Kubernetes 叢集的警示
適用於容器的 Defender 針對 Kubernetes 控制平面和工作負載運行時間的威脅,提供增強的警示功能。 適用於端點的 Microsoft Defender (MDE) 和 Microsoft Defender 威脅情報 也會偵測與 Kubernetes 容器相關的威脅,並結合 Defender 感測器,提供豐富的內容,以全面且可採取動作的警示來保護 Kubernetes 環境。
控制平面偵測
在 Kubernetes 中,控制平面會管理及協調叢集中的所有資源。 適用於容器的 Defender 可藉由監視 Kubernetes API 伺服器的活動,識別控制平面中可能會危害整個叢集安全性和完整性的潛在威脅。 擷取重大事件,指出潛在的安全性威脅,例如服務帳戶的可疑作業或服務暴露。
適用於容器的 Defender 所擷取的可疑作業範例包括:
- 特殊許可權容器部署 可能會有安全性風險,因為它們授與主機系統內容器提高的許可權。 特殊許可權容器會監視未經授權的部署、過度使用許可權,以及可能導致安全性缺口的潛在設定錯誤。
- 公開因特網 的風險服務可能會讓 Kubernetes 叢集暴露在潛在的攻擊中。 叢集會針對無意中公開、設定過度寬鬆訪問控制或缺乏適當安全性措施的服務進行監視。
- 可疑的服務帳戶活動 可能表示叢集中未經授權的存取或惡意行為。 叢集會監視異常模式,例如過多的資源要求、未經授權的 API 呼叫,或敏感數據的存取。
工作負載運行時間偵測
適用於容器的 Defender 會使用 Defender 感測器 來監視 Kubernetes 工作負載運行時間活動,以偵測可疑的作業,包括工作負載進程建立事件。
可疑工作負載運行時間活動的範例包括:
- Web 殼層活動 - 適用於容器的Defender會監視執行中容器上的活動,以識別類似Web殼層調用的行為。
- 密碼編譯採礦活動 - 適用於容器的 Defender 會使用數個啟發學習法來識別執行中容器上的加密採礦活動,包括可疑的下載活動、CPU 優化、可疑的進程執行等等。
- 網路掃描工具 – 適用於容器的 Defender 可識別已用於惡意活動的掃描工具使用方式。
- 二進位漂移偵測 - 適用於雲端的 Defender 識別從原始容器映射漂移的工作負載二進位檔執行。 如需詳細資訊,請參閱 二進位漂移偵測。
Kubernetes 警示模擬工具
適用於容器的 Defender 提供工具來模擬 Kubernetes 環境中的各種攻擊案例,導致產生警示。 模擬工具會在目標叢集中部署兩個 Pod: 攻擊者 和 受害者。 在模擬期間,攻擊者會使用真實世界技術來「攻擊」受害者。
注意
雖然模擬工具不會執行任何惡意元件,但建議您在沒有生產工作負載的情況下,在專用叢集上執行它。
模擬工具會使用在目標叢集中部署 Helm 圖表的 Python 型 CLI 來執行。
安裝模擬工具
先決條件:
具有目標叢集管理員許可權的使用者。
已啟用適用於容器的 Defender,而且也會安裝 Defender 感測器。 您可以執行下列命令來檢查是否已安裝 Defender 感測器:
kubectl get ds microsoft-defender-collector-ds -n kube-system
Helm 用戶端會安裝在本機計算機上。
Python 3.7 版或更新版本會安裝在本機電腦上。
指向
kubeconfig
目標叢集。 針對 Azure Kubernetes Service,您可以執行:az aks get-credentials --name [cluster-name] --resource-group [resource-group]
使用下列命令下載模擬工具:
curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py
執行模擬工具
使用下列命令執行模擬文稿:
python simulation.py
選擇仿真的攻擊案例,或選擇一次模擬所有攻擊案例。 可用的模擬攻擊案例如下:
案例 | 預期的警示 |
---|---|
Reconnaissance | 偵測到可能的 Web Shell 活動 偵測到可疑的 Kubernetes 服務帳戶作業 偵測到網路掃描工具 |
橫向移動 | 偵測到可能的 Web Shell 活動 偵測到雲端元數據服務的存取權 |
秘密收集 | 偵測到可能的 Web Shell 活動 偵測到敏感性檔案存取 偵測到可能的秘密偵察 |
密碼編譯採礦 | 偵測到可能的 Web Shell 活動 偵測到 Kubernetes CPU 優化 存取容器內的命令 ld.so.preload 偵測到可能的加密礦工下載 偵測到在容器中執行的漂移二進位檔 |
Web 殼層 | 偵測到可能的 Web Shell 活動 |
注意
雖然某些警示會以近乎即時的方式觸發,但其他警示最多可能需要一小時的時間。