Kubernetes Kümeleri için uyarılar

  • Makale

Kapsayıcılar için Defender, Kubernetes (K8s) denetim düzlemine ve iş yükü çalışma zamanına yönelik tehditler için gelişmiş uyarı özellikleri sağlar. Uç Nokta için Microsoft Defender (MDE) ve Microsoft Defender Tehdit Analizi ayrıca K8s kapsayıcılarıyla ilgili tehditleri algılar ve Defender algılayıcısıyla birlikte K8s ortamınızı korumak için kapsamlı ve eyleme dönüştürülebilir uyarılar için zenginleştirilmiş bağlam sağlar.

Kontrol düzlemi algılama

Kubernetes'te, denetim düzlemi küme içindeki tüm kaynakları yönetir ve düzenler. Kapsayıcılar için Defender, denetim düzleminde K8s API sunucusunun etkinliklerini izleyerek tüm kümenin güvenliğini ve bütünlüğünü tehlikeye atabilecek olası tehditleri tanımlar. Hizmet hesaplarına göre şüpheli işlemler veya hizmetlerin açığa alınması gibi olası güvenlik tehditlerini gösteren kritik olaylar yakalanır.

Kapsayıcılar için Defender tarafından yakalanan şüpheli işlemlere örnek olarak şunlar verilebilir:

  • Ayrıcalıklı kapsayıcı dağıtımları , konak sistemi içinde kapsayıcılara yükseltilmiş ayrıcalıklar verdikleri için bir güvenlik riski oluşturabilir. Ayrıcalıklı kapsayıcılar yetkisiz dağıtımlar, aşırı ayrıcalık kullanımı ve güvenlik ihlallerine yol açabilecek olası yanlış yapılandırmalar için izlenir.
  • Genel İnternet'te riskli hizmet kullanıma sunulursa Kubernetes kümesi olası saldırılara maruz kalabilir. Küme, yanlışlıkla kullanıma sunulan, aşırı izin veren erişim denetimleriyle yanlış yapılandırılmış veya uygun güvenlik önlemleri olmayan hizmetler için izlenir.
  • Şüpheli hizmet hesabı etkinlikleri , küme içinde yetkisiz erişimi veya kötü amaçlı davranışı gösterebilir. Küme aşırı kaynak istekleri, yetkisiz API çağrıları veya hassas verilere erişim gibi olağan dışı desenler için izlenir.

İş yükü çalışma zamanı algılama

Kapsayıcılar için Defender, iş yükü süreci oluşturma olayları da dahil olmak üzere şüpheli işlemleri algılamak üzere K8s iş yükü çalışma zamanı etkinliğini izlemek için Defender algılayıcısını kullanır.

Şüpheli iş yükü çalışma zamanı etkinliğine örnek olarak şunlar verilebilir:

  • Web kabuğu etkinliği - Kapsayıcılar için Defender, web kabuğu çağrılarına benzeyen davranışları belirlemek için çalışan kapsayıcılardaki etkinliği izler.
  • Şifreleme madenciliği etkinliği - Kapsayıcılar için Defender, çalışan kapsayıcılardaki şifreleme madenciliği etkinliğini belirlemek için şüpheli indirme etkinliği, CPU iyileştirme, şüpheli işlem yürütme ve daha fazlası gibi çeşitli buluşsal yöntemler kullanır.
  • Ağ tarama araçları – Kapsayıcılar için Defender, kötü amaçlı etkinlikler için kullanılan tarama araçlarının kullanımını tanımlar.
  • İkili kayma algılama - Bulut için Defender, özgün kapsayıcı görüntüsünden sürüklenen iş yükü ikili dosyalarının yürütülmesini tanımlar. Daha fazla bilgi için İkili kayma algılama hakkında bilgi edinin.

K8s uyarıları simülasyon aracı

Kapsayıcılar için Defender, K8s ortamınızda çeşitli saldırı senaryolarının simülasyonunu yapmak için bir araç sağlar ve bu da uyarıların oluşturulmasına neden olur. Simülasyon aracı hedef kümeye iki pod dağıtır: saldırgan ve kurban. Simülasyon sırasında saldırgan, gerçek dünya tekniklerini kullanarak kurbana "saldırır".

Not

Simülasyon aracı kötü amaçlı bileşen çalıştırmasa da, bunu üretim iş yükleri olmadan ayrılmış bir kümede çalıştırmanız önerilir.

Simülasyon aracı, hedef kümede Helm grafiklerini dağıtan Python tabanlı bir CLI kullanarak çalışır.

Simülasyon aracını yükleme

  1. Ön koşullar:

    • Hedef küme üzerinde yönetici izinlerine sahip bir kullanıcı.

    • Kapsayıcılar için Defender etkinleştirilir ve Defender algılayıcısı da yüklenir. Şunu çalıştırarak Defender algılayıcısının yüklü olup olmadığını kontrol edebilirsiniz:

      kubectl get ds microsoft-defender-collector-ds -n kube-system

    • Yerel makinenize bir Helm istemcisi yüklenir.

    • Yerel makinenizde Python sürüm 3.7 veya üzeri yüklüdür.

  2. Hedef kümenin üzerine gelin kubeconfig . Azure Kubernetes Service için şunları çalıştırabilirsiniz:

    az aks get-credentials --name [cluster-name] --resource-group [resource-group]

  3. Simülasyon aracını aşağıdaki komutla indirin:

    curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py

Simülasyon aracını çalıştırma

  1. Simülasyon betiğini aşağıdaki komutla çalıştırın: python simulation.py

  2. Bir sanal saldırı senaryosu seçin veya tüm saldırı senaryolarının benzetimini aynı anda yapmayı seçin. Kullanılabilir sanal saldırı senaryoları şunlardır:

Senaryo Beklenen uyarılar
Keşif Olası Web Kabuğu etkinliği algılandı
Şüpheli Kubernetes hizmet hesabı işlemi algılandı
Ağ tarama aracı algılandı
YanAl Hareket Olası Web Kabuğu etkinliği algılandı
Bulut meta veri hizmetine erişim algılandı
Gizli Dizi Toplama Olası Web Kabuğu etkinliği algılandı
Hassas dosyalara erişim algılandı
Olası gizli dizi keşfi algılandı
Kripto madenciliği Olası Web Kabuğu etkinliği algılandı
Kubernetes CPU iyileştirmesi algılandı
Erişilen kapsayıcı içindeki komut ld.so.preload
Olası Kripto madencileri indirmesi algılandı
Kapsayıcıda yürütülürken bir kayma ikilisi algılandı
Web kabuğu Olası Web Kabuğu etkinliği algılandı

Not

Bazı uyarılar neredeyse gerçek zamanlı olarak tetiklenirken, diğerleri bir saate kadar sürebilir.

Sonraki adımlar