Avvisi per i cluster Kubernetes

  • Articolo

Defender per contenitori offre funzionalità di avviso avanzate per le minacce al piano di controllo Kubernetes (K8s) e al runtime del carico di lavoro. Microsoft Defender per endpoint (MDE) e Microsoft Defender Threat Intelligence rilevano anche le minacce rilevanti per i contenitori K8s e combinate con il sensore Defender, offrono un contesto arricchito per avvisi completi e interattivi per proteggere l'ambiente K8s.

Rilevamento del piano di controllo

In Kubernetes il piano di controllo gestisce e orchestra tutte le risorse all'interno del cluster. Defender per contenitori identifica le potenziali minacce nel piano di controllo che possono compromettere la sicurezza e l'integrità dell'intero cluster monitorando le attività del server API K8s. Gli eventi critici vengono acquisiti che indicano potenziali minacce alla sicurezza, ad esempio operazioni sospette da parte di account del servizio o esposizione dei servizi.

Esempi di operazioni sospette acquisite da Defender per contenitori includono:

  • Le distribuzioni di contenitori con privilegi possono essere un rischio per la sicurezza perché concedono ai contenitori privilegi elevati all'interno del sistema host. I contenitori con privilegi vengono monitorati per distribuzioni non autorizzate, un uso eccessivo dei privilegi e potenziali errori di configurazione che potrebbero causare violazioni della sicurezza.
  • Le esposizione a rischio del servizio a Internet pubblico possono esporre il cluster Kubernetes a potenziali attacchi. Il cluster viene monitorato per i servizi non intenzionalmente esposti, configurati in modo errato con controlli di accesso eccessivamente permissivi o senza misure di sicurezza appropriate.
  • Le attività degli account del servizio sospette possono indicare un accesso non autorizzato o un comportamento dannoso all'interno del cluster. Il cluster viene monitorato per modelli insoliti, ad esempio richieste di risorse eccessive, chiamate API non autorizzate o accesso ai dati sensibili.

Rilevamento del runtime del carico di lavoro

Defender per contenitori usa il sensore Defender per monitorare l'attività di runtime del carico di lavoro K8s per rilevare operazioni sospette, inclusi gli eventi di creazione del processo del carico di lavoro.

Esempi di attività di runtime del carico di lavoro sospette includono:

  • Attività della shell Web: Defender per contenitori monitora l'attività nei contenitori in esecuzione per identificare comportamenti simili alle chiamate della shell Web.
  • Attività di crypto mining: Defender per contenitori usa diverse euristiche per identificare l'attività di crypto mining nei contenitori in esecuzione, tra cui attività di download sospette, ottimizzazione della CPU, esecuzione di processi sospetti e altro ancora.
  • Strumenti di analisi di rete: Defender per contenitori identifica l'uso degli strumenti di analisi usati per attività dannose.
  • Rilevamento della deriva binaria: Defender per il cloud identifica l'esecuzione di file binari del carico di lavoro che hanno derivato dall'immagine del contenitore originale. Per altre informazioni, vedere Rilevamento deriva binaria.

Strumento di simulazione degli avvisi K8s

Defender per contenitori offre uno strumento per simulare vari scenari di attacco all'interno dell'ambiente K8s, causando la generazione di avvisi. Lo strumento di simulazione distribuisce due pod in un cluster di destinazione: utente malintenzionato e vittima. Durante la simulazione, l'utente malintenzionato "attacca" la vittima usando tecniche reali.

Nota

Anche se lo strumento di simulazione non esegue componenti dannosi, è consigliabile eseguirlo in un cluster dedicato senza carichi di lavoro di produzione.

Lo strumento di simulazione viene eseguito usando un'interfaccia della riga di comando basata su Python che distribuisce i grafici Helm nel cluster di destinazione.

Installare lo strumento di simulazione

  1. Prerequisiti:

    • Un utente con autorizzazioni di amministratore nel cluster di destinazione.

    • Defender per contenitori è abilitato e viene installato anche il sensore Defender. È possibile verificare che il sensore di Defender sia installato eseguendo:

      kubectl get ds microsoft-defender-collector-ds -n kube-system

    • Un client Helm viene installato nel computer locale.

    • Python versione 3.7 o successiva è installato nel computer locale.

  2. Puntare kubeconfig al cluster di destinazione. Per servizio Azure Kubernetes, è possibile eseguire:

    az aks get-credentials --name [cluster-name] --resource-group [resource-group]

  3. Scaricare lo strumento di simulazione con il comando seguente:

    curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py

Eseguire lo strumento di simulazione

  1. Eseguire lo script di simulazione con il comando seguente: python simulation.py

  2. Scegliere uno scenario di attacco simulato o scegliere di simulare tutti gli scenari di attacco contemporaneamente. Gli scenari di attacco simulati disponibili sono:

Scenario Avvisi previsti
Ricognizione Rilevata possibile attività di Web Shell
Rilevata operazione sospetta dell'account del servizio Kubernetes
Rilevato strumento di analisi di rete
Spostamento laterale Rilevata possibile attività di Web Shell
È stato rilevato l'accesso al servizio metadati cloud
Raccolta di segreti Rilevata possibile attività di Web Shell
Rilevato accesso ai file sensibili
Rilevata possibile ricognizione segreta
Crypto mining Rilevata possibile attività di Web Shell
È stata rilevata l'ottimizzazione della CPU Kubernetes
Comando all'interno di un contenitore a cui si accede ld.so.preload
Rilevato possibile download dei minatori di crittografia
Rilevato binario di deriva in esecuzione nel contenitore
Shell Web Rilevata possibile attività di Web Shell

Nota

Mentre alcuni avvisi vengono attivati quasi in tempo reale, altri potrebbero richiedere fino a un'ora.

Passaggi successivi