Оповещения для кластеров Kubernetes

  • Статья

Defender для контейнеров предоставляет расширенные возможности оповещений для угроз для уровня управления Kubernetes (K8s) и среды выполнения рабочей нагрузки. Microsoft Defender для конечной точки (MDE) и Аналитика угроз Microsoft Defender также обнаруживать угрозы, относящиеся к контейнерам K8s, а также в сочетании с датчиком Defender, предоставляют расширенный контекст для комплексных и практических оповещений для защиты среды K8s.

Обнаружение плоскости управления

В Kubernetes плоскость управления управляет всеми ресурсами в кластере и управляет ими. Defender для контейнеров определяет потенциальные угрозы в плоскости управления, которые могут компрометации безопасности и целостности всего кластера путем мониторинга действий сервера API K8s. Критические события фиксируются, которые указывают на потенциальные угрозы безопасности, такие как подозрительные операции с помощью учетных записей служб или раскрытия служб.

Ниже приведены примеры подозрительных операций, захваченных Defender для контейнеров:

  • Развертывания привилегированных контейнеров могут быть угрозой безопасности, так как они предоставляют контейнерам повышенные привилегии в системе узла. Привилегированные контейнеры отслеживаются для несанкционированных развертываний, чрезмерного использования привилегий и потенциальных ошибок конфигурации, которые могут привести к нарушениям безопасности.
  • Рискованные уязвимости службы в общедоступном Интернете могут предоставлять кластеру Kubernetes потенциальные атаки. Кластер отслеживается для служб, которые непреднамеренно предоставляются, неправильно настроены с чрезмерными средствами управления доступом или не имеют надлежащих мер безопасности.
  • Подозрительные действия учетной записи службы могут указывать на несанкционированный доступ или вредоносное поведение в кластере. Кластер отслеживается для необычных шаблонов, таких как чрезмерные запросы ресурсов, несанкционированные вызовы API или доступ к конфиденциальным данным.

Обнаружение среды выполнения рабочей нагрузки

Defender для контейнеров использует датчик Defender для мониторинга активности среды выполнения рабочей нагрузки K8s для обнаружения подозрительных операций, включая события создания рабочих нагрузок.

Примерами подозрительных действий среды выполнения рабочей нагрузки являются:

  • Действие веб-оболочки — Defender для контейнеров отслеживает действие на запущенных контейнерах, чтобы определить поведение, похожее на вызовы веб-оболочки.
  • Действие интеллектуального анализа шифрования — Defender для контейнеров использует несколько эвристических средств для выявления активности криптографического анализа данных на запущенных контейнерах, включая подозрительные действия загрузки, оптимизацию ЦП, подозрительное выполнение процесса и многое другое.
  • Средства проверки сети — Defender для контейнеров определяет использование средств сканирования, которые использовались для вредоносных действий.
  • Обнаружение двоичного смещения — Defender для облака определяет выполнение двоичных файлов рабочей нагрузки, которые были перемещены с исходного образа контейнера. Дополнительные сведения см. в статье об обнаружении смещения двоичных файлов.

Средство моделирования оповещений K8s

Defender для контейнеров предоставляет средство для имитации различных сценариев атак в среде K8s, что приводит к созданию оповещений. Средство моделирования развертывает два модуля pod в целевом кластере: злоумышленник и жертва. Во время имитации злоумышленник "атакует" жертву с помощью реальных методов.

Примечание.

Хотя средство моделирования не запускает вредоносные компоненты, рекомендуется запускать его в выделенном кластере без рабочих нагрузок рабочей среды.

Средство моделирования запускается с помощью интерфейса командной строки на основе Python, который развертывает диаграммы Helm в целевом кластере.

Установка средства моделирования

  1. Необходимые условия:

    • Пользователь с разрешениями администратора в целевом кластере.

    • Защитник для контейнеров включен, а датчик Defender также установлен. Вы можете проверить, установлен ли датчик Defender, выполнив следующую команду:

      kubectl get ds microsoft-defender-collector-ds -n kube-system

    • Клиент Helm устанавливается на локальном компьютере.

    • Python версии 3.7 или более поздней устанавливается на локальном компьютере.

  2. Наведите указатель kubeconfig на целевой кластер. Для Служба Azure Kubernetes можно выполнить следующее:

    az aks get-credentials --name [cluster-name] --resource-group [resource-group]

  3. Скачайте средство моделирования с помощью следующей команды:

    curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py

Запуск средства моделирования

  1. Запустите скрипт моделирования с помощью следующей команды: python simulation.py

  2. Выберите имитированный сценарий атаки или имитируйте все сценарии атаки одновременно. Доступные имитированные сценарии атаки:

Сценарий Ожидаемые оповещения
Разведка Обнаружена возможная активность Веб-оболочки
Обнаружена подозрительная операция учетной записи службы Kubernetes
Обнаружен инструмент проверки сети
Боковое движение Обнаружена возможная активность Веб-оболочки
Обнаружен доступ к облачной службе метаданных
Сбор секретов Обнаружена возможная активность Веб-оболочки
Обнаружен доступ к конфиденциальным файлам
Обнаружена возможная разведывательная разведка секретов
Интеллектуальный анализ криптографии Обнаружена возможная активность Веб-оболочки
Обнаружена оптимизация ЦП Kubernetes
Команда в доступе к контейнеру ld.so.preload
Обнаружено возможное скачивание криптографических шахтеров
Двоичный файл смещения, обнаруженный в контейнере
Веб-оболочка. Обнаружена возможная активность Веб-оболочки

Примечание.

Хотя некоторые оповещения активируются почти в режиме реального времени, другие могут занять до часа.

Следующие шаги