Upozornění pro kontejnery – clustery Kubernetes

Tento článek obsahuje seznam výstrah zabezpečení, které můžete získat pro kontejnery a clustery Kubernetes z programu Microsoft Defender for Cloud a všech plánů Microsoft Defenderu, které jste povolili. Výstrahy zobrazené ve vašem prostředí závisí na prostředcích a službách, které chráníte, a na vlastní konfiguraci.

Přečtěte si, jak na tato upozornění reagovat.

Zjistěte, jak exportovat upozornění.

Upozornění pro kontejnery a clustery Kubernetes

Microsoft Defender for Containers poskytuje výstrahy zabezpečení na úrovni clusteru a na příslušných uzlech clusteru monitorováním řídicí roviny (serveru API) i samotné kontejnerizované úlohy. Výstrahy zabezpečení roviny řízení lze rozpoznat předponou K8S_ typu výstrahy. Výstrahy zabezpečení pro úlohy modulu runtime v clusterech lze rozpoznat předponou K8S.NODE_ typu výstrahy. Všechna upozornění jsou podporována pouze v Linuxu, pokud není uvedeno jinak.

Další podrobnosti a poznámky

Vystavená služba Postgres s konfigurací ověřování důvěryhodnosti ve službě Kubernetes zjistila (Preview)

(K8S_ExposedPostgresTrustAuth)

Popis: Analýza konfigurace clusteru Kubernetes zjistila vystavení služby Postgres nástrojem pro vyrovnávání zatížení. Služba je nakonfigurovaná pomocí metody ověřování důvěryhodnosti, která nevyžaduje přihlašovací údaje.

Taktika MITRE: InitialAccess

Závažnost: Střední

Vystavená služba Postgres se zjištěnou rizikovou konfigurací v Kubernetes (Preview)

(K8S_ExposedPostgresBroadIPRange)

Popis: Analýza konfigurace clusteru Kubernetes zjistila vystavení služby Postgres nástrojem pro vyrovnávání zatížení s rizikovou konfigurací. Vystavení služby široké škále IP adres představuje bezpečnostní riziko.

Taktika MITRE: InitialAccess

Závažnost: Střední

Pokus o vytvoření nového oboru názvů Linuxu ze zjištěného kontejneru

(K8S. NODE_NamespaceCreation) ¹

Popis: Analýza procesů spuštěných v kontejneru v clusteru Kubernetes zjistila pokus o vytvoření nového oboru názvů Linuxu. I když toto chování může být legitimní, může to znamenat, že se útočník pokusí utéct z kontejneru do uzlu. Některé zneužití CVE-2022-0185 tuto techniku používají.

Taktika MITRE: PrivilegeEscalation

Závažnost: Informační

Soubor historie byl vymazán.

(K8S. NODE_HistoryFileCleared) ¹

Popis: Analýza procesů spuštěných v rámci kontejneru nebo přímo na uzlu Kubernetes zjistila, že soubor protokolu historie příkazů byl vymazán. Útočníci to můžou udělat, aby pokryli stopy. Operace byla provedena zadaným uživatelským účtem.

Taktika MITRE: DefenseEvasion

Závažnost: Střední

Neobvyklá aktivita spravované identity přidružené k Kubernetes (Preview)

(K8S_AbnormalMiActivity)

Popis: Analýza operací Azure Resource Manageru zjistila neobvyklé chování spravované identity používané doplňkem AKS. Zjištěná aktivita není konzistentní s chováním přidruženého doplňku. I když tato aktivita může být legitimní, takové chování může znamenat, že identitu získal útočník, pravděpodobně z ohroženého kontejneru v clusteru Kubernetes.

Taktika MITRE: Laterální pohyb

Závažnost: Střední

Byla zjištěna neobvyklá operace účtu služby Kubernetes.

(K8S_ServiceAccountRareOperation)

Popis: Analýza protokolu auditu Kubernetes zjistila neobvyklé chování účtu služby v clusteru Kubernetes. Účet služby se použil pro operaci, která není pro tento účet služby běžná. I když tato aktivita může být legitimní, takové chování může znamenat, že se účet služby používá pro škodlivé účely.

Taktika MITRE: Lateral Movement, Credential Access

Závažnost: Střední

Zjistil se neobvyklý pokus o připojení.

(K8S. NODE_SuspectConnection) ¹

Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila neobvyklý pokus o připojení využívající protokol socks. To je velmi vzácné v normálních operacích, ale známá technika pro útočníky, kteří se pokoušejí obejít detekci síťových vrstev.

Taktika MITRE: Provádění, exfiltrace, zneužití

Závažnost: Střední

Došlo k pokusu o zastavení služby apt-daily-upgrade.timer

(K8S. NODE_TimerServiceDisabled) ¹

Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila pokus o zastavení služby apt-daily-upgrade.timer. Útočníci zaznamenali zastavení této služby, aby stáhli škodlivé soubory a udělili oprávnění ke spuštění pro své útoky. K této aktivitě může dojít také v případě, že je služba aktualizována prostřednictvím běžných akcí správy.

Taktika MITRE: DefenseEvasion

Závažnost: Informační

Chování podobné běžnému linuxovém robotovi zjištěnému (Preview)

(K8S. NODE_CommonBot)

Popis: Analýza procesů spuštěných v rámci kontejneru nebo přímo na uzlu Kubernetes zjistila provádění procesu, který je obvykle přidružený k běžným linuxovým botnetům.

Taktika MITRE: Spouštění, Shromažďování, Příkaz a Řízení

Závažnost: Střední

Příkaz v rámci kontejneru spuštěného s vysokými oprávněními

(K8S. NODE_PrivilegedExecutionInContainer) ¹

Popis: Protokoly počítačů označují, že se v kontejneru Dockeru spustil privilegovaný příkaz. Privilegovaný příkaz má rozšířená oprávnění na hostitelském počítači.

Taktika MITRE: PrivilegeEscalation

Závažnost: Informační

Kontejner spuštěný v privilegovaném režimu

(K8S. NODE_PrivilegedContainerArtifacts) ¹

Popis: Analýza procesů spuštěných v rámci kontejneru nebo přímo na uzlu Kubernetes zjistila spuštění příkazu Dockeru, na kterém běží privilegovaný kontejner. Privilegovaný kontejner má úplný přístup k hostitelskému podu nebo hostitelskému prostředku. V případě ohrožení zabezpečení může útočník pomocí privilegovaného kontejneru získat přístup k hostitelskému podu nebo hostiteli.

Taktika MITRE: PrivilegeEscalation, Execution

Závažnost: Informační

Zjištěn kontejner s citlivým připojením svazku

(K8S_SensitiveMount)

Popis: Analýza protokolu auditu Kubernetes zjistila nový kontejner s citlivým připojením svazku. Zjištěný svazek je typ hostPath, který připojí citlivý soubor nebo složku z uzlu ke kontejneru. Pokud dojde k ohrožení zabezpečení kontejneru, útočník může toto připojení použít k získání přístupu k uzlu.

Taktika MITRE: Eskalace oprávnění

Závažnost: Informační

Zjistily se změny CoreDNS v Kubernetes.

(K8S_CoreDnsModification) ^{2 3}

Popis: Analýza protokolu auditu Kubernetes zjistila změnu konfigurace CoreDNS. Konfiguraci CoreDNS je možné upravit přepsáním jeho konfigurační mapy. I když tato aktivita může být legitimní, pokud útočníci mají oprávnění k úpravě mapy konfigurace, můžou změnit chování serveru DNS clusteru a otrávit ho.

Taktika MITRE: Laterální pohyb

Závažnost: Nízká

Bylo zjištěno vytvoření konfigurace webhooku přístupu.

(K8S_AdmissionController) ³

Popis: Analýza protokolu auditu Kubernetes zjistila novou konfiguraci webhooku přístupu. Kubernetes má dva integrované obecné kontrolery přístupu: MutatingAdmissionWebhook a ValidatingAdmissionWebhook. Chování těchto kontrolerů přístupu určuje webhook přístupu, který uživatel nasadí do clusteru. Použití těchto kontrolerů přístupu může být legitimní, ale útočníci můžou takové webhooky použít k úpravě požadavků (v případě mutatingAdmissionWebhook) nebo kontrolu požadavků a získání citlivých informací (v případě ověřování OvěřováníWebhooku).

Taktika MITRE: Přístup k přihlašovacím údajům, trvalost

Závažnost: Informační

Zjištěný soubor ke stažení ze známého škodlivého zdroje

(K8S. NODE_SuspectDownload) ¹

Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila stažení souboru ze zdroje, který se často používá k distribuci malwaru.

Taktika MITRE: PrivilegeEscalation, Execution, Exfiltration, Command And Control

Závažnost: Střední

Zjištění podezřelého stahování souborů

(K8S. NODE_SuspectDownloadArtifacts) ¹

Popis: Analýza procesů spuštěných v rámci kontejneru nebo přímo na uzlu Kubernetes zjistila podezřelé stažení vzdáleného souboru.

Taktika MITRE: Trvalost

Závažnost: Informační

Zjištění podezřelého použití příkazu nohup

(K8S. NODE_SuspectNohup) ¹

Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila podezřelé použití příkazu nohup. Útočníci byli vidět pomocí příkazu nohup ke spuštění skrytých souborů z dočasného adresáře, aby jejich spustitelné soubory běžely na pozadí. Tento příkaz se zřídka spouští u skrytých souborů umístěných v dočasném adresáři.

Taktika MITRE: Trvalost, DefenseEvasion

Závažnost: Střední

Zjištění podezřelého použití příkazu useradd

(K8S. NODE_SuspectUserAddition) ¹

Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila podezřelé použití příkazu useradd.

Taktika MITRE: Trvalost

Závažnost: Střední

Zjištěn kontejner pro dolování digitálních měn

(K8S_MaliciousContainerImage) ³

Popis: Analýza protokolu auditu Kubernetes zjistila kontejner, který má image přidruženou k nástroji pro dolování digitální měny.

Taktika MITRE: Provádění

Závažnost: Vysoká

Zjistilo se chování související s dolováním digitálních měn

(K8S. NODE_DigitalCurrencyMining) ¹

Popis: Analýza procesů spuštěných v rámci kontejneru nebo přímo na uzlu Kubernetes zjistila spuštění procesu nebo příkazu, které jsou obvykle spojené s dolováním digitální měny.

Taktika MITRE: Provádění

Závažnost: Vysoká

Zjištěná operace sestavení Dockeru na uzlu Kubernetes

(K8S. NODE_ImageBuildOnNode) ¹

Popis: Analýza procesů spuštěných v rámci kontejneru nebo přímo na uzlu Kubernetes zjistila operaci sestavení image kontejneru na uzlu Kubernetes. I když toto chování může být legitimní, útočníci můžou místně vytvářet škodlivé image, aby se vyhnuli detekci.

Taktika MITRE: DefenseEvasion

Závažnost: Informační

Zjištěný vystavený řídicí panel Kubeflow

(K8S_ExposedKubeflow)

Popis: Analýza protokolu auditu Kubernetes zjistila vystavení příchozího přenosu dat Istio nástrojem pro vyrovnávání zatížení v clusteru, na kterém běží Kubeflow. Tato akce může zpřístupnit řídicí panel Kubeflow na internetu. Pokud je řídicí panel vystavený internetu, můžou k němu útočníci přistupovat a spouštět škodlivé kontejnery nebo kód v clusteru. Další podrobnosti najdete v následujícím článku: https://www.microsoft.com/en-us/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/

Taktika MITRE: Počáteční přístup

Závažnost: Střední

Zjištěný vystavený řídicí panel Kubernetes

(K8S_ExposedDashboard)

Popis: Analýza protokolu auditu Kubernetes zjistila vystavení řídicího panelu Kubernetes službou LoadBalancer. Vystavený řídicí panel umožňuje neověřený přístup ke správě clusteru a představuje bezpečnostní hrozbu.

Taktika MITRE: Počáteční přístup

Závažnost: Vysoká

Zjištěná vystavená služba Kubernetes

(K8S_ExposedService)

Popis: Analýza protokolu auditu Kubernetes zjistila vystavení služby nástrojem pro vyrovnávání zatížení. Tato služba souvisí s citlivou aplikací, která umožňuje operace s vysokým dopadem v clusteru, jako jsou spuštěné procesy na uzlu nebo vytváření nových kontejnerů. V některých případech tato služba nevyžaduje ověřování. Pokud služba nevyžaduje ověřování, vystavení na internetu představuje bezpečnostní riziko.

Taktika MITRE: Počáteční přístup

Závažnost: Střední

Zjištěná vystavená služba Redis v AKS

(K8S_ExposedRedis)

Popis: Analýza protokolu auditu Kubernetes zjistila vystavení služby Redis nástrojem pro vyrovnávání zatížení. Pokud služba nevyžaduje ověřování, vystavení na internetu představuje bezpečnostní riziko.

Taktika MITRE: Počáteční přístup

Závažnost: Nízká

Zjištěné indikátory související se sadou nástrojů DDOS

(K8S. NODE_KnownLinuxDDoSToolkit) ¹

Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila názvy souborů, které jsou součástí sady nástrojů asociované s malwarem schopným spustit útoky DDoS, otevírat porty a služby a převzít plnou kontrolu nad napadeným systémem. Může to být také legitimní aktivita.

Taktika MITRE: Trvalost, LateralMovement, Spouštění, Zneužití

Závažnost: Střední

Zjistily se požadavky rozhraní API K8S z IP adresy proxy serveru.

(K8S_TI_Proxy) ³

Popis: Analýza protokolu auditu Kubernetes zjistila požadavky rozhraní API na váš cluster z IP adresy přidružené ke službám proxy, jako je TOR. I když toto chování může být legitimní, často se to projevuje ve škodlivých aktivitách, když se útočníci pokusí skrýt zdrojovou IP adresu.

Taktika MITRE: Provádění

Závažnost: Nízká

Odstraněné události Kubernetes

(K8S_DeleteEvents) ^{2 3}

Popis: Defender pro cloud zjistil, že některé události Kubernetes byly odstraněny. Události Kubernetes jsou objekty v Kubernetes, které obsahují informace o změnách v clusteru. Útočníci můžou tyto události odstranit pro skrytí operací v clusteru.

Taktika MITRE: Obranné úniky

Závažnost: Nízká

Zjistil se nástroj pro penetrační testování Kubernetes.

(K8S_PenTestToolsKubeHunter)

Popis: Analýza protokolu auditu Kubernetes zjistila využití nástroje pro penetrační testování Kubernetes v clusteru AKS. I když toto chování může být legitimní, útočníci můžou takové veřejné nástroje používat pro škodlivé účely.

Taktika MITRE: Provádění

Závažnost: Nízká

Upozornění microsoft Defenderu pro cloudový test (ne hrozba)

(K8S. NODE_EICAR) ¹

Popis: Toto je testovací výstraha vygenerovaná programem Microsoft Defender for Cloud. Nevyžaduje se žádná další akce.

Taktika MITRE: Provádění

Závažnost: Vysoká

Zjistil se nový kontejner v oboru názvů kube-system

(K8S_KubeSystemContainer) ³

Popis: Analýza protokolu auditu Kubernetes zjistila nový kontejner v oboru názvů kube-system, který není mezi kontejnery, které se v tomto oboru názvů normálně spouští. Obory názvů kube-system by neměly obsahovat uživatelské prostředky. Útočníci můžou tento obor názvů použít ke skrytí škodlivých komponent.

Taktika MITRE: Trvalost

Závažnost: Informační

Byla zjištěna nová role s vysokými oprávněními.

(K8S_HighPrivilegesRole) ³

Popis: Analýza protokolu auditu Kubernetes zjistila novou roli s vysokými oprávněními. Vazba na roli s vysokými oprávněními dává uživateli\skupině vysoká oprávnění v clusteru. Nepotřebná oprávnění můžou způsobit eskalaci oprávnění v clusteru.

Taktika MITRE: Trvalost

Závažnost: Informační

Zjištěn možný nástroj pro útok

(K8S. NODE_KnownLinuxAttackTool) ¹

Popis: Analýza procesů spuštěných v rámci kontejneru nebo přímo na uzlu Kubernetes zjistila podezřelé vyvolání nástroje. Tento nástroj je často spojen se zlými uživateli, kteří napadnou ostatní.

Taktika MITRE: spouštění, shromažďování, řízení a řízení, testování

Závažnost: Střední

Možné zjištění zadního vrátka

(K8S. NODE_LinuxBackdoorArtifact) ¹

Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila, že se stahuje a spouští podezřelý soubor. Tato aktivita byla dříve přidružena k instalaci zadního vrátka.

Taktika MITRE: Trvalost, DefenseEvasion, Provádění, Zneužití

Závažnost: Střední

Možné pokusy o zneužití příkazového řádku

(K8S. NODE_ExploitAttempt) ¹

Popis: Analýza procesů spuštěných v rámci kontejneru nebo přímo na uzlu Kubernetes zjistila možné pokusy o zneužití proti známému ohrožení zabezpečení.

Taktika MITRE: Zneužití

Závažnost: Střední

Byl zjištěn možný nástroj pro přístup k přihlašovacím údajům.

(K8S. NODE_KnownLinuxCredentialAccessTool) ¹

Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila, že v kontejneru byl spuštěn možný známý nástroj pro přístup k přihlašovacím údajům, jak je identifikován zadaným procesem a položkou historie příkazového řádku. Tento nástroj je často spojen s pokusy útočníka o přístup k přihlašovacím údajům.

Taktika MITRE: CredentialAccess

Závažnost: Střední

Zjistilo se možné stažení cryptocoinmineru

(K8S. NODE_CryptoCoinMinerDownload) ¹

Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila stažení souboru, který je normálně přidružený k dolování digitální měny.

Taktika MITRE: DefenseEvasion, Command And Control, Exploitation

Závažnost: Střední

Zjištěná možná aktivita manipulace s protokoly

(K8S. NODE_SystemLogRemoval) ¹

Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila možné odebrání souborů, které sledují aktivitu uživatele během jeho provozu. Útočníci se často snaží vyhnout detekci a nenechávejte žádné stopy škodlivých aktivit odstraněním takových souborů protokolu.

Taktika MITRE: DefenseEvasion

Závažnost: Střední

Možná změna hesla pomocí zjištěné metody kryptografie

(K8S. NODE_SuspectPasswordChange) ¹

Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila změnu hesla pomocí metody šifrování. Útočníci můžou tuto změnu provést, aby po ohrožení pokračovali v přístupu a získali trvalost.

Taktika MITRE: CredentialAccess

Závažnost: Střední

Potenciální přesměrování portů na externí IP adresu

(K8S. NODE_SuspectPortForwarding) ¹

Popis: Analýza procesů spuštěných v rámci kontejneru nebo přímo na uzlu Kubernetes zjistila inicializace přesměrování portů na externí IP adresu.

Taktika MITRE: Exfiltrace, příkaz a řízení

Závažnost: Střední

Zjistilo se potenciální zpětné prostředí

(K8S. NODE_ReverseShell) ¹

Popis: Analýza procesů spuštěných v rámci kontejneru nebo přímo na uzlu Kubernetes zjistila potenciální reverzní prostředí. Používají se k získání ohroženého počítače, který by útočníkovi volal zpět do počítače.

Taktika MITRE: Exfiltrace, zneužití

Závažnost: Střední

Zjištěný privilegovaný kontejner

(K8S_PrivilegedContainer)

Popis: Analýza protokolu auditu Kubernetes zjistila nový privilegovaný kontejner. Privilegovaný kontejner má přístup k prostředkům uzlu a rozdělí izolaci mezi kontejnery. V případě ohrožení zabezpečení může útočník pomocí privilegovaného kontejneru získat přístup k uzlu.

Taktika MITRE: Eskalace oprávnění

Závažnost: Informační

Zjistil se proces přidružený k dolování digitálních měn

(K8S. NODE_CryptoCoinMinerArtifacts) ¹

Popis: Analýza procesů spuštěných v kontejneru zjistila provádění procesu, který je obvykle spojený s dolováním digitální měny.

Taktika MITRE: Provádění, zneužití

Závažnost: Střední

Proces, který se zobrazil při přístupu k souboru autorizovaných klíčů SSH neobvyklým způsobem

(K8S. NODE_SshKeyAccess) ¹

Popis: Soubor authorized_keys SSH byl přístupný metodou podobnou známým malwarovým kampaním. Tento přístup může znamenat, že se objekt actor pokouší získat trvalý přístup k počítači.

Taktika MITRE: Neznámá

Závažnost: Informační

Zjištěná vazba role s rolí správce clusteru

(K8S_ClusterAdminBinding)

Popis: Analýza protokolu auditu Kubernetes zjistila novou vazbu na roli správce clusteru, která dává oprávnění správce. Nepotřebná oprávnění správce můžou způsobit eskalaci oprávnění v clusteru.

Taktika MITRE: Trvalost, PrivilegeEscalation

Závažnost: Informační

Zjistilo se ukončení procesu souvisejícího se zabezpečením.

(K8S. NODE_SuspectProcessTermination) ¹

Popis: Analýza procesů spuštěných v rámci kontejneru nebo přímo na uzlu Kubernetes zjistila pokus o ukončení procesů souvisejících s monitorováním zabezpečení v kontejneru. Útočníci se tyto procesy často pokusí ukončit pomocí předdefinovaných skriptů po ohrožení zabezpečení.

Taktika MITRE: Trvalost

Závažnost: Nízká

Server SSH běží v kontejneru.

(K8S. NODE_ContainerSSH) ¹

Popis: Analýza procesů spuštěných v kontejneru zjistila server SSH spuštěný uvnitř kontejneru.

Taktika MITRE: Provádění

Závažnost: Informační

Podezřelá úprava časového razítka souboru

(K8S. NODE_TimestampTampering) ¹

Popis: Analýza procesů spuštěných v rámci kontejneru nebo přímo na uzlu Kubernetes zjistila podezřelou změnu časového razítka. Útočníci často kopírují časová razítka z existujících legitimních souborů do nových nástrojů, aby se zabránilo detekci těchto nově vynechaných souborů.

Taktika MITRE: Trvalost, DefenseEvasion

Závažnost: Nízká

Podezřelý požadavek na rozhraní Kubernetes API

(K8S. NODE_KubernetesAPI) ¹

Popis: Analýza procesů spuštěných v rámci kontejneru indikuje, že se do rozhraní API Kubernetes provedl podezřelý požadavek. Požadavek byl odeslán z kontejneru v clusteru. I když toto chování může být úmyslné, může to znamenat, že v clusteru běží ohrožený kontejner.

Taktika MITRE: LateralMovement

Závažnost: Střední

Podezřelý požadavek na řídicí panel Kubernetes

(K8S. NODE_KubernetesDashboard) ¹

Popis: Analýza procesů spuštěných v kontejneru indikuje, že na řídicím panelu Kubernetes došlo k podezřelému požadavku. Požadavek byl odeslán z kontejneru v clusteru. I když toto chování může být úmyslné, může to znamenat, že v clusteru běží ohrožený kontejner.

Taktika MITRE: LateralMovement

Závažnost: Střední

Potenciální kryptografický miner začal

(K8S. NODE_CryptoCoinMinerExecution) ¹

Popis: Analýza procesů spuštěných v rámci kontejneru nebo přímo na uzlu Kubernetes zjistila, že proces se spouští způsobem, který je běžně spojený s dolováním digitální měny.

Taktika MITRE: Provádění

Závažnost: Střední

Podezřelý přístup k heslu

(K8S. NODE_SuspectPasswordFileAccess) ¹

Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila podezřelý pokus o přístup k šifrovaným uživatelským heslům.

Taktika MITRE: Trvalost

Závažnost: Informační

Zjistilo se možné škodlivé webové prostředí

(K8S. NODE_Webshell) ¹

Popis: Analýza procesů spuštěných v kontejneru zjistila možné webové prostředí. Útočníci často nahrají webové prostředí do výpočetního prostředku, který narušili, aby získali trvalost nebo další zneužití.

Taktika MITRE: trvalost, zneužití

Závažnost: Střední

Nárůst několika příkazů rekognoskace může značit počáteční aktivitu po ohrožení zabezpečení.

(K8S. NODE_ReconnaissanceArtifactsBurst) ¹

Popis: Analýza dat hostitele nebo zařízení zjistila spuštění několika příkazů rekognoskace souvisejících se shromažďováním podrobností o systému nebo hostiteli provedených útočníky po počátečním ohrožení.

Taktika MITRE: Zjišťování, Kolekce

Závažnost: Nízká

Podezřelá aktivita stažení a spuštění

(K8S. NODE_DownloadAndRunCombo) ¹

Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila, že se stahuje soubor, který se pak spustí ve stejném příkazu. I když to není vždy škodlivé, jedná se o velmi běžnou techniku, kterou útočníci používají k získání škodlivých souborů na počítače obětí.

Taktika MITRE: Spouštění, CommandAndControl, Využívání

Závažnost: Střední

Zjištěn přístup k souboru kubelet kubeconfig

(K8S. NODE_KubeConfigAccess) ¹

Popis: Analýza procesů spuštěných v uzlu clusteru Kubernetes zjistila přístup k souboru kubeconfig na hostiteli. Soubor kubeconfig, který obvykle používá proces Kubelet, obsahuje přihlašovací údaje k serveru rozhraní API clusteru Kubernetes. Přístup k tomuto souboru je často spojený s útočníky, kteří se pokoušejí o přístup k těmto přihlašovacím údajům, nebo s nástroji pro kontrolu zabezpečení, které kontrolují, jestli je soubor přístupný.

Taktika MITRE: CredentialAccess

Závažnost: Střední

Zjištěn přístup ke službě cloudových metadat

(K8S. NODE_ImdsCall) ¹

Popis: Analýza procesů spuštěných v kontejneru zjistila přístup ke službě cloudových metadat pro získání tokenu identity. Kontejner obvykle takovou operaci neprovádí. I když toto chování může být legitimní, útočníci můžou tuto techniku použít k přístupu ke cloudovým prostředkům po získání počátečního přístupu ke spuštěném kontejneru.

Taktika MITRE: CredentialAccess

Závažnost: Střední

Zjistil agent MITRE Caldera

(K8S. NODE_MitreCalderaTools) ¹

Popis: Analýza procesů spuštěných v rámci kontejneru nebo přímo na uzlu Kubernetes zjistila podezřelý proces. To je často spojeno s agentem MITRE 54ndc47, který by mohl být zneužit k útoku na jiné počítače.

Taktika MITRE: Trvalost, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation

Závažnost: Střední

¹: Verze Preview pro clustery mimo AKS: Tato výstraha je obecně dostupná pro clustery AKS, ale je ve verzi Preview pro jiná prostředí, jako je Azure Arc, EKS a GKE.

²: Omezení clusterů GKE: GKE používá zásadu auditu Kubernetes, která nepodporuje všechny typy výstrah. V důsledku toho se tato výstraha zabezpečení, která je založená na událostech auditu Kubernetes, nepodporuje u clusterů GKE.

³: Tato výstraha je podporována na uzlech a kontejnerech Windows.

Další kroky

• Výstrahy zabezpečení v Programu Microsoft Defender pro cloud
• Správa a zpracování výstrah zabezpečení v Microsoft Defenderu for Cloud
• Průběžný export defenderu pro cloudová data