コンテナーのアラート - Kubernetes クラスター

この記事では、Microsoft Defender for Cloud からコンテナーと Kubernetes クラスターに対して取得できるセキュリティ アラートと、有効にしたすべての Microsoft Defender プランの一覧を示します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。

これらのアラートに対応する方法については、こちらを参照してください。

アラートをエクスポートする方法については、こちらを参照してください。

コンテナーと Kubernetes クラスターのアラート

Microsoft Defender for Containers では、コントロール プレーン (API サーバー) とコンテナー化されたワークロード自体の両方を監視することで、クラスター レベルと基になるクラスター ノードのセキュリティ アラートを提供します。 コントロール プレーンのセキュリティ アラートは、アラートの種類の K8S_ プレフィックスで見分けることができます。 クラスター内のランタイム ワークロードのセキュリティ アラートは、アラートの種類の K8S.NODE_ プレフィックスで見分けることができます。 特に指定がない限り、すべてのアラートは Linux でのみサポートされます。

詳細な説明と注意

Exposed Postgres service with trust authentication configuration in Kubernetes detected (Preview) (Kubernetes で信頼認証構成を使用した Postgres サービスの公開が検出されました (プレビュー))

(K8S_ExposedPostgresTrustAuth)

説明: Kubernetes クラスター構成分析で、ロード バランサーによる Postgres サービスの公開が検出されました。 このサービスは、資格情報を必要としない信頼認証方式を使用して構成されています。

MITRE の戦術: InitialAccess

重大度: 中

Exposed Postgres service with risky configuration in Kubernetes detected (Preview) (Kubernetes で危険な構成を持つ Postgres サービスの公開が検出さました (プレビュー))

(K8S_ExposedPostgresBroadIPRange)

説明: Kubernetes クラスター構成分析で、危険な構成を持つロード バランサーによる Postgres サービスの公開が検出されました。 このサービスを広範囲の IP アドレスに公開すると、セキュリティ リスクが発生します。

MITRE の戦術: InitialAccess

重大度: 中

Attempt to create a new Linux namespace from a container detected （新しい Linux 名前空間をコンテナーから作成する試みの検出）

(K8S.NODE_NamespaceCreation) ¹

説明: Kubernetes クラスター内のコンテナー内で実行されているプロセスの分析で、新しい Linux 名前空間を作成しようとしました。 これは正当な動作である場合と、攻撃者がコンテナーからノードに逃れようとしていることを示している場合があります。 一部の CVE-2022-0185 の悪用では、この手法を使用します。

MITRE の戦術: PrivilegeEscalation

重大度: 情報

A history file has been cleared （履歴ファイルが消去されました）

(K8S.NODE_HistoryFileCleared) ¹

説明: コンテナー内または Kubernetes ノード上で直接実行されているプロセスの分析により、コマンド履歴ログ ファイルがクリアされたことが検出されました。 攻撃者は、自分のトラックをカバーするためにこれを行う可能性があります。 この操作は、指定されたユーザー アカウントによって実行されました。

MITRE 戦術: DefenseEvasion

重大度: 中

Abnormal activity of managed identity associated with Kubernetes (Preview)(Kubernetes に関連付けられたマネージド ID の異常なアクティビティ (プレビュー))

(K8S_AbnormalMiActivity)

説明: Azure Resource Manager 操作の分析で、AKS アドオンによって使用されるマネージド ID の異常な動作が検出されました。 検出されたアクティビティは、関連付けられているアドオンの動作と一致しません。 このアクティビティは正当である可能性もありますが、このような動作は、Kubernetes クラスター内の侵害されたコンテナーで攻撃者が ID を取得したことを示している場合があります。

MITRE 戦術: 横移動

重大度: 中

Abnormal Kubernetes service account operation detected (異常な Kubernetes サービス アカウントの操作が検出されました)

(K8S_ServiceAccountRareOperation)

説明: Kubernetes 監査ログ分析で、Kubernetes クラスター内のサービス アカウントによる異常な動作が検出されました。 サービス アカウントが、このサービス アカウントではあまり使用されない操作に使用されました。 このアクティビティは正当である可能性もありますが、このような動作は、サービス アカウントが悪意のある目的で使用されていることを示している場合があります。

MITRE の戦術: 横移動、資格情報アクセス

重大度: 中

An uncommon connection attempt detected (一般的でない接続試行が検出されました)

(K8S.NODE_SuspectConnection) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、ソックス プロトコルを使用する一般的でない接続試行が検出されました。 これは、通常の操作ではほとんど見られませんが、ネットワーク層の検出を回避しようとする攻撃者の既知の手法です。

MITRE の戦術: 実行、流出、悪用

重大度: 中

Attempt to stop apt-daily-upgrade.timer service detected (apt-daily-upgrade.timer サービスの停止の試行が検出されました)

(K8S.NODE_TimerServiceDisabled) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、apt-daily-upgrade.timer サービスを停止する試行が検出されました。 攻撃者がこのサービスを停止して悪意のあるファイルをダウンロードし、攻撃のために実行特権を付与することが確認されています。 このアクティビティは、通常の管理アクションによってサービスが更新された場合にも発生する可能性があります。

MITRE 戦術: DefenseEvasion

重大度: 情報

Behavior similar to common Linux bots detected (Preview) (一般的な Linux ボットに似た動作が検出されました (プレビュー))

(K8S.NODE_CommonBot)

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析により、通常は一般的な Linux ボットネットに関連付けられているプロセスの実行が検出されました。

MITRE の戦術: 実行、収集、コマンド、制御

重大度: 中

Command within a container running with high privileges (コンテナー内でコマンドが高い特権で実行されています)

(K8S.NODE_PrivilegedExecutionInContainer) ¹

説明: マシン ログは、特権コマンドが Docker コンテナーで実行されたことを示します。 特権コマンドには、ホスト マシンに対する拡張特権があります。

MITRE の戦術: PrivilegeEscalation

重大度: 情報

Container running in privileged mode (コンテナーが特権モードで実行されています）

(K8S.NODE_PrivilegedContainerArtifacts) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、特権コンテナーを実行している Docker コマンドの実行が検出されました。 特権コンテナーには、ホスティング ポッドまたはホスト リソースへのフル アクセス権があります。 侵害された場合、攻撃者は特権コンテナーを使用してホスティング ポッドまたはホストにアクセスする可能性があります。

MITRE の戦術: PrivilegeEscalation、Execution

重大度: 情報

Container with a sensitive volume mount detected (機密のボリューム マウントを持つコンテナーが検出されました)

(K8S_SensitiveMount)

説明: Kubernetes 監査ログ分析で、機密性の高いボリューム マウントを持つ新しいコンテナーが検出されました。 検出されたボリュームは、機密性の高いファイルまたはフォルダーをノードからコンテナーにマウントする hostPath 型です。 コンテナーが侵害された場合、攻撃者はノードにアクセスするためにこのマウントを使用することができます。

MITRE の戦術: 特権エスカレーション

重大度: 情報

CoreDNS modification in Kubernetes detected (Kubernetes で CoreDNS の変更が検出されました)

(K8S_CoreDnsModification) ^{2 3}

説明: Kubernetes 監査ログ分析で CoreDNS 構成の変更が検出されました。 CoreDNS の構成は、その configmap をオーバーライドすることによって変更できます。 このアクティビティは、正当である可能性もありますが、攻撃者が configmap を変更する権限を持っている場合、攻撃者はクラスターの DNS サーバーの動作を変更してこれを汚染する可能性があります。

MITRE 戦術: 横移動

重大度: 低

Creation of admission webhook configuration detected (アドミッション Webhook 構成の作成が検出されました)

(K8S_AdmissionController) ³

説明: Kubernetes 監査ログ分析で、新しいアドミッション Webhook 構成が検出されました。 Kubernetes には、MutatingAdmissionWebhook と ValidatingAdmissionWebhook という 2 つの組み込み汎用アドミッション コントローラーがあります。 これらのアドミッション コントローラーの動作は、ユーザーがクラスターにデプロイするアドミッション Webhook によって決まります。 このようなアドミッション コントローラーの使用は、正当である可能性もありますが、攻撃者は、このような Webhook を使用して、要求を変更することも (MutatingAdmissionWebhook の場合)、要求を検査して機密情報を取得することもできます (ValidatingAdmissionWebhook の場合)。

MITRE の戦術: 資格情報アクセス、永続化

重大度: 情報

Detected file download from a known malicious source (既知の悪意のあるソースからファイルのダウンロードが検出されました)

(K8S.NODE_SuspectDownload) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析により、マルウェアの配布に頻繁に使用されるソースからのファイルのダウンロードが検出されました。

MITRE の戦術: PrivilegeEscalation、Execution、Exfiltration、Command and Control

重大度: 中

Detected suspicious file download (不審なファイルのダウンロードが検出されました)

(K8S.NODE_SuspectDownloadArtifacts) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、リモート ファイルの疑わしいダウンロードが検出されました。

MITRE の戦術: 永続化

重大度: 情報

Detected suspicious use of the nohup command (nohup コマンドの不審な使用が検出されました)

(K8S.NODE_SuspectNohup) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、nohup コマンドの疑わしい使用が検出されました。 攻撃者は、nohup コマンドを使用して一時ディレクトリから隠しファイルを実行し、実行可能ファイルをバックグラウンドで実行できるようにすることが確認されています。 一時ディレクトリにある隠しファイルに対してこのコマンドを実行することはほとんどありません。

MITRE の戦術: 永続化、防御の取り込み

重大度: 中

Detected suspicious use of the useradd command (useradd コマンドの不審な使用が検出されました)

(K8S.NODE_SuspectUserAddition) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、useradd コマンドの疑わしい使用が検出されました。

MITRE の戦術: 永続化

重大度: 中

Digital currency mining container detected (デジタル通貨マイニング コンテナーが検出されました)

(K8S_MaliciousContainerImage) ³

説明: Kubernetes 監査ログ分析で、デジタル通貨マイニング ツールに関連付けられたイメージを持つコンテナーが検出されました。

MITRE の戦術: 実行

重大度: 高

Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました)

(K8S.NODE_DigitalCurrencyMining) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、通常はデジタル通貨マイニングに関連付けられているプロセスまたはコマンドの実行が検出されました。

MITRE の戦術: 実行

重大度: 高

Docker build operation detected on a Kubernetes node (Kubernetes ノードで Docker のビルド操作が検出されました)

(K8S.NODE_ImageBuildOnNode) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、Kubernetes ノード上のコンテナー イメージのビルド操作が検出されました。 この動作は、正当である可能性もありますが、攻撃者は、検出を回避するために、悪意のあるイメージをローカルにビルドする可能性があります。

MITRE 戦術: DefenseEvasion

重大度: 情報

Exposed Kubeflow dashboard detected (Kubeflow ダッシュボードの公開が検出されました)

(K8S_ExposedKubeflow)

説明: Kubernetes 監査ログ分析で、Kubeflow を実行するクラスター内のロード バランサーによる Istio イングレスの露出が検出されました。 このアクションにより、Kubeflow ダッシュボードがインターネットに公開される可能性があります。 ダッシュボードがインターネットに公開されると、攻撃者がアクセスし、クラスター上で悪意のあるコンテナーやコードを実行するおそれがあります。 詳細については、 https://www.microsoft.com/en-us/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/ の記事を参照してください

MITRE の戦術: 初期アクセス

重大度: 中

Exposed Kubernetes dashboard detected (公開された Kubernetes ダッシュボードが検出されました)

(K8S_ExposedDashboard)

説明: Kubernetes 監査ログ分析で、LoadBalancer サービスによる Kubernetes ダッシュボードの公開が検出されました。 ダッシュボードが公開されると、クラスター管理への認証されていないアクセスが可能になり、セキュリティ上の脅威が生じます。

MITRE の戦術: 初期アクセス

重大度: 高

Exposed Kubernetes service detected (Kubernetes サービスの公開が検出されました)

(K8S_ExposedService)

説明: Kubernetes 監査ログ分析で、ロード バランサーによるサービスの公開が検出されました。 このサービスは、ノードでのプロセスの実行や新しいコンテナーの作成など、クラスター内で影響の大きい操作を許可する機密性の高いアプリケーションに関連しています。 場合によっては、このサービスは認証を要求しません。 サービスが認証を要求しない場合、インターネットに公開するとセキュリティ リスクが生じます。

MITRE の戦術: 初期アクセス

重大度: 中

Exposed Redis service in AKS detected (AKS での Redis サービスの公開が検出されました)

(K8S_ExposedRedis)

説明: Kubernetes 監査ログ分析で、ロード バランサーによる Redis サービスの公開が検出されました。 サービスが認証を要求しない場合、インターネットに公開するとセキュリティ リスクが生じます。

MITRE の戦術: 初期アクセス

重大度: 低

Indicators associated with DDOS toolkit detected (DDOS ツールキットに関連付けられているインジケーターが検出されました)

(K8S.NODE_KnownLinuxDDoSToolkit) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析により、DDoS 攻撃を開始し、ポートとサービスを開き、感染したシステムを完全に制御できるマルウェアに関連付けられたツールキットの一部であるファイル名が検出されました。 これは、正当なアクティビティである可能性もあります。

MITRE の戦術: 永続化、LateralMovement、Execution、Exploitation

重大度: 中

K8S API requests from proxy IP address detected (プロキシ IP アドレスからの K8S API 要求が検出されました)

(K8S_TI_Proxy) ³

説明: Kubernetes 監査ログ分析で、TOR などのプロキシ サービスに関連付けられている IP アドレスからクラスターへの API 要求が検出されました。 この動作は、正当である可能性もありますが、悪意のあるアクティビティで攻撃者がソース IP を隠そうとするときによく見られます。

MITRE の戦術: 実行

重大度: 低

Kubernetes events deleted (Kubernetes イベントが削除されました)

(K8S_DeleteEvents) ^{2 3}

説明: 一部の Kubernetes イベントが削除されたことが Defender for Cloud で検出されました。 Kubernetes イベントは、クラスター内の変更に関する情報を含む Kubernetes のオブジェクトです。 攻撃者は、クラスター内での操作を隠すためにこれらのイベントを削除する可能性があります。

MITRE 戦術: 防御回避

重大度: 低

Kubernetes penetration testing tool detected (Kubernetes 侵入テスト ツールが検出されました)

(K8S_PenTestToolsKubeHunter)

説明: Kubernetes 監査ログ分析で、AKS クラスターでの Kubernetes 侵入テスト ツールの使用状況が検出されました。 この動作は、正当である可能性もありますが、攻撃者はこのような公開ツールを悪意のある目的で使用する可能性があります。

MITRE の戦術: 実行

重大度: 低

Microsoft Defender for Cloud のテスト アラート (脅威ではありません)

(K8S.NODE_EICAR) ¹

説明: これは、Microsoft Defender for Cloud によって生成されるテスト アラートです。 これ以外の操作は必要ありません。

MITRE の戦術: 実行

重大度: 高

New container in the kube-system namespace detected (kube-system 名前空間で新しいコンテナーが検出されました)

(K8S_KubeSystemContainer) ³

説明: Kubernetes 監査ログ分析で、この名前空間で通常実行されるコンテナーの中にない kube-system 名前空間の新しいコンテナーが検出されました。 kube-system 名前空間にユーザー リソースを含めることはできません。 攻撃者は、悪意のあるコンポーネントを隠すためにこの名前空間を使用することができます。

MITRE の戦術: 永続化

重大度: 情報

New high privileges role detected (新しい高い特権のロールが検出されました)

(K8S_HighPrivilegesRole) ³

説明: Kubernetes 監査ログ分析で、高い特権を持つ新しいロールが検出されました。 高い特権が付与されているロールにバインドすると、クラスター内のユーザーやグループに高い特権が付与されます。 不必要な特権によって、クラスター内で特権エスカレーションが発生する可能性があります。

MITRE の戦術: 永続化

重大度: 情報

Possible attack tool detected (攻撃ツールの可能性が検出されました)

(K8S.NODE_KnownLinuxAttackTool) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、疑わしいツールの呼び出しが検出されました。 多くの場合、このツールは他のユーザーを攻撃する悪意のあるユーザーに関係します。

MITRE の戦術: 実行、コレクション、コマンドとコントロール、プローブ

重大度: 中

Possible backdoor detected (バックドアの可能性が検出されました)

(K8S.NODE_LinuxBackdoorArtifact) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、疑わしいファイルがダウンロードされて実行されていることが検出されました。 このアクティビティは、以前はバックドアのインストールに関連付けられていました。

MITRE の戦術: 永続化、防御の取り込み、実行、悪用

重大度: 中

Possible command line exploitation attempt (コマンド ラインの悪用試行の可能性があります)

(K8S.NODE_ExploitAttempt) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析により、既知の脆弱性に対する悪用試行の可能性が検出されました。

MITRE の戦術: 悪用

重大度: 中

Possible credential access tool detected (資格情報アクセス ツールの可能性が検出されました)

(K8S.NODE_KnownLinuxCredentialAccessTool) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、指定されたプロセスとコマンド ライン履歴項目で識別された、既知の資格情報アクセス ツールがコンテナーで実行されていた可能性があることを検出しました。 このツールは、攻撃者の資格情報へのアクセスの試行に関連付けられていることがよくあります。

MITRE の戦術: CredentialAccess

重大度: 中

Possible Cryptocoinminer download detected (Cryptocoinminer のダウンロードの可能性が検出されました)

(K8S.NODE_CryptoCoinMinerDownload) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析により、通常はデジタル通貨マイニングに関連付けられているファイルのダウンロードが検出されました。

MITRE 戦術: DefenseEvasion、Command and Control、Exploitation

重大度: 中

Possible Log Tampering Activity Detected (ログの改ざんアクティビティの可能性が検出されました)

(K8S.NODE_SystemLogRemoval) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析により、操作中にユーザーのアクティビティを追跡するファイルが削除される可能性が検出されました。 攻撃者は、検出を回避し、悪意のあるアクティビティの痕跡を残さないようにするため、このようなログ ファイルを削除することがよくあります。

MITRE 戦術: DefenseEvasion

重大度: 中

Possible password change using crypt-method detected (crypt メソッドを使用してパスワードが変更された可能性があることが検出されました)

(K8S.NODE_SuspectPasswordChange) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、crypt メソッドを使用してパスワードの変更が検出されました。 攻撃者は、アクセスを継続し、侵害後に永続化するために、この変更を行うことがあります。

MITRE の戦術: CredentialAccess

重大度: 中

Potential port forwarding to external IP address (外部 IP アドレスへのポート フォワーディングの可能性があります)

(K8S.NODE_SuspectPortForwarding) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、外部 IP アドレスへのポート転送の開始が検出されました。

MITRE の戦術: 流出、コマンドと制御

重大度: 中

Potential reverse shell detected (リバース シェルの可能性が検出されました)

(K8S.NODE_ReverseShell) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、逆シェルの可能性が検出されました。 これらは、攻撃者が所有しているマシンに、侵害されたマシンからコールバックするために使用されます。

MITRE の戦術: 流出、悪用

重大度: 中

Privileged Container Detected (特権コンテナーが検出されました)

(K8S_PrivilegedContainer)

説明: Kubernetes 監査ログ分析で、新しい特権コンテナーが検出されました。 特権コンテナーは、ノードのリソースにアクセスできるため、コンテナー間の分離が破壊されます。 侵害された場合、攻撃者はノードにアクセスするために、特権コンテナーを使用できます。

MITRE の戦術: 特権エスカレーション

重大度: 情報

Process associated with digital currency mining detected (デジタル通貨マイニングに関連するプロセスが検出されました)

(K8S.NODE_CryptoCoinMinerArtifacts) ¹

説明: コンテナー内で実行されているプロセスの分析により、通常はデジタル通貨マイニングに関連付けられているプロセスの実行が検出されました。

MITRE の戦術: 実行、悪用

重大度: 中

Process seen accessing the SSH authorized keys file in an unusual way (通常とは異なる方法で SSH 承認済みキー ファイルにアクセスするプロセスが確認されました)

(K8S.NODE_SshKeyAccess) ¹

説明: 既知のマルウェア キャンペーンと同様の方法で SSH authorized_keys ファイルにアクセスしました。 このアクセスは、アクターがマシンへの永続的なアクセスを取得しようとしていることを示している可能性があります。

MITRE 戦術: 不明

重大度: 情報

Role binding to the cluster-admin role detected (クラスター管理者ロールへのロール バインドが検出されました)

(K8S_ClusterAdminBinding)

説明: Kubernetes 監査ログ分析で、管理者特権を付与するクラスター管理者ロールへの新しいバインドが検出されました。 不必要な管理者特権によって、クラスター内で特権エスカレーションが発生する可能性があります。

MITRE の戦術: 永続化

重大度: 情報

Security-related process termination detected (セキュリティ関連のプロセスの終了が検出されました)

(K8S.NODE_SuspectProcessTermination) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、コンテナーのセキュリティ監視に関連するプロセスを終了する試行が検出されました。 多くの場合、攻撃者は事前に定義されたスクリプトを使用して、侵害後にこのようなプロセスを終了しようとします。

MITRE の戦術: 永続化

重大度: 低

SSH server is running inside a container (コンテナー内で SSH サーバーが実行されています)

(K8S.NODE_ContainerSSH) ¹

説明: コンテナー内で実行されているプロセスの分析で、コンテナー内で実行されている SSH サーバーが検出されました。

MITRE の戦術: 実行

重大度: 情報

Suspicious file timestamp modification (ファイルのタイムスタンプの不審な変更)

(K8S.NODE_TimestampTampering) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、疑わしいタイムスタンプの変更が検出されました。 攻撃者は、既存の正当なファイルから新しいツールにタイムスタンプをコピーして、これらの新しくドロップされたファイルの検出を回避することがよくあります。

MITRE の戦術: 永続化、防御の取り込み

重大度: 低

Suspicious request to Kubernetes API (Kubernetes API への疑わしい要求)

(K8S.NODE_KubernetesAPI) ¹

説明: コンテナー内で実行されているプロセスの分析は、Kubernetes API に対して疑わしい要求が行われたことを示します。 この要求は、クラスター内のコンテナーから送信されました。 この動作は意図的なものである場合もありますが、侵害されたコンテナーがクラスターで実行されていることを示している可能性があります。

MITRE の戦術: LateralMovement

重大度: 中

Suspicious request to the Kubernetes Dashboard (Kubernetes ダッシュボードへの不審な要求)

(K8S.NODE_KubernetesDashboard) ¹

説明: コンテナー内で実行されているプロセスの分析は、Kubernetes ダッシュボードに対して疑わしい要求が行われたことを示します。 この要求は、クラスター内のコンテナーから送信されました。 この動作は意図的なものである場合もありますが、侵害されたコンテナーがクラスターで実行されていることを示している可能性があります。

MITRE の戦術: LateralMovement

重大度: 中

Potential crypto coin miner started (暗号化コイン マイナーが起動された可能性があります)

(K8S.NODE_CryptoCoinMinerExecution) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析により、通常はデジタル通貨マイニングに関連付けられている方法でプロセスが開始されていることが検出されました。

MITRE の戦術: 実行

重大度: 中

Suspicious password access (不審なパスワード アクセス)

(K8S.NODE_SuspectPasswordFileAccess) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、暗号化されたユーザー パスワードへの疑わしいアクセス試行が検出されました。

MITRE の戦術: 永続化

重大度: 情報

Possible malicious web shell detected (悪意のある Web シェルの可能性が検出されました)

(K8S.NODE_Webshell) ¹

説明: コンテナー内で実行されているプロセスの分析で、Web シェルの可能性が検出されました。 攻撃者は、持続性を獲得したり、さらに悪用したりするために、侵害したコンピューティング リソースに Web シェルをアップロードすることがよくあります。

MITRE の戦術: 永続化、悪用

重大度: 中

Burst of multiple reconnaissance commands could indicate initial activity after compromise (複数の偵察コマンドのバーストは、侵害後の初期アクティビティを示している可能性があります)

(K8S.NODE_ReconnaissanceArtifactsBurst) ¹

説明: ホスト/デバイス データの分析により、最初の侵害後に攻撃者によって実行されたシステムまたはホストの詳細の収集に関連する複数の偵察コマンドの実行が検出されました。

MITRE の戦術: 検出、コレクション

重大度: 低

Suspicious Download Then Run Activity (不審なダウンロードして実行のアクティビティ)

(K8S.NODE_DownloadAndRunCombo) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、ファイルがダウンロードされ、同じコマンドで実行されていることが検出されました。 これは必ずしも悪意のあるものではありませんが、攻撃者が悪意のあるファイルを被害者のマシンに取り込むために使用する非常に一般的な手法です。

MITRE の戦術: 実行、CommandAndControl、悪用

重大度: 中

Access to kubelet kubeconfig file detected (kubelet kubeconfig ファイルへのアクセスが検出されました)

(K8S.NODE_KubeConfigAccess) ¹

説明: Kubernetes クラスター ノードで実行されているプロセスの分析で、ホスト上の kubeconfig ファイルへのアクセスが検出されました。 Kubelet プロセスで通常使用される kubeconfig ファイルには、Kubernetes クラスター API サーバーへの資格情報が含まれています。 このファイルへのアクセスは、多くの場合、攻撃者がそれらの資格情報にアクセスしようとしているか、ファイルにアクセスできるかどうかを確認するセキュリティ スキャン ツールに関連付けられます。

MITRE の戦術: CredentialAccess

重大度: 中

Access to cloud metadata service detected (クラウド メタデータ サービスへのアクセスが検出されました)

(K8S.NODE_ImdsCall) ¹

説明: コンテナー内で実行されているプロセスの分析により、ID トークンを取得するためのクラウド メタデータ サービスへのアクセスが検出されました。 コンテナーでは通常、このような操作は実行されません。 この動作は正当なものである可能性がありますが、攻撃者は、実行中のコンテナーに最初にアクセスした後、この手法を使用してクラウド リソースにアクセスする可能性があります。

MITRE の戦術: CredentialAccess

重大度: 中

MITRE Caldera agent detected (MITRE Caldera エージェントが検出されました)

(K8S.NODE_MitreCalderaTools) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、疑わしいプロセスが検出されました。 これは多くの場合、MITRE 54ndc47 エージェントに関連付けられています。これは、他のマシンを攻撃するために悪意を持って使用される可能性があります。

MITRE の戦術: 永続化、PrivilegeEscalation、DefenseEvasion、CredentialAccess、Discovery、LateralMovement、Execution、Collection、Exfiltration、Command and Control、Probing、Exploitation

重大度: 中

¹: AKS 以外のクラスターの プレビュー: このアラートは AKS クラスターで一般公開されていますが、Azure Arc、EKS、GKE などの他の環境ではプレビュー段階です。

²: GKE クラスターの制限事項: GKE で使用している Kubernetes 監査ポリシーは、すべてのアラートの種類はサポートしていません。 そのため、Kubernetes の監査イベントに基づくこのセキュリティ アラートは、GKE クラスターではサポートされていません。

³: このアラートは、Windows ノード/コンテナ―でサポートされています。

次のステップ

• Microsoft Defender for Cloud のセキュリティアラート
• Microsoft Defender for Cloud でのセキュリティの警告の管理と対応
• クラウドデータに対して Defender を継続的にエクスポートする