Megosztás a következőn keresztül:

Kubernetes-fürtökre vonatkozó riasztások

  • Cikk

A Defender for Containers továbbfejlesztett riasztási képességeket biztosít a Kubernetes vezérlősíkot és a számítási feladat futtatókörnyezetét fenyegető fenyegetésekhez. Végponthoz készült Microsoft Defender (MDE) és Microsoft Defender Intelligens veszélyforrás-felderítés is észlelik a Kubernetes-tárolókra vonatkozó fenyegetéseket, és a Defender érzékelővel kombinálva bővített kontextust biztosítanak az átfogó és végrehajtható riasztásokhoz, hogy megvédjék a Kubernetes-környezet.

Vezérlősík észlelése

A Kubernetesben a vezérlősík kezeli és vezényli a fürt összes erőforrását. A Defender for Containers azonosítja azokat a lehetséges fenyegetéseket a vezérlősíkon, amelyek a Kubernetes API-kiszolgáló tevékenységeinek monitorozásával veszélyeztethetik a teljes fürt biztonságát és integritását. A rendszer olyan kritikus eseményeket rögzít, amelyek potenciális biztonsági fenyegetéseket jeleznek, például a szolgáltatásfiókok gyanús műveleteit vagy a szolgáltatások kitettségét.

A Defender for Containers által rögzített gyanús műveletek például a következők:

  • A kiemelt tárolótelepítések biztonsági kockázatot jelenthetnek, mivel emelt szintű jogosultságokat biztosítanak a tárolóknak a gazdarendszeren belül. A rendszer figyeli a kiemelt tárolókat a jogosulatlan üzemelő példányok, a jogosultságok túlzott használata és a biztonsági incidensekhez vezető esetleges helytelen konfigurációk esetén.
  • A nyilvános internet kockázatos szolgáltatási kitettségei potenciális támadásoknak tehetik ki a Kubernetes-fürtöt. A fürtöt olyan szolgáltatások figyelik, amelyek véletlenül ki vannak téve, helytelenül vannak konfigurálva túlzottan megengedő hozzáférés-vezérlőkkel, vagy amelyek nem rendelkeznek megfelelő biztonsági intézkedésekkel.
  • A gyanús szolgáltatásfiók-tevékenységek jogosulatlan hozzáférést vagy rosszindulatú viselkedést jelezhetnek a fürtben. A fürt figyeli a szokatlan mintákat, például a túlzott erőforrás-kérelmeket, a jogosulatlan API-hívásokat vagy a bizalmas adatokhoz való hozzáférést.

Számítási feladatok futtatókörnyezetének észlelése

A Defender for Containers a Defender érzékelővel figyeli a Kubernetes számítási feladatok futtatókörnyezeti tevékenységét a gyanús műveletek észleléséhez, beleértve a számítási feladatok létrehozásának eseményeit is.

A gyanús számítási feladatok futtatókörnyezeti tevékenységei közé tartoznak például a következők:

  • Webes rendszerhéj-tevékenység – A Defender for Containers a futó tárolókon figyeli a tevékenységet, hogy azonosítsa a webes rendszerhéj-meghívásokhoz hasonló viselkedéseket.
  • Kriptobányászati tevékenység – A Defender for Containers számos heurisztikus eljárással azonosítja a futtató tárolók kriptobányászati tevékenységét, beleértve a gyanús letöltési tevékenységeket, a CPU-optimalizálást, a gyanús folyamatok végrehajtását stb.
  • Hálózatvizsgálati eszközök – A Defender for Containers azonosítja a kártékony tevékenységekhez használt ellenőrző eszközök használatát.
  • Bináris eltérésészlelés – Felhőhöz készült Defender azonosítja az eredeti tárolórendszerképtől elsodródott számítási feladatok bináris fájljainak végrehajtását. További információ a bináris eltérésészlelésről.

Kubernetes-riasztások szimulációs eszköze

A Defender for Containers olyan eszközt biztosít, amely különböző támadási forgatókönyveket szimulál a Kubernetes-környezetben, és riasztásokat generál. A szimulációs eszköz két podot helyez üzembe egy célfürtben: a támadót és az áldozatot. A szimuláció során a támadó valós technikákkal "támadja" meg az áldozatot.

Feljegyzés

Bár a szimulációs eszköz nem futtat rosszindulatú összetevőket, javasoljuk, hogy éles számítási feladatok nélkül, dedikált fürtön futtassa.

A szimulációs eszköz egy Python-alapú parancssori felülettel fut, amely Helm-diagramokat helyez üzembe a célfürtben.

A szimulációs eszköz telepítése

  1. Előfeltételek:

    • A célfürt felett rendszergazdai engedélyekkel rendelkező felhasználó.

    • A Defender for Containers engedélyezve van, és a Defender-érzékelő is telepítve van. A Defender-érzékelő telepítésének ellenőrzéséhez futtassa a következőt:

      kubectl get ds microsoft-defender-collector-ds -n kube-system

    • A helm-ügyfél telepítve van a helyi gépen.

    • A Python 3.7-es vagy újabb verziója telepítve van a helyi gépen.

  2. Mutasson kubeconfig a célfürtre. Az Azure Kubernetes Service esetében a következőt futtathatja:

    az aks get-credentials --name [cluster-name] --resource-group [resource-group]

  3. Töltse le a szimulációs eszközt a következő paranccsal:

    curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py

A szimulációs eszköz futtatása

  1. Futtassa a szimulációs szkriptet a következő paranccsal: python simulation.py

  2. Válasszon egy szimulált támadási forgatókönyvet, vagy válassza az összes támadási forgatókönyv egyidejű szimulálását. Az elérhető szimulált támadási forgatókönyvek a következők:

Eset Várt riasztások
Felderítés Lehetséges Web Shell-tevékenység észlelhető
Gyanús Kubernetes-szolgáltatásfiók-művelet észlelhető
Hálózati ellenőrző eszköz észlelve
Oldalirányú mozgás Lehetséges Web Shell-tevékenység észlelhető
A felhőalapú metaadat-szolgáltatáshoz való hozzáférés észlelhető
Titkos kulcsok összegyűjtése Lehetséges Web Shell-tevékenység észlelhető
Bizalmas fájlokhoz való hozzáférés észlelhető
Lehetséges titkos felderítési észlelés
Kriptobányászat Lehetséges Web Shell-tevékenység észlelhető
Kubernetes cpu-optimalizálása észlelhető
Egy megnyitott tárolón belüli parancs ld.so.preload
Lehetséges kriptobányászok letöltése észlelhető
Sodródás bináris észlelése a tárolóban
Webes rendszerhéj Lehetséges Web Shell-tevékenység észlelhető

Feljegyzés

Míg egyes riasztások közel valós időben aktiválódnak, mások akár egy órát is igénybe vehetnek.

Következő lépések