute a ferramenta de simulação
Execute o script de simulação com o seguinte comando:
python simulation.pyEscolha um cenário de ataque simulado ou escolha simular todos os cenários de ataque de uma só vez. Os cenários de ataque simulados disponíveis são:
| Cenário | Alertas esperados |
|---|---|
| Reconhecimento | Possível atividade do Web Shell detetada Operação suspeita da conta de serviço do Kubernetes detetada Ferramenta de verificação de rede detetada |
| Movimento Lateral | Possível atividade do Web Shell detetada Acesso ao serviço de metadados na nuvem detetado |
| Recolha de Segredos | Possível atividade do Web Shell detetada Acesso a arquivos confidenciais detetado Possível reconhecimento secreto detetado |
| Mineração de criptomoedas | Possível atividade do Web Shell detetada Otimização da CPU do Kubernetes detetada Comando dentro de um contêiner acessado ld.so.preload Possível download de mineradores de criptografia detetado Um binário de desvio detetado em execução no contêiner |
| Shell da Web | Possível atividade do Web Shell detetada |
Nota
Enquanto alguns alertas são acionados quase em tempo real, outros podem levar até uma hora.