Kubernetes-fürtökre vonatkozó riasztások
A Defender for Containers továbbfejlesztett riasztási képességeket biztosít a Kubernetes vezérlősíkot és a számítási feladat futtatókörnyezetét fenyegető fenyegetésekhez. Végponthoz készült Microsoft Defender (MDE) és Microsoft Defender Intelligens veszélyforrás-felderítés is észlelik a Kubernetes-tárolókra vonatkozó fenyegetéseket, és a Defender érzékelővel kombinálva bővített kontextust biztosítanak az átfogó és végrehajtható riasztásokhoz, hogy megvédjék a Kubernetes-környezet.
Vezérlősík észlelése
A Kubernetesben a vezérlősík kezeli és vezényli a fürt összes erőforrását. A Defender for Containers azonosítja azokat a lehetséges fenyegetéseket a vezérlősíkon, amelyek a Kubernetes API-kiszolgáló tevékenységeinek monitorozásával veszélyeztethetik a teljes fürt biztonságát és integritását. A rendszer olyan kritikus eseményeket rögzít, amelyek potenciális biztonsági fenyegetéseket jeleznek, például a szolgáltatásfiókok gyanús műveleteit vagy a szolgáltatások kitettségét.
A Defender for Containers által rögzített gyanús műveletek például a következők:
- A kiemelt tárolótelepítések biztonsági kockázatot jelenthetnek, mivel emelt szintű jogosultságokat biztosítanak a tárolóknak a gazdarendszeren belül. A rendszer figyeli a kiemelt tárolókat a jogosulatlan üzemelő példányok, a jogosultságok túlzott használata és a biztonsági incidensekhez vezető esetleges helytelen konfigurációk esetén.
- A nyilvános internet kockázatos szolgáltatási kitettségei potenciális támadásoknak tehetik ki a Kubernetes-fürtöt. A fürtöt olyan szolgáltatások figyelik, amelyek véletlenül ki vannak téve, helytelenül vannak konfigurálva túlzottan megengedő hozzáférés-vezérlőkkel, vagy amelyek nem rendelkeznek megfelelő biztonsági intézkedésekkel.
- A gyanús szolgáltatásfiók-tevékenységek jogosulatlan hozzáférést vagy rosszindulatú viselkedést jelezhetnek a fürtben. A fürt figyeli a szokatlan mintákat, például a túlzott erőforrás-kérelmeket, a jogosulatlan API-hívásokat vagy a bizalmas adatokhoz való hozzáférést.
Számítási feladatok futtatókörnyezetének észlelése
A Defender for Containers a Defender érzékelővel figyeli a Kubernetes számítási feladatok futtatókörnyezeti tevékenységét a gyanús műveletek észleléséhez, beleértve a számítási feladatok létrehozásának eseményeit is.
A gyanús számítási feladatok futtatókörnyezeti tevékenységei közé tartoznak például a következők:
- Webes rendszerhéj-tevékenység – A Defender for Containers a futó tárolókon figyeli a tevékenységet, hogy azonosítsa a webes rendszerhéj-meghívásokhoz hasonló viselkedéseket.
- Kriptobányászati tevékenység – A Defender for Containers számos heurisztikus eljárással azonosítja a futtató tárolók kriptobányászati tevékenységét, beleértve a gyanús letöltési tevékenységeket, a CPU-optimalizálást, a gyanús folyamatok végrehajtását stb.
- Hálózatvizsgálati eszközök – A Defender for Containers azonosítja a kártékony tevékenységekhez használt ellenőrző eszközök használatát.
- Bináris eltérésészlelés – Felhőhöz készült Defender azonosítja az eredeti tárolórendszerképtől elsodródott számítási feladatok bináris fájljainak végrehajtását. További információ a bináris eltérésészlelésről.
Kubernetes-riasztások szimulációs eszköze
A Defender for Containers olyan eszközt biztosít, amely különböző támadási forgatókönyveket szimulál a Kubernetes-környezetben, és riasztásokat generál. A szimulációs eszköz két podot helyez üzembe egy célfürtben: a támadót és az áldozatot. A szimuláció során a támadó valós technikákkal "támadja" meg az áldozatot.
Feljegyzés
Bár a szimulációs eszköz nem futtat rosszindulatú összetevőket, javasoljuk, hogy éles számítási feladatok nélkül, dedikált fürtön futtassa.
A szimulációs eszköz egy Python-alapú parancssori felülettel fut, amely Helm-diagramokat helyez üzembe a célfürtben.
A szimulációs eszköz telepítése
Előfeltételek:
A célfürt felett rendszergazdai engedélyekkel rendelkező felhasználó.
A Defender for Containers engedélyezve van, és a Defender-érzékelő is telepítve van. A Defender-érzékelő telepítésének ellenőrzéséhez futtassa a következőt:
kubectl get ds microsoft-defender-collector-ds -n kube-system
A helm-ügyfél telepítve van a helyi gépen.
A Python 3.7-es vagy újabb verziója telepítve van a helyi gépen.
Mutasson
kubeconfig
a célfürtre. Az Azure Kubernetes Service esetében a következőt futtathatja:az aks get-credentials --name [cluster-name] --resource-group [resource-group]
Töltse le a szimulációs eszközt a következő paranccsal:
curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py
A szimulációs eszköz futtatása
Futtassa a szimulációs szkriptet a következő paranccsal:
python simulation.py
Válasszon egy szimulált támadási forgatókönyvet, vagy válassza az összes támadási forgatókönyv egyidejű szimulálását. Az elérhető szimulált támadási forgatókönyvek a következők:
Eset | Várt riasztások |
---|---|
Felderítés | Lehetséges Web Shell-tevékenység észlelhető Gyanús Kubernetes-szolgáltatásfiók-művelet észlelhető Hálózati ellenőrző eszköz észlelve |
Oldalirányú mozgás | Lehetséges Web Shell-tevékenység észlelhető A felhőalapú metaadat-szolgáltatáshoz való hozzáférés észlelhető |
Titkos kulcsok összegyűjtése | Lehetséges Web Shell-tevékenység észlelhető Bizalmas fájlokhoz való hozzáférés észlelhető Lehetséges titkos felderítési észlelés |
Kriptobányászat | Lehetséges Web Shell-tevékenység észlelhető Kubernetes cpu-optimalizálása észlelhető Egy megnyitott tárolón belüli parancs ld.so.preload Lehetséges kriptobányászok letöltése észlelhető Sodródás bináris észlelése a tárolóban |
Webes rendszerhéj | Lehetséges Web Shell-tevékenység észlelhető |
Feljegyzés
Míg egyes riasztások közel valós időben aktiválódnak, mások akár egy órát is igénybe vehetnek.