你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Kubernetes 群集警报
Defender for Containers 为 Kubernetes 控制平面和工作负荷运行时的威胁提供增强的警报功能。 Microsoft Defender for Endpoint(MDE)和Microsoft Defender 威胁智能还会检测与 Kubernetes 容器相关的威胁,并与 Defender 传感器结合使用,为保护 Kubernetes 环境提供全面的可操作警报的丰富上下文。
控制平面检测
在 Kubernetes 中,控制平面用来管理和编排群集中的所有资源。 Defender for Containers 通过监视 Kubernetes API 服务器的活动来识别控制平面中的潜在威胁,这些威胁可能会损害整个群集的安全性和完整性。 捕获指示潜在安全威胁的关键事件,例如服务帐户的可疑操作或服务暴露。
Defender for Containers 捕获的可疑操作示例包括:
- 特权容器部署可能是一种安全风险,因为它们会在主机系统中授予容器更高的权限。 监视特权容器,以发现未经授权的部署、过度使用特权以及可能导致安全漏洞的潜在错误配置。
- 暴露在公共互联网上的风险服务可能会使 Kubernetes 群集面临潜在的攻击。 监视群集,以发现无意中暴露的服务、配置错误的宽松访问控制或缺乏适当安全措施的服务。
- 可疑服务帐户活动可能指示群集中未经授权的访问或恶意行为。 监视群集,以发现异常模式,如过多的资源请求、未经授权的 API 调用或对敏感数据的访问。
工作负载运行时检测
Defender for Containers 使用 Defender 传感器 监视 Kubernetes 工作负荷运行时活动,以检测可疑操作,包括工作负荷进程创建事件。
可疑工作负载运行时活动的示例包括:
- Web 外壳活动 - Defender for Containers 监视正在运行的容器上的活动,以识别类似于 Web 外壳调用的行为。
- 加密挖掘活动 - Defender for Containers 使用多个启发法来识别正在运行的容器上的加密挖掘活动,包括可疑下载活动、CPU 优化、可疑进程执行等。
- 网络扫描工具 – Defender for Containers 可识别已用于恶意活动的扫描工具的使用。
- 二进制偏移检测 - Defender for Cloud 标识从原始容器映像偏移的工作负荷二进制文件的执行。 有关详细信息,请阅读有关二进制偏移检测的信息。
Kubernetes 警报模拟工具
Defender for Containers 提供了一个工具来模拟 Kubernetes 环境中的各种攻击方案,从而导致生成警报。 模拟工具在目标群集中部署两个 Pod:攻击者和牺牲品。 在模拟过程中,攻击者使用真实的技术“攻击”受害者。
注意
虽然模拟工具不会运行任何恶意组件,但建议在没有生产工作负载的专用群集上运行。
模拟工具使用基于 Python 的 CLI 运行,该 CLI 在目标群集中部署 Helm 图表。
安装模拟工具
先决条件:
对目标群集拥有管理权限的用户。
已启用 Defender for Containers,并已安装 Defender 传感器。 可运行以下命令来检查是否已安装 Defender 传感器:
kubectl get ds microsoft-defender-collector-ds -n kube-system
本地计算机上安装 Helm 客户端。
本地计算机上安装 Python 3.7 或更高版本。
将
kubeconfig
指向目标群集。 对于 Azure Kubernetes 服务,可以运行:az aks get-credentials --name [cluster-name] --resource-group [resource-group]
使用以下命令下载模拟工具:
curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py
运行模拟工具
使用以下命令运行模拟脚本:
python simulation.py
选择模拟攻击场景或选择一次模拟所有攻击场景。 可用的模拟攻击场景包括:
场景 | 预期警报 |
---|---|
侦查 | 检测到潜在的 Web 外壳活动 检测到可疑的 Kubernetes 服务帐户操作 检测到网络扫描工具 |
横向移动 | 检测到潜在的 Web 外壳活动 检测到对云元数据服务的访问 |
机密收集 | 检测到潜在的 Web 外壳活动 检测到敏感文件访问 检测到潜在的机密侦查 |
加密挖掘 | 检测到潜在的 Web 外壳活动 检测到 Kubernetes CPU 优化 访问 ld.so.preload 的容器中的命令 检测到潜在的加密挖掘者下载 检测到容器中正在执行漂移二进制 |
Web shell | 检测到潜在的 Web 外壳活动 |
注意
有些警报几乎是实时触发的,有些则可能需要长达一个小时。