Aviseringar för Kubernetes-kluster

Defender for Containers ger förbättrade aviseringsfunktioner för hot mot Kubernetes-kontrollplanet och arbetsbelastningskörningen. Microsoft Defender för Endpoint (MDE) och Microsoft Defender Hotinformation också identifiera hot som är relevanta för Kubernetes-containrar och kombinerat med Defender-sensorn ger berikad kontext för omfattande och åtgärdsbara aviseringar för att skydda din Kubernetes-miljö.

Kontrollplansidentifiering

I Kubernetes hanterar och samordnar kontrollplanet alla resurser i klustret. Defender for Containers identifierar potentiella hot i kontrollplanet som kan äventyra säkerheten och integriteten för hela klustret genom att övervaka kubernetes API-serverns aktiviteter. Kritiska händelser registreras som indikerar potentiella säkerhetshot, till exempel misstänkta åtgärder av tjänstkonton eller exponering av tjänster.

Exempel på misstänkta åtgärder som registrerats av Defender för containrar är:

• Privilegierade containerdistributioner kan vara en säkerhetsrisk eftersom de ger containrar utökade privilegier i värdsystemet. Privilegierade containrar övervakas för obehöriga distributioner, överdriven användning av privilegier och potentiella felkonfigurationer som kan leda till säkerhetsöverträdelser.
• Riskfyllda tjänstexponeringar mot det offentliga Internet kan utsätta Kubernetes-klustret för potentiella attacker. Klustret övervakas för tjänster som oavsiktligt exponeras, felkonfigureras med alltför tillåtande åtkomstkontroller eller som saknar lämpliga säkerhetsåtgärder.
• Misstänkta aktiviteter för tjänstkonton kan indikera obehörig åtkomst eller skadligt beteende i klustret. Klustret övervakas för ovanliga mönster, till exempel överdrivna resursbegäranden, obehöriga API-anrop eller åtkomst till känsliga data.

Identifiering av arbetsbelastningskörning

Defender for Containers använder Defender-sensorn för att övervaka Kubernetes-arbetsbelastningens körningsaktivitet för att identifiera misstänkta åtgärder, inklusive händelser för skapande av arbetsbelastningsprocesser.

Exempel på misstänkt körningsaktivitet för arbetsbelastningar är:

• Webbgränssnittsaktivitet – Defender för containrar övervakar aktiviteten på de containrar som körs för att identifiera beteenden som liknar web shell-anrop.
• Kryptoutvinningsaktivitet – Defender for Containers använder flera heuristiker för att identifiera kryptoutvinningsaktivitet på de containrar som körs, inklusive misstänkt nedladdningsaktivitet, CPU-optimering, misstänkt processkörning med mera.
• Verktyg för nätverksgenomsökning – Defender for Containers identifierar användningen av genomsökningsverktyg som har använts för skadliga aktiviteter.
• Identifiering av binär avdrift – Defender för molnet identifierar körning av binärfiler för arbetsbelastningar som har drivits från den ursprungliga containeravbildningen. Mer information finns i om identifiering av binär avdrift.

Simuleringsverktyg för Kubernetes-aviseringar

Defender for Containers är ett verktyg för att simulera olika attackscenarier i Kubernetes-miljön, vilket gör att aviseringar genereras. Simuleringsverktyget distribuerar två poddar i ett målkluster: angripare och offer. Under simuleringen "attackerar" angriparen offret med hjälp av verkliga tekniker.

Kommentar

Även om simuleringsverktyget inte kör några skadliga komponenter rekommenderar vi att du kör det på ett dedikerat kluster utan produktionsarbetsbelastningar.

Simuleringsverktyget körs med hjälp av ett Python-baserat CLI som distribuerar Helm-diagram i målklustret.

Installera simuleringsverktyget

1. Förutsättningar:

   • En användare med administratörsbehörighet över målklustret.

   • Defender for Containers är aktiverat och Defender-sensorn är också installerad. Du kan kontrollera att Defender-sensorn är installerad genom att köra:

     kubectl get ds microsoft-defender-collector-ds -n kube-system

   • En Helm-klient är installerad på den lokala datorn.

   • Python version 3.7 eller senare är installerad på den lokala datorn.

2. Peka kubeconfig på målklustret. För Azure Kubernetes Service kan du köra:

   az aks get-credentials --name [cluster-name] --resource-group [resource-group]

3. Ladda ned simuleringsverktyget med följande kommando:

   curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py

Kör simuleringsverktyget

1. Kör simuleringsskriptet med följande kommando: python simulation.py

2. Välj ett simulerat attackscenario eller välj att simulera alla attackscenarier samtidigt. Tillgängliga simulerade attackscenarier är:

Scenario	Förväntade aviseringar
Spaning	Möjlig Web Shell-aktivitet har identifierats Misstänkt Kubernetes-tjänstkontoåtgärd har identifierats Nätverksgenomsökningsverktyget har identifierats
Lateral förflyttning	Möjlig Web Shell-aktivitet har identifierats Åtkomst till molnmetadatatjänsten har identifierats
Insamling av hemligheter	Möjlig Web Shell-aktivitet har identifierats Åtkomst till känsliga filer har identifierats Möjlig hemlig rekognosering har identifierats
Kryptoutvinning	Möjlig Web Shell-aktivitet har identifierats Kubernetes CPU-optimering har identifierats Kommando i en container som används ld.so.preload Möjlig nedladdning av kryptominers har identifierats En avdriftsbinär identifierad körning i containern
Webbgränssnitt	Möjlig Web Shell-aktivitet har identifierats

Kommentar

Vissa aviseringar utlöses nästan i realtid, men andra kan ta upp till en timme.

Nästa steg

• Säkerhetsaviseringar i Microsoft Defender för molnet
• Hantera och svara på säkerhetsaviseringar i Microsoft Defender för molnet
• Exportera kontinuerligt Defender för molnet data