共用方式為


Kubernetes 叢集的警示

適用於容器的 Defender 針對 Kubernetes 控制平面和工作負載運行時間的威脅,提供增強的警示功能。 適用於端點的 Microsoft Defender (MDE) 和 Microsoft Defender 威脅情報 也會偵測與 Kubernetes 容器相關的威脅,並結合 Defender 感測器,提供豐富的內容,以全面且可採取動作的警示來保護 Kubernetes 環境。

控制平面偵測

在 Kubernetes 中,控制平面會管理及協調叢集中的所有資源。 適用於容器的 Defender 可藉由監視 Kubernetes API 伺服器的活動,識別控制平面中可能會危害整個叢集安全性和完整性的潛在威脅。 擷取重大事件,指出潛在的安全性威脅,例如服務帳戶的可疑作業或服務暴露。

適用於容器的 Defender 所擷取的可疑作業範例包括:

  • 特殊許可權容器部署 可能會有安全性風險,因為它們授與主機系統內容器提高的許可權。 特殊許可權容器會監視未經授權的部署、過度使用許可權,以及可能導致安全性缺口的潛在設定錯誤。
  • 公開因特網 的風險服務可能會讓 Kubernetes 叢集暴露在潛在的攻擊中。 叢集會針對無意中公開、設定過度寬鬆訪問控制或缺乏適當安全性措施的服務進行監視。
  • 可疑的服務帳戶活動 可能表示叢集中未經授權的存取或惡意行為。 叢集會監視異常模式,例如過多的資源要求、未經授權的 API 呼叫,或敏感數據的存取。

工作負載運行時間偵測

適用於容器的 Defender 會使用 Defender 感測器 來監視 Kubernetes 工作負載運行時間活動,以偵測可疑的作業,包括工作負載進程建立事件。

可疑工作負載運行時間活動的範例包括:

  • Web 殼層活動 - 適用於容器的Defender會監視執行中容器上的活動,以識別類似Web殼層調用的行為。
  • 密碼編譯採礦活動 - 適用於容器的 Defender 會使用數個啟發學習法來識別執行中容器上的加密採礦活動,包括可疑的下載活動、CPU 優化、可疑的進程執行等等。
  • 網路掃描工具 – 適用於容器的 Defender 可識別已用於惡意活動的掃描工具使用方式。
  • 二進位漂移偵測 - 適用於雲端的 Defender 識別從原始容器映射漂移的工作負載二進位檔執行。 如需詳細資訊,請參閱 二進位漂移偵測

Kubernetes 警示模擬工具

適用於容器的 Defender 提供工具來模擬 Kubernetes 環境中的各種攻擊案例,導致產生警示。 模擬工具會在目標叢集中部署兩個 Pod: 攻擊者受害者。 在模擬期間,攻擊者會使用真實世界技術來「攻擊」受害者。

注意

雖然模擬工具不會執行任何惡意元件,但建議您在沒有生產工作負載的情況下,在專用叢集上執行它。

模擬工具會使用在目標叢集中部署 Helm 圖表的 Python 型 CLI 來執行。

安裝模擬工具

  1. 先決條件:

    • 具有目標叢集管理員許可權的使用者。

    • 已啟用適用於容器的 Defender,而且也會安裝 Defender 感測器。 您可以執行下列命令來檢查是否已安裝 Defender 感測器:

      kubectl get ds microsoft-defender-collector-ds -n kube-system

    • Helm 用戶端會安裝在本機計算機上。

    • Python 3.7 版或更新版本會安裝在本機電腦上。

  2. 指向 kubeconfig 目標叢集。 針對 Azure Kubernetes Service,您可以執行:

    az aks get-credentials --name [cluster-name] --resource-group [resource-group]

  3. 使用下列命令下載模擬工具:

    curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py

執行模擬工具

  1. 使用下列命令執行模擬文稿: python simulation.py

  2. 選擇仿真的攻擊案例,或選擇一次模擬所有攻擊案例。 可用的模擬攻擊案例如下:

案例 預期的警示
Reconnaissance 偵測到可能的 Web Shell 活動
偵測到可疑的 Kubernetes 服務帳戶作業
偵測到網路掃描工具
橫向移動 偵測到可能的 Web Shell 活動
偵測到雲端元數據服務的存取權
秘密收集 偵測到可能的 Web Shell 活動
偵測到敏感性檔案存取
偵測到可能的秘密偵察
密碼編譯採礦 偵測到可能的 Web Shell 活動
偵測到 Kubernetes CPU 優化
存取容器內的命令 ld.so.preload
偵測到可能的加密礦工下載
偵測到在容器中執行的漂移二進位檔
Web 殼層 偵測到可能的 Web Shell 活動

注意

雖然某些警示會以近乎即時的方式觸發,但其他警示最多可能需要一小時的時間。

下一步