Warnungen für Container: Kubernetes-Cluster

In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise für Container und Kubernetes-Cluster von Microsoft Defender für Cloud und alle von Ihnen aktivierten Microsoft Defender-Pläne erhalten. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.

Informationen zur Reaktion auf diese Warnungen

Informationen zum Exportieren von Warnungen

Warnungen für Container und Kubernetes-Cluster

Microsoft Defender für Container stellt Sicherheitswarnungen auf Clusterebene und auf den zugrunde liegenden Clusterknoten bereit, indem sowohl die Steuerungsebene (API-Server) als auch die Containerworkload selbst überwacht wird. Sicherheitswarnungen auf Steuerungsebene können durch ein Präfix K8S_ des Warnungstyps erkannt werden. Sicherheitswarnungen für die Laufzeitworkload in den Clustern können durch das Präfix K8S.NODE_ des Warnungstyps erkannt werden. Alle Warnungen werden nur auf Linux unterstützt, sofern nicht anders angegeben.

Weitere Details und Hinweise

Verfügbar gemachter Postgres-Dienst mit Konfiguration für die Authentifizierung mit Vertrauensstellung in Kubernetes erkannt (Vorschau)

(K8S_ExposedPostgresTrustAuth)

Beschreibung: Kubernetes-Clusterkonfigurationsanalyse hat die Exposition eines Postgres-Diensts durch einen Lastenausgleich erkannt. Der Dienst ist mit der Methode für die Authentifizierung mit Vertrauensstellung konfiguriert, für die keine Anmeldeinformationen erforderlich sind.

MITRE-Taktiken: InitialAccess

Schweregrad: Mittel

Verfügbar gemachter Postgres-Dienst mit Risikokonfiguration in Kubernetes erkannt (Vorschau)

(K8S_ExposedPostgresBroadIPRange)

Beschreibung: Kubernetes-Clusterkonfigurationsanalyse erkannte die Exposition eines Postgres-Diensts durch einen Lastenausgleich mit einer riskanten Konfiguration. Das Verfügbarmachen des Diensts für eine Vielzahl von IP-Adressen stellt ein Sicherheitsrisiko dar.

MITRE-Taktiken: InitialAccess

Schweregrad: Mittel

Versuch, einen neuen Linux-Namespace aus einem erkannten Container zu erstellen

(K8S.NODE_NamespaceCreation) ¹

Beschreibung: Die Analyse von Prozessen, die in einem Container im Kubernetes-Cluster ausgeführt werden, hat versucht, einen neuen Linux-Namespace zu erstellen. Obwohl dieses Verhalten möglicherweise legitim ist, kann es auch darauf hinweisen, dass ein Angreifer versucht, vom Container zum Knoten zu entkommen. Einige CVE-2022-0185-Exploits verwenden diese Technik.

MITRE-Taktiken: PrivilegeEscalation

Schweregrad: Informational

Eine Verlaufsdatei wurde gelöscht

(K8S.NODE_HistoryFileCleared) ¹

Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat festgestellt, dass die Protokolldatei des Befehlsverlaufs gelöscht wurde. Angreifer können dies tun, um ihre Spuren abzudecken. Der Vorgang wurde vom angegebenen Benutzerkonto ausgeführt.

MITRE-Taktiken: DefenseEvasion

Schweregrad: Mittel

Ungewöhnliche Aktivität der verwalteten Identität, die Kubernetes zugeordnet ist (Vorschau)

(K8S_AbnormalMiActivity)

Beschreibung: Die Analyse von Azure Resource Manager-Vorgängen hat ein ungewöhnliches Verhalten einer verwalteten Identität erkannt, die von einem AKS-Addon verwendet wird. Die erkannte Aktivität ist nicht mit dem Verhalten des zugeordneten Add-Ons konsistent. Obwohl diese Aktivität legitim sein kann, kann ein solches Verhalten darauf hindeuten, dass ein Angreifer Zugriff auf die Identität erlangt hat (möglicherweise über einen kompromittierten Container im Kubernetes-Cluster).

MITRE-Taktiken: Lateral Movement

Schweregrad: Mittel

Ungewöhnlicher Kubernetes-Dienstkontovorgang erkannt

(K8S_ServiceAccountRareOperation)

Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat ein ungewöhnliches Verhalten durch ein Dienstkonto in Ihrem Kubernetes-Cluster erkannt. Das Dienstkonto wurde für einen Vorgang verwendet, der für dieses Dienstkonto nicht üblich ist. Diese Aktivität kann zwar legitim sein, ein solches Verhalten kann aber darauf hindeuten, dass das Dienstkonto für böswillige Zwecke verwendet wird.

MITRE-Taktiken: Lateral Movement, Credential Access

Schweregrad: Mittel

Es wurde ein ungewöhnlicher Verbindungsversuch erkannt

(K8S.NODE_SuspectConnection) ¹

Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat einen ungewöhnlichen Verbindungsversuch mithilfe eines Sockenprotokolls erkannt. Dies ist im normalen Betrieb sehr selten, aber ein bekanntes Verfahren für Angreifer, die versuchen, Erkennungen auf Netzwerkebene zu umgehen.

MITRE-Taktiken: Ausführung, Exfiltration, Ausbeutung

Schweregrad: Mittel

Versuch, den Dienst „apt-daily-upgrade.timer“ zu beenden, wurde erkannt

(K8S.NODE_TimerServiceDisabled) ¹

Beschreibung: Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat einen Versuch erkannt, apt-daily-upgrade.timer-Dienst zu beenden. Es wurde beobachtet, dass Angreifer diesen Dienst beendet haben, um schädliche Dateien herunterzuladen und Ausführungsberechtigungen für ihren Angriff zu gewähren. Diese Aktivität kann auch auftreten, wenn der Dienst durch normale administrative Aktionen aktualisiert wird.

MITRE-Taktiken: DefenseEvasion

Schweregrad: Informational

Verhalten ähnlich dem von häufigen Linux-Bots erkannt (Vorschau)

(K8S.NODE_CommonBot)

Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat die Ausführung eines Prozesses erkannt, der normalerweise mit allgemeinen Linux-Botnets verknüpft ist.

MITRE-Taktiken: Ausführung, Sammlung, Befehl und Kontrolle

Schweregrad: Mittel

Befehl in einem Container, der mit hohen Berechtigungen ausgeführt wird

(K8S.NODE_PrivilegedExecutionInContainer) ¹

Beschreibung: Computerprotokolle geben an, dass ein privilegierter Befehl in einem Docker-Container ausgeführt wurde. Ein privilegierter Befehl verfügt auf dem Hostcomputer über erweiterte Berechtigungen.

MITRE-Taktiken: PrivilegeEscalation

Schweregrad: Informational

Container, der im privilegierten Modus ausgeführt wird

(K8S.NODE_PrivilegedContainerArtifacts) ¹

Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat die Ausführung eines Docker-Befehls erkannt, der einen privilegierten Container ausführt. Der privilegierte Container verfügt über Vollzugriff auf den hostenden Pod oder die Hostressource. Wenn kompromittiert, verwendet ein Angreifer möglicherweise den privilegierten Container, um Zugriff auf den Host-Pod oder -Host zu erhalten.

MITRE-Taktiken: PrivilegeEscalation, Ausführung

Schweregrad: Informational

Container with a sensitive volume mount detected (Container mit sensiblem Volume erkannt)

(K8S_SensitiveMount)

Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat einen neuen Container mit einem sensiblen Volume-Mount erkannt. Das erkannte Volume verfügt über den Typ „hostPath“, mit dem eine sensible Datei bzw. ein Ordner vom Knoten aus in den Container eingebunden wird. Wenn der Container kompromittiert wird, kann der Angreifer diese Einbindung verwenden, um Zugriff auf den Knoten zu erlangen.

MITRE-Taktiken: Berechtigungseskalation

Schweregrad: Informational

CoreDNS-Änderung in erkannter Kubernetes-Instanz

(K8S_CoreDnsModification) ^{2 3}

Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat eine Änderung der CoreDNS-Konfiguration festgestellt. Die Konfiguration von CoreDNS kann durch Überschreiben der configmap geändert werden. Auch wenn diese Aktivität legitim sein kann, können Angreifer, die Berechtigungen zum Bearbeiten der configmap haben, das Verhalten des DNS-Clusterservers ändern und diesen beschädigen.

MITRE-Taktiken: Lateral Movement

Schweregrad: Niedrig

Erstellung der erkannten Konfiguration des Zustellungswebhooks

(K8S_AdmissionController) ³

Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat eine neue Webhook-Konfiguration für die Zulassung erkannt. Kubernetes verfügt über zwei integrierte generische Zugangscontroller: MutatingAdmissionWebhook und ValidatingAdmissionWebhook. Das Verhalten dieser Zugangscontroller wird durch einen Zustellungswebhook festgelegt, den der Benutzer für den Cluster bereitstellt. Die Verwendung solcher Zugangscontroller kann legitim sein, aber Angreifer können solche Webhooks zum Ändern der Anforderungen (im Fall von MutatingAdmissionWebhook) oder zum Untersuchen der Anforderungen und zum Abrufen von vertraulichen Informationen (bei ValidatingAdmissionWebhook) verwenden.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen, Persistenz

Schweregrad: Informational

Erkannter Dateidownload von einer bekannten schädlichen Quelle

(K8S.NODE_SuspectDownload) ¹

Beschreibung: Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat einen Download einer Datei aus einer Quelle erkannt, die häufig zum Verteilen von Schadsoftware verwendet wird.

MITRE-Taktiken: PrivilegeEscalation, Execution, Exfiltration, Command And Control

Schweregrad: Mittel

Erkannter verdächtiger Dateidownload

(K8S.NODE_SuspectDownloadArtifacts) ¹

Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat einen verdächtigen Download einer Remotedatei erkannt.

MITRE-Taktiken: Persistenz

Schweregrad: Informational

Erkannte verdächtige Verwendung des nohup-Befehls

(K8S.NODE_SuspectNohup) ¹

Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine verdächtige Verwendung des Nohup-Befehls erkannt. Es kommt vor, dass Angreifer den Befehl „nohup“ zum Ausführen von versteckten Dateien aus einem temporären Verzeichnis ausführen, damit ihre ausführbaren Dateien im Hintergrund ausgeführt werden können. Es ist selten, dass dieser Befehl für versteckte Dateien in einem temporären Verzeichnis ausgeführt wird.

MITRE-Taktiken: Persistenz, DefenseEvasion

Schweregrad: Mittel

Erkannte verdächtige Verwendung des useradd-Befehls

(K8S.NODE_SuspectUserAddition) ¹

Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine verdächtige Verwendung des useradd-Befehls erkannt.

MITRE-Taktiken: Persistenz

Schweregrad: Mittel

Digital currency mining container detected (Digital Currency Mining-Container erkannt)

(K8S_MaliciousContainerImage) ³

Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat einen Container erkannt, der ein Image enthält, das einem Digitalen Währungsminingtool zugeordnet ist.

MITRE-Taktiken: Ausführung

Schweregrad: hoch

Erkanntes Verhalten hinsichtlich des digitalen Currency Mining

(K8S.NODE_DigitalCurrencyMining) ¹

Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine Ausführung eines Prozesses oder Befehls erkannt, der normalerweise mit dem Digitalen Währungsmining verbunden ist.

MITRE-Taktiken: Ausführung

Schweregrad: hoch

Erkannter Docker-Buildvorgang auf einem Kubernetes-Knoten

(K8S.NODE_ImageBuildOnNode) ¹

Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat einen Buildvorgang eines Containerimages auf einem Kubernetes-Knoten erkannt. Obwohl dieses Verhalten legitim sein kann, können Angreifer ihre schädlichen Images lokal erstellen, um die Erkennung zu vermeiden.

MITRE-Taktiken: DefenseEvasion

Schweregrad: Informational

Exposed Kubernetes dashboard detected (Verfügbar gemachtes Kubeflow-Dashboard erkannt)

(K8S_ExposedKubeflow)

Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat die Exposition des Istio Ingress durch einen Lastenausgleich in einem Cluster erkannt, der Kubeflow ausführt. Durch diese Aktion wird das Kubeflow-Dashboard möglicherweise im Internet verfügbar gemacht. Wenn das Dashboard über das Internet verfügbar ist, können Angreifer darauf zugreifen und böswillige Container oder Code im Cluster ausführen. Weitere Details finden Sie im folgenden Artikel: https://www.microsoft.com/en-us/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/

MITRE-Taktiken: Erstzugriff

Schweregrad: Mittel

Exposed Kubernetes dashboard detected (Verfügbar gemachtes Kubernetes-Dashboard erkannt)

(K8S_ExposedDashboard)

Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat die Exposition des Kubernetes-Dashboards durch einen LoadBalancer-Dienst erkannt. Verfügbar gemachte Dashboards ermöglichen den nicht authentifizierten Zugriff auf die Clusterverwaltung und stellen eine Sicherheitsbedrohung dar.

MITRE-Taktiken: Erstzugriff

Schweregrad: hoch

Exposed Kubernetes service detected (Verfügbar gemachter Kubernetes-Dienst erkannt)

(K8S_ExposedService)

Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat die Exposition eines Diensts durch einen Lastenausgleich erkannt. Dieser Dienst bezieht sich auf eine vertrauliche Anwendung, die Vorgänge mit schwerwiegenden Auswirkungen im Cluster ermöglicht, z. B. das Ausführen von Prozessen auf dem Knoten oder das Erstellen neuer Container. In einigen Fällen ist für diesen Dienst keine Authentifizierung erforderlich. Wenn für den Dienst keine Authentifizierung erforderlich ist, stellt das Verfügbarmachen des Diensts im Internet ein Sicherheitsrisiko dar.

MITRE-Taktiken: Erstzugriff

Schweregrad: Mittel

Exposed Redis service in AKS detected (Verfügbar gemachter Redis-Dienst in AKS erkannt)

(K8S_ExposedRedis)

Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat die Exposition eines Redis-Diensts durch einen Lastenausgleich erkannt. Wenn für den Dienst keine Authentifizierung erforderlich ist, stellt das Verfügbarmachen des Diensts im Internet ein Sicherheitsrisiko dar.

MITRE-Taktiken: Erstzugriff

Schweregrad: Niedrig

Mit dem DDOS-Toolkit verbundene Indikatoren erkannt

(K8S.NODE_KnownLinuxDDoSToolkit) ¹

Beschreibung: Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat Dateinamen erkannt, die Teil eines Toolkits sind, das mit Schadsoftware verbunden ist, die DDoS-Angriffe starten, Ports und Dienste öffnen und die vollständige Kontrolle über das infizierte System übernehmen. Dies könnte möglicherweise auch eine legitime Aktivität sein.

MITRE-Taktiken: Persistenz, LateralMovement, Ausführung, Ausbeutung

Schweregrad: Mittel

K8S-API-Anforderungen über Proxy-IP-Adresse erkannt

(K8S_TI_Proxy) ³

Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat API-Anforderungen an Ihren Cluster von einer IP-Adresse erkannt, die proxydiensten zugeordnet ist, z. B. TOR. Obwohl dieses Verhalten legitim sein kann, wird es oft mit bösartigen Aktivitäten in Verbindung gebracht, wenn Angreifer versuchen, ihre Quell-IP zu verbergen.

MITRE-Taktiken: Ausführung

Schweregrad: Niedrig

Gelöschte Kubernetes-Ereignisse

(K8S_DeleteEvents) ^{2 3}

Beschreibung: Defender für Cloud hat festgestellt, dass einige Kubernetes-Ereignisse gelöscht wurden. Kubernetes-Ereignisse sind Objekte in Kubernetes, die Informationen zu Änderungen im Cluster enthalten. Angreifer können diese Ereignisse löschen, um ihre Vorgänge im Cluster zu verbergen.

MITRE-Taktiken: Verteidigungshinterziehung

Schweregrad: Niedrig

Erkannte Tools für Kubernetes-Penetrationstests

(K8S_PenTestToolsKubeHunter)

Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat die Verwendung des Kubernetes-Penetrationstesttools im AKS-Cluster erkannt. Dieses Verhalten kann zwar legitim sein, aber Angreifer können solche öffentlichen Tools für böswillige Zwecke nutzen.

MITRE-Taktiken: Ausführung

Schweregrad: Niedrig

Microsoft Defender für Cloud-Testwarnung (keine Bedrohung)

(K8S.NODE_EICAR) ¹

Beschreibung: Dies ist eine Testwarnung, die von Microsoft Defender für Cloud generiert wird. Weitere Schritte sind nicht erforderlich.

MITRE-Taktiken: Ausführung

Schweregrad: hoch

New container in the kube-system namespace detected (Neuen Container im Namespace „kube-system“ erkannt)

(K8S_KubeSystemContainer) ³

Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat einen neuen Container im Kube-System-Namespace erkannt, der sich nicht unter den Containern befindet, die normalerweise in diesem Namespace ausgeführt werden. Die kube-system-Namespaces sollten keine Benutzerressourcen enthalten. Angreifer können diesen Namespace verwenden, um darin schädliche Komponenten zu verbergen.

MITRE-Taktiken: Persistenz

Schweregrad: Informational

New high privileges role detected (Neue Rolle mit hohen Berechtigungen erkannt)

(K8S_HighPrivilegesRole) ³

Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat eine neue Rolle mit hohen Berechtigungen erkannt. Eine Bindung an eine Rolle mit hohen Berechtigungen führt dazu, dass der Benutzer bzw. die Gruppe im Cluster über eine höhere Berechtigungsebene verfügt. Unnötige Berechtigungen können zu einer Rechteausweitung im Cluster führen.

MITRE-Taktiken: Persistenz

Schweregrad: Informational

Mögliches Angriffstool erkannt

(K8S.NODE_KnownLinuxAttackTool) ¹

Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat einen verdächtigen Toolaufruf erkannt. Dieses Tool wird häufig mit schädlichen Benutzern in Verbindung gebracht, die andere angreifen.

MITRE-Taktiken: Ausführung, Sammlung, Befehl und Kontrolle, Probing

Schweregrad: Mittel

Mögliche Hintertür erkannt

(K8S.NODE_LinuxBackdoorArtifact) ¹

Beschreibung: Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat festgestellt, dass eine verdächtige Datei heruntergeladen und ausgeführt wird. Diese Aktivität war in der Vergangenheit mit der Installation einer Hintertür verbunden.

MITRE-Taktiken: Persistenz, DefenseEvasion, Ausführung, Ausbeutung

Schweregrad: Mittel

Möglicher Versuch zur Ausnutzung der Befehlszeile

(K8S.NODE_ExploitAttempt) ¹

Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat einen möglichen Ausbeutungsversuch gegen eine bekannte Sicherheitsanfälligkeit erkannt.

MITRE-Taktiken: Ausbeutung

Schweregrad: Mittel

Mögliches Tool für den Zugriff auf Anmeldeinformationen erkannt

(K8S.NODE_KnownLinuxCredentialAccessTool) ¹

Beschreibung: Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat festgestellt, dass ein mögliches bekanntes Anmeldeinformationszugriffstool auf dem Container ausgeführt wurde, wie durch das angegebene Prozess- und Befehlszeilenverlaufselement identifiziert wurde. Dieses Tool wird häufig mit den Versuchen von Angreifern in Verbindung gebracht, auf Anmeldeinformationen zuzugreifen.

MITRE-Taktiken: CredentialAccess

Schweregrad: Mittel

Möglicher Cryptocoinminer-Download erkannt

(K8S.NODE_CryptoCoinMinerDownload) ¹

Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat den Download einer Datei erkannt, die normalerweise mit dem digitalen Währungsmining verknüpft ist.

MITRE-Taktiken: DefenseEvasion, Command And Control, Exploitation

Schweregrad: Mittel

Mögliche Aktivität zur Protokollmanipulation erkannt

(K8S.NODE_SystemLogRemoval) ¹

Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine mögliche Entfernung von Dateien erkannt, die die Aktivitäten des Benutzers während des Vorgangs nachverfolgen. Angreifer versuchen häufig, sich der Erkennung zu entziehen und hinterlassen keine Spuren schädlicher Aktivitäten, indem sie solche Protokolldateien löschen.

MITRE-Taktiken: DefenseEvasion

Schweregrad: Mittel

Mögliche Kennwortänderung durch crypt-Methode erkannt

(K8S.NODE_SuspectPasswordChange) ¹

Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine Kennwortänderung mithilfe der Verschlüsselungsmethode erkannt. Angreifer können diese Änderung vornehmen, um auch nach einer Kompromittierung weiterhin Zugang und Persistenz zu erreichen.

MITRE-Taktiken: CredentialAccess

Schweregrad: Mittel

Potential port forwarding to external IP address (Potenzielle Portweiterleitung an eine externe IP-Adresse)

(K8S.NODE_SuspectPortForwarding) ¹

Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine Initiierung der Portweiterleitung an eine externe IP-Adresse erkannt.

MITRE-Taktiken: Exfiltration, Befehl und Kontrolle

Schweregrad: Mittel

Mögliche Reverse Shell erkannt

(K8S.NODE_ReverseShell) ¹

Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine potenzielle Reverseshell erkannt. Diese werden verwendet, um einen kompromittierten Computer dazu zu bringen, einen Computer zurückzurufen, der im Besitz eines Angreifers ist.

MITRE-Taktiken: Exfiltration, Ausbeutung

Schweregrad: Mittel

Privileged Container Detected (Privilegierter Container erkannt)

(K8S_PrivilegedContainer)

Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat einen neuen privilegierten Container erkannt. Mit einem privilegierten Container besteht Zugriff auf die Ressourcen des Knotens, und die Isolation der Container wird aufgelöst. Im Falle einer Kompromittierung kann ein Angreifer den privilegierten Container verwenden, um Zugriff auf den Knoten zu erhalten.

MITRE-Taktiken: Berechtigungseskalation

Schweregrad: Informational

Process associated with digital currency mining detected (Prozess erkannt, der mit digitalem Währungs-Mining assoziiert wird)

(K8S.NODE_CryptoCoinMinerArtifacts) ¹

Beschreibung: Die Analyse von Prozessen, die in einem Container ausgeführt werden, hat die Ausführung eines Prozesses erkannt, der normalerweise mit dem Digitalen Währungsmining verbunden ist.

MITRE-Taktiken: Ausführung, Ausbeutung

Schweregrad: Mittel

Process seen accessing the SSH authorized keys file in an unusual way (Ein Prozess hat auf ungewöhnliche Weise auf eine Datei mit autorisierten SSH-Schlüsseln zugegriffen.)

(K8S.NODE_SshKeyAccess) ¹

Beschreibung: Auf eine SSH-authorized_keys Datei wurde in einer Methode zugegriffen, die bekannten Schadsoftwarekampagnen ähnelt. Dieser Zugriff deutet möglicherweise darauf hin, dass ein Akteur versucht, sich dauerhaft Zugang zu einem Computer zu verschaffen.

MITRE-Taktiken: Unbekannt

Schweregrad: Informational

Role binding to the cluster-admin role detected (Rollenbindung an Clusteradministratorrolle erkannt)

(K8S_ClusterAdminBinding)

Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat eine neue Bindung an die Clusteradministratorrolle erkannt, die Administratorrechte gewährt. Unnötige Administratorberechtigungen können zu einer Rechteausweitung im Cluster führen.

MITRE-Taktiken: Persistenz, PrivilegeEscalation

Schweregrad: Informational

Sicherheitsbezogene Prozessbeendigung erkannt

(K8S.NODE_SuspectProcessTermination) ¹

Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat einen Versuch erkannt, Prozesse im Zusammenhang mit der Sicherheitsüberwachung auf dem Container zu beenden. Angreifer versuchen häufig, solche Prozesse mithilfe vordefinierter Skripts nach einer Kompromittierung zu beenden.

MITRE-Taktiken: Persistenz

Schweregrad: Niedrig

SSH server is running inside a container (SSH-Server wird in einem Container ausgeführt)

(K8S.NODE_ContainerSSH) ¹

Beschreibung: Die Analyse von Prozessen, die in einem Container ausgeführt werden, hat einen SSH-Server erkannt, der innerhalb des Containers ausgeführt wird.

MITRE-Taktiken: Ausführung

Schweregrad: Informational

Suspicious file timestamp modification (Verdächtige Änderung von Dateizeitstempeln)

(K8S.NODE_TimestampTampering) ¹

Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine verdächtige Zeitstempeländerung erkannt. Angreifer kopieren oftmals Zeitstempel aus vorhandenen legitimen Dateien in neue Tools, um die Erkennung dieser neu abgelegten Dateien zu verhindern.

MITRE-Taktiken: Persistenz, DefenseEvasion

Schweregrad: Niedrig

Suspicious request to Kubernetes API (Verdächtige Anforderung an Kubernetes-API)

(K8S.NODE_KubernetesAPI) ¹

Beschreibung: Die Analyse von Prozessen, die in einem Container ausgeführt werden, weist darauf hin, dass eine verdächtige Anforderung an die Kubernetes-API gestellt wurde. Die Anforderung wurde von einem Container im Cluster gesendet. Dieses Verhalten kann zwar beabsichtigt sein, aber es ist ggf. auch ein Hinweis darauf, dass im Cluster ein kompromittierter Container ausgeführt wird.

MITRE-Taktiken: LateralMovement

Schweregrad: Mittel

Suspicious request to the Kubernetes Dashboard (Verdächtige Anforderung an Kubernetes-Dashboard)

(K8S.NODE_KubernetesDashboard) ¹

Beschreibung: Analyse von Prozessen, die in einem Container ausgeführt werden, weist darauf hin, dass eine verdächtige Anforderung an das Kubernetes-Dashboard gestellt wurde. Die Anforderung wurde von einem Container im Cluster gesendet. Dieses Verhalten kann zwar beabsichtigt sein, aber es ist ggf. auch ein Hinweis darauf, dass im Cluster ein kompromittierter Container ausgeführt wird.

MITRE-Taktiken: LateralMovement

Schweregrad: Mittel

Potenzieller Crypto Coin Miner gestartet

(K8S.NODE_CryptoCoinMinerExecution) ¹

Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat festgestellt, dass ein Prozess gestartet wird, der normalerweise mit dem Digitalen Währungsmining verbunden ist.

MITRE-Taktiken: Ausführung

Schweregrad: Mittel

Verdächtiger Kennwortzugriff

(K8S.NODE_SuspectPasswordFileAccess) ¹

Beschreibung: Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat verdächtigen Versuch erkannt, auf verschlüsselte Benutzerpasswörter zuzugreifen.

MITRE-Taktiken: Persistenz

Schweregrad: Informational

Mögliche schädliche Webshell erkannt

(K8S.NODE_Webshell) ¹

Beschreibung: Die Analyse von Prozessen, die in einem Container ausgeführt werden, hat eine mögliche Webshell erkannt. Angreifer laden häufig eine Webshell auf einen Computer hoch, den sie kompromittiert haben, um Persistenz zu erreichen oder um ihn weiter auszunutzen.

MITRE-Taktiken: Persistenz, Ausbeutung

Schweregrad: Mittel

Häufung mehrerer Aufklärungsbefehle könnte auf erste Aktivitäten nach der Kompromittierung hinweisen

(K8S.NODE_ReconnaissanceArtifactsBurst) ¹

Beschreibung: Analyse von Host-/Gerätedaten hat die Ausführung mehrerer Aufklärungsbefehle im Zusammenhang mit dem Sammeln von System- oder Hostdetails erkannt, die von Angreifern nach der ersten Kompromittierung ausgeführt werden.

MITRE-Taktiken: Ermittlung, Sammlung

Schweregrad: Niedrig

Verdächtige Aktivität „Datei herunterladen und ausführen“

(K8S.NODE_DownloadAndRunCombo) ¹

Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat festgestellt, dass eine Datei heruntergeladen wird, die dann im selben Befehl ausgeführt wird. Obwohl dies nicht immer bösartig ist, ist dies eine sehr gängige Technik, die Angreifer verwenden, um schädliche Dateien auf Opfercomputern zu erhalten.

MITRE-Taktiken: Ausführung, CommandAndControl, Exploitation

Schweregrad: Mittel

Zugriff auf die Datei kubelet.kubeconfig erkannt

(K8S.NODE_KubeConfigAccess) ¹

Beschreibung: Analyse von Prozessen, die auf einem Kubernetes-Clusterknoten ausgeführt werden, hat den Zugriff auf die Kubeconfig-Datei auf dem Host erkannt. Die Datei kubeconfig, die normalerweise vom Kubelet-Prozess verwendet wird, enthält Anmeldeinformationen für den API-Server des Kubernetes-Clusters. Der Zugriff auf diese Datei wird oft mit Angreifern in Verbindung gebracht, die versuchen, auf diese Anmeldeinformationen zuzugreifen, oder mit Sicherheitsscannern, die prüfen, ob die Datei zugänglich ist.

MITRE-Taktiken: CredentialAccess

Schweregrad: Mittel

Zugriff auf den Cloudmetadatendienst wurde erkannt

(K8S.NODE_ImdsCall) ¹

Beschreibung: Analyse von Prozessen, die in einem Container ausgeführt werden, hat den Zugriff auf den Cloudmetadatendienst zum Abrufen von Identitätstoken erkannt. Der Container führt solch einen Vorgang normalerweise nicht aus. Obwohl dieses Verhalten legitim sein könnte, könnten Angreifer diese Technik nutzen, um auf Cloudressourcen zuzugreifen, nachdem sie den ersten Zugriff auf einen ausgeführten Container erhalten haben.

MITRE-Taktiken: CredentialAccess

Schweregrad: Mittel

MITRE Caldera-Agent erkannt

(K8S.NODE_MitreCalderaTools) ¹

Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat einen verdächtigen Prozess erkannt. Dies ist häufig mit dem MITRE 54ndc47-Agent verbunden, der böswillig verwendet werden kann, um andere Computer anzugreifen.

MITRE-Taktiken: Persistenz, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation

Schweregrad: Mittel

¹: Vorschau für Nicht-AKS-Cluster: Diese Warnung ist allgemein für AKS-Cluster verfügbar, sie befindet sich jedoch in der Vorschau für andere Umgebungen, z. B. Azure Arc, EKS und GKE.

²: Einschränkungen für GKE-Cluster: GKE verwendet eine Kubernetes-Überwachungsrichtlinie, die nicht alle Warnungstypen unterstützt. Deshalb wird diese Sicherheitswarnung, die auf Kubernetes-Überwachungsereignissen basiert, bei GKE-Clustern nicht unterstützt.

³: Diese Warnung wird in Windows-Knoten/-Containern unterstützt.

Nächste Schritte

• Sicherheitswarnungen in Microsoft Defender für Cloud
• Verwalten von und Reagieren auf Sicherheitswarnungen in Microsoft Defender für Cloud
• Fortlaufender Export von Defender für Cloud-Daten