تنبيهات لمجموعات Kubernetes

يوفر Defender for Containers قدرات تنبيه محسنة للتهديدات التي تتعرض لها وحدة تحكم Kubernetes ووقت تشغيل حمل العمل. Microsoft Defender لنقطة النهاية (MDE) تحليل ذكي للمخاطر في Microsoft Defender أيضا الكشف عن التهديدات ذات الصلة بحاويات Kubernetes، ودمجها مع مستشعر Defender، تعطي سياقا غنيا للتنبيهات الشاملة القابلة للتنفيذ لحماية بيئة Kubernetes الخاصة بك.

الكشف عن وحدة التحكم

في Kubernetes، تدير وحدة التحكم جميع الموارد داخل نظام المجموعة وتنسقها. يحدد Defender for Containers التهديدات المحتملة في وحدة التحكم التي يمكن أن تعرض أمان وتكامل المجموعة بأكملها للخطر من خلال مراقبة أنشطة خادم Kubernetes API. يتم التقاط الأحداث الهامة التي تشير إلى تهديدات أمنية محتملة، مثل العمليات المشبوهة بواسطة حسابات الخدمة أو التعرض للخدمات.

تتضمن أمثلة العمليات المشبوهة التي تم التقاطها بواسطة Defender for Containers ما يلي:

• يمكن أن تكون عمليات نشر الحاويات المتميزة خطرا أمنيا لأنها تمنح الحاويات امتيازات مرتفعة داخل النظام المضيف. تتم مراقبة الحاويات المميزة من أجل عمليات النشر غير المصرح بها والاستخدام المفرط للامتيازات والتكوينات الخاطئة المحتملة التي قد تؤدي إلى انتهاكات أمنية.
• يمكن أن تعرض التعرضات الخطرة للخدمة للإنترنت العام مجموعة Kubernetes لهجمات محتملة. تتم مراقبة نظام المجموعة للخدمات التي يتم كشفها عن غير قصد، أو تم تكوينها بشكل خاطئ باستخدام ضوابط وصول مفرطة التساهل، أو تفتقر إلى تدابير أمنية مناسبة.
• يمكن أن تشير أنشطة حساب الخدمة المشبوهة إلى وصول غير مصرح به أو سلوك ضار داخل نظام المجموعة. تتم مراقبة نظام المجموعة لأنماط غير عادية مثل طلبات الموارد المفرطة أو استدعاءات واجهة برمجة التطبيقات غير المصرح بها أو الوصول إلى البيانات الحساسة.

الكشف عن وقت تشغيل حمل العمل

يستخدم Defender for Containers مستشعر Defender لمراقبة نشاط وقت تشغيل حمل عمل Kubernetes للكشف عن العمليات المشبوهة، بما في ذلك أحداث إنشاء عملية حمل العمل.

تتضمن أمثلة نشاط وقت تشغيل حمل العمل المشبوه ما يلي:

• نشاط Web shell - يراقب Defender for Containers النشاط على الحاويات قيد التشغيل لتحديد السلوكيات التي تشبه استدعاءات واجهة الويب.
• نشاط تعدين التشفير - يستخدم Defender for Containers العديد من الأساليب الإرشادية لتحديد نشاط تعدين التشفير على الحاويات قيد التشغيل، بما في ذلك نشاط التنزيل المشبوه وتحسين وحدة المعالجة المركزية وتنفيذ العملية المشبوهة والمزيد.
• أدوات فحص الشبكة – يحدد Defender for Containers استخدام أدوات الفحص التي تم استخدامها للأنشطة الضارة.
• الكشف عن الانجراف الثنائي - يحدد Defender for Cloud تنفيذ ثنائيات حمل العمل التي انحرفت عن صورة الحاوية الأصلية. لمزيد من المعلومات، اقرأ عن الكشف عن الانجراف الثنائي.

أداة محاكاة تنبيهات Kubernetes

يوفر Defender for Containers أداة لمحاكاة سيناريوهات الهجوم المختلفة داخل بيئة Kubernetes الخاصة بك، ما يتسبب في إنشاء تنبيهات. تنشر أداة المحاكاة جرابين في مجموعة مستهدفة: المهاجم والضحية. أثناء المحاكاة، "يهاجم" المهاجم الضحية باستخدام تقنيات العالم الحقيقي.

تعمل أداة المحاكاة باستخدام CLI المستند إلى Python الذي ينشر مخططات Helm في نظام المجموعة الهدف.

تثبيت أداة المحاكاة

1. المتطلبات:

   • مستخدم لديه أذونات المسؤول عبر نظام المجموعة الهدف.

   • يتم تمكين Defender للحاويات ويتم أيضا تثبيت أداة استشعار Defender. يمكنك التحقق من تثبيت مستشعر Defender عن طريق تشغيل:

     kubectl get ds microsoft-defender-collector-ds -n kube-system

   • يتم تثبيت عميل Helm على جهازك المحلي.

   • يتم تثبيت الإصدار 3.7 من Python أو إصدار أحدث على جهازك المحلي.

2. أشر kubeconfig إلى نظام المجموعة الهدف. بالنسبة إلى Azure Kubernetes Service، يمكنك تشغيل:

   az aks get-credentials --name [cluster-name] --resource-group [resource-group]

3. قم بتنزيل أداة المحاكاة باستخدام الأمر التالي:

   curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py

تشغيل أداة المحاكاة

1. قم بتشغيل البرنامج النصي للمحاكاة باستخدام الأمر التالي: python simulation.py

2. اختر سيناريو هجوم محاكاة أو اختر محاكاة جميع سيناريوهات الهجوم في وقت واحد. سيناريوهات الهجوم المحاكية المتوفرة هي:

الخطوات التالية

• تنبيهات الأمان في Microsoft Defender for Cloud
• إدارة التنبيهات الأمنية والاستجابة لها في Microsoft Defender for Cloud
• التصدير المستمر لبيانات Defender for Cloud