تنبيهات للحاويات - مجموعات Kubernetes
تسرد هذه المقالة تنبيهات الأمان التي قد تحصل عليها للحاويات ومجموعات Kubernetes من Microsoft Defender for Cloud وأي خطط Microsoft Defender قمت بتمكينها. تعتمد التنبيهات المعروضة في بيئتك على الموارد والخدمات التي تحميها، والتكوين المخصص.
إشعار
قد تكون بعض التنبيهات المضافة مؤخرا التي يتم تشغيلها بواسطة تحليل ذكي للمخاطر في Microsoft Defender Microsoft Defender لنقطة النهاية غير مستندة.
تعرف على كيفية الاستجابة لهذه التنبيهات.
تعرف على كيفية تصدير التنبيهات.
إشعار
قد تستغرق التنبيهات من مصادر مختلفة وقتاً مختلفاً للظهور. مثلاً، قد تستغرق التنبيهات التي تتطلب تحليل حركة مرور الشبكة وقتاً أطول من التنبيهات المتعلقة بالعمليات المشبوهة التي تعمل على الأجهزة الظاهرية.
تنبيهات للحاويات ومجموعات Kubernetes
يوفر Microsoft Defender for Containers تنبيهات أمان على مستوى نظام المجموعة وعلى عقد نظام المجموعة الأساسية من خلال مراقبة كل من مستوى التحكم (خادم واجهة برمجة التطبيقات) وعبء العمل الحاوي نفسه. يمكن التعرف على تنبيهات أمان مستوى التحكم بواسطة بادئة K8S_ من نوع التنبيه. يمكن التعرف على تنبيهات الأمان لحمل عمل وقت التشغيل في المجموعات بواسطة بادئة K8S.NODE_ من نوع التنبيه. يتم دعم جميع التنبيهات على Linux فقط، ما لم يشار إلى خلاف ذلك.
تم الكشف عن خدمة Postgres المكشوفة مع تكوين مصادقة الثقة في Kubernetes (معاينة)
(K8S_ExposedPostgresTrustAuth)
الوصف: كشف تحليل تكوين مجموعة Kubernetes عن تعرض خدمة Postgres بواسطة موازن تحميل. يتم تكوين الخدمة باستخدام أسلوب مصادقة الثقة، والذي لا يتطلب بيانات اعتماد.
تكتيكات MITRE: InitialAccess
الخطورة: متوسط
تم الكشف عن خدمة Postgres المكشوفة مع تكوين محفوف بالمخاطر في Kubernetes (معاينة)
(K8S_ExposedPostgresBroadIPRange)
الوصف: كشف تحليل تكوين مجموعة Kubernetes عن تعرض خدمة Postgres بواسطة موازن تحميل مع تكوين محفوف بالمخاطر. يشكل تعريض الخدمة لمجموعة واسعة من عناوين IP خطرا أمنيا.
تكتيكات MITRE: InitialAccess
الخطورة: متوسط
محاولة إنشاء مساحة اسم Linux جديدة من حاوية تم اكتشافها
(K8S. NODE_NamespaceCreation) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية في مجموعة Kubernetes عن محاولة لإنشاء مساحة اسم Linux جديدة. في حين أن هذا السلوك قد يكون شرعيًا، فقد يشير إلى أن المهاجم يحاول الهروب من الحاوية إلى العقدة. تستخدم بعض عمليات استغلال CVE-2022-0185 هذه التقنية.
تكتيكات MITRE: PrivilegeEscalation
الخطورة: معلوماتية
تم مسح ملف محفوظات
(K8S.NODE_HistoryFileCleared) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes أنه تم مسح ملف سجل محفوظات الأوامر. قد يقوم المهاجمون بذلك لتغطية مساراتهم. تم تنفيذ العملية بواسطة حساب المستخدم المحدد.
تكتيكات MITRE: التهرب الدفاعي
الخطورة: متوسط
نشاط غير طبيعي للهوية المدارة المرتبطة بـ Kubernetes (معاينة)
(K8S_AbnormalMiActivity)
الوصف: كشف تحليل عمليات Azure Resource Manager عن سلوك غير طبيعي لهوية مدارة يستخدمها ملحق AKS. النشاط المكتشف غير متسق مع سلوك الوظيفة الإضافية المقترنة. بينما يمكن أن يكون هذا النشاط شرعيًا، قد يشير هذا السلوك إلى أن الهوية تم اكتسابها من قبل مهاجم، ربما من حاوية تم اختراقها في مجموعة Kubernetes.
تكتيكات MITRE: الحركة الجانبية
الخطورة: متوسط
تم الكشف عن عملية حساب خدمة Kubernetes غير الطبيعية
(K8S_ServiceAccountRareOperation)
الوصف: كشف تحليل سجل تدقيق Kubernetes عن سلوك غير طبيعي بواسطة حساب خدمة في مجموعة Kubernetes. تم استخدام حساب الخدمة لعملية، وهو غير شائع لحساب الخدمة هذا. على الرغم من أن هذا النشاط يمكن أن يكون شرعيًا، فقد يشير هذا السلوك إلى أن حساب الخدمة يتم استخدامه لأغراض ضارة.
تكتيكات MITRE: الحركة الجانبية، الوصول إلى بيانات الاعتماد
الخطورة: متوسط
تم اكتشاف محاولة اتصال غير شائعة
(K8S.NODE_SuspectConnection) 1
الوصف: اكتشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes محاولة اتصال غير شائعة باستخدام بروتوكول الجوارب. هذا نادر جدا في العمليات العادية، ولكن تقنية معروفة للمهاجمين الذين يحاولون تجاوز عمليات الكشف عن طبقة الشبكة.
تكتيكات MITRE: التنفيذ، النقل غير المصرح به، الاستغلال
الخطورة: متوسط
تم اكتشاف محاولة إيقاف خدمة apt-daily-upgrade.timer
(K8S.NODE_TimerServiceDisabled) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن محاولة لإيقاف خدمة apt-daily-upgrade.timer. تمت ملاحظة أن المهاجمين يوقفون هذه الخدمة لتنزيل الملفات الضارة ومنح امتيازات التنفيذ لهجماتهم. يمكن أن يحدث هذا النشاط أيضًا إذا تم تحديث الخدمة من خلال الإجراءات الإدارية العادية.
تكتيكات MITRE: التهرب الدفاعي
الخطورة: معلوماتية
سلوك مشابه لروبوتات الدردشة Linux الشائعة التي تم اكتشافها (معاينة)
(K8S.NODE_CommonBot)
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن تنفيذ عملية ترتبط عادة بشبكات روبوتات Linux الشائعة.
تكتيكات MITRE: التنفيذ والمجموعة والأمر والتحكم
الخطورة: متوسط
الأمر داخل حاوية تعمل بامتيازات عالية
(K8S.NODE_PrivilegedExecutionInContainer) 1
الوصف: تشير سجلات الجهاز إلى أنه تم تشغيل أمر مميز في حاوية Docker. يحتوي الأمر المميز على امتيازات موسعة على الجهاز المضيف.
تكتيكات MITRE: PrivilegeEscalation
الخطورة: معلوماتية
الحاوية قيد التشغيل في الوضع المتميز
(K8S. NODE_PrivilegedContainerArtifacts) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن تنفيذ أمر Docker الذي يقوم بتشغيل حاوية مميزة. الحاوية المميزة لديها حق الوصول الكامل إلى حاوية الاستضافة أو مورد المضيف. إذا تم اختراقه، فقد يستخدم المهاجم الحاوية المميزة للوصول إلى حاوية الاستضافة أو المضيف.
تكتيكات MITRE: PrivilegeEscalation, Execution
الخطورة: معلوماتية
تم الكشف عن حاوية ذات تحميل وحدة تخزين حساسة
(K8S_SensitiveMount)
الوصف: كشف تحليل سجل تدقيق Kubernetes عن حاوية جديدة مع تحميل وحدة تخزين حساسة. وحدة التخزين التي تم الكشف عنها هي نوع hostPath الذي يقوم بتحميل ملف أو مجلد حساس من العقدة إلى الحاوية. إذا تم اختراق الحاوية، يمكن للمهاجم استخدام هذا التحميل للوصول إلى العقدة.
تكتيكات MITRE: تصعيد الامتيازات
الخطورة: معلوماتية
تم الكشف عن تعديل CoreDNS في Kubernetes
الوصف: كشف تحليل سجل تدقيق Kubernetes عن تعديل تكوين CoreDNS. يمكن تعديل تكوين CoreDNS عن طريق تجاوز التكوين الخاص به. في حين أن هذا النشاط يمكن أن يكون شرعيا، إذا كان لدى المهاجمين أذونات لتعديل التكوين، يمكنهم تغيير سلوك خادم DNS الخاص بالمجموعة وتسميمه.
تكتيكات MITRE: الحركة الجانبية
الخطورة: منخفض
تم الكشف عن إنشاء تكوين إخطار على الويب للقبول
(K8S_AdmissionController) 3
الوصف: كشف تحليل سجل تدقيق Kubernetes عن تكوين إخطار على الويب للقبول جديد. لدى Kubernetes وحدتا تحكم عامتان في القبول: MutatingAdmissionWebhook و ValidatingAdmissionWebhook. يتم تحديد سلوك وحدات التحكم في القبول هذه من خلال إخطار على الويب للقبول الذي ينشره المستخدم إلى نظام المجموعة. يمكن أن يكون استخدام وحدات التحكم في القبول هذه شرعيا، ولكن يمكن للمهاجمين استخدام خطافات الويب هذه لتعديل الطلبات (في حالة الطفرةAdmissionWebhook) أو فحص الطلبات واكتساب معلومات حساسة (في حالة التحقق من صحةAdmissionWebhook).
تكتيكات MITRE: الوصول إلى بيانات الاعتماد، والمثابرة
الخطورة: معلوماتية
تم الكشف عن تنزيل الملف من مصدر ضار معروف
(K8S.NODE_SuspectDownload) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن تنزيل ملف من مصدر يستخدم بشكل متكرر لتوزيع البرامج الضارة.
تكتيكات MITRE: PrivilegeEscalation, Execution, Exfiltration, Command and Control
الخطورة: متوسط
تم الكشف عن تنزيل الملفات المشبوهة
(K8S.NODE_SuspectDownloadArtifacts) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن تنزيل مشبوه لملف بعيد.
تكتيكات MITRE: الثبات
الخطورة: معلوماتية
الكشف عن الاستخدام المشبوه لأمر nohup
(K8S.NODE_SuspectNohup) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن استخدام مشبوه لأمر nohup. تمت رؤية المهاجمين باستخدام الأمر nohup لتشغيل الملفات المخفية من دليل مؤقت للسماح بتشغيل الملفات التنفيذية الخاصة بهم في الخلفية. من النادر رؤية هذا الأمر يعمل على الملفات المخفية الموجودة في دليل مؤقت.
تكتيكات MITRE: الاستمرارية، والتهرب الدفاعي
الخطورة: متوسط
تم الكشف عن الاستخدام المشبوه للأمر useradd
(K8S.NODE_SuspectUserAddition) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن استخدام مشبوه للأمر useradd.
تكتيكات MITRE: الثبات
الخطورة: متوسط
تم الكشف عن حاوية استخراج العملات الرقمية
(K8S_MaliciousContainerImage) 3
الوصف: كشف تحليل سجل تدقيق Kubernetes عن حاوية تحتوي على صورة مرتبطة بأداة استخراج العملات الرقمية.
تكتيكات MITRE: التنفيذ
الخطورة: عالية
تم الكشف عن السلوك ذي الصلة بالتنقيب عن العملة الرقمية
(K8S.NODE_DigitalCurrencyMining) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن تنفيذ عملية أو أمر يرتبط عادة بالتنقيب عن العملات الرقمية.
تكتيكات MITRE: التنفيذ
الخطورة: عالية
تم الكشف عن عملية بناء Docker على عقدة Kubernetes
(K8S.NODE_ImageBuildOnNode) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن عملية بناء لصورة حاوية على عقدة Kubernetes. في حين أن هذا السلوك قد يكون شرعيًا، فقد يقوم المهاجمون ببناء صورهم الضارة محليًا لتجنب الكشف.
تكتيكات MITRE: التهرب الدفاعي
الخطورة: معلوماتية
تم الكشف عن لوحة معلومات Kubeflow المكشوفة
(K8S_ExposedKubeflow)
الوصف: كشف تحليل سجل تدقيق Kubernetes عن تعرض Istio Ingress بواسطة موازن تحميل في نظام مجموعة يقوم بتشغيل Kubeflow. قد يعرض هذا الإجراء لوحة معلومات Kubeflow إلى الإنترنت. إذا تعرضت لوحة المعلومات للإنترنت، يمكن للمهاجمين الوصول إليها وتشغيل حاويات أو تعليمات برمجية ضارة على نظام المجموعة. ابحث عن مزيد من التفاصيل في المقالة التالية: https://www.microsoft.com/en-us/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/
تكتيكات MITRE: الوصول الأولي
الخطورة: متوسط
تم الكشف عن لوحة معلومات Kubernetes المكشوفة
(K8S_ExposedDashboard)
الوصف: كشف تحليل سجل تدقيق Kubernetes عن تعرض لوحة معلومات Kubernetes بواسطة خدمة LoadBalancer. تسمح لوحة المعلومات المكشوفة بالوصول غير المصادق عليه إلى إدارة نظام المجموعة وتشكل تهديدا أمنيا.
تكتيكات MITRE: الوصول الأولي
الخطورة: عالية
تم الكشف عن خدمة Kubernetes المكشوفة
(K8S_ExposedService)
الوصف: كشف تحليل سجل تدقيق Kubernetes عن تعرض خدمة بواسطة موازن تحميل. ترتبط هذه الخدمة بتطبيق حساس يسمح بعمليات عالية التأثير في نظام المجموعة مثل تشغيل العمليات على العقدة أو إنشاء حاويات جديدة. في بعض الحالات، لا تتطلب هذه الخدمة مصادقة. إذا كانت الخدمة لا تتطلب مصادقة، فإن تعريضها للإنترنت يشكل خطرًا أمنيًا.
تكتيكات MITRE: الوصول الأولي
الخطورة: متوسط
تم الكشف عن خدمة Redis المكشوفة في AKS
(K8S_ExposedRedis)
الوصف: كشف تحليل سجل تدقيق Kubernetes عن تعرض خدمة Redis بواسطة موازن تحميل. إذا كانت الخدمة لا تتطلب مصادقة، فإن تعريضها للإنترنت يشكل خطرًا أمنيًا.
تكتيكات MITRE: الوصول الأولي
الخطورة: منخفض
تم الكشف عن المؤشرات المرتبطة بمجموعة أدوات DDOS
(K8S.NODE_KnownLinuxDDoSToolkit) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes أسماء الملفات التي تعد جزءا من مجموعة أدوات مرتبطة بالبرامج الضارة القادرة على بدء هجمات DDoS وفتح المنافذ والخدمات والتحكم الكامل في النظام المصاب. وقد يكون هذا أيضًا نشاطًا مشروعًا.
تكتيكات MITRE: الثبات، الحركات الجانبية، التنفيذ، الاستغلال
الخطورة: متوسط
تم الكشف عن طلبات K8S API من عنوان IP الوكيل
(K8S_TI_Proxy) 3
الوصف: كشف تحليل سجل تدقيق Kubernetes عن طلبات واجهة برمجة التطبيقات إلى نظام المجموعة من عنوان IP المقترن بخدمات الوكيل، مثل TOR. على الرغم من أن هذا السلوك يمكن أن يكون مشروعًا، فإنه غالبًا ما يظهر في الأنشطة الضارة، عندما يحاول المهاجمون إخفاء عنوان IP المصدر الخاص بهم.
تكتيكات MITRE: التنفيذ
الخطورة: منخفض
حذف أحداث Kubernetes
الوصف: اكتشف Defender for Cloud أنه تم حذف بعض أحداث Kubernetes. أحداث Kubernetes هي كائنات في Kubernetes تحتوي على معلومات حول التغييرات في نظام المجموعة. قد يحذف المهاجمون هذه الأحداث لإخفاء عملياتهم في نظام المجموعة.
تكتيكات MITRE: التهرب الدفاعي
الخطورة: منخفض
تم الكشف عن أداة اختبار اختراق Kubernetes
(K8S_PenTestToolsKubeHunter)
الوصف: كشف تحليل سجل تدقيق Kubernetes عن استخدام أداة اختبار اختراق Kubernetes في نظام مجموعة AKS. في حين أن هذا السلوك يمكن أن يكون شرعياً، قد يستخدم المهاجمون مثل هذه الأدوات العامة لأغراض ضارة.
تكتيكات MITRE: التنفيذ
الخطورة: منخفض
تنبيه اختبار Microsoft Defender for Cloud (وليس تهديدا)
(K8S. NODE_EICAR) 1
الوصف: هذا تنبيه اختبار تم إنشاؤه بواسطة Microsoft Defender for Cloud. لا يوجد إجراء آخر مطلوب.
تكتيكات MITRE: التنفيذ
الخطورة: عالية
تم الكشف عن حاوية جديدة في مساحة اسم نظام kube
(K8S_KubeSystemContainer) 3
الوصف: كشف تحليل سجل تدقيق Kubernetes عن حاوية جديدة في مساحة اسم نظام kube ليست من بين الحاويات التي تعمل عادة في مساحة الاسم هذه. يجب ألا تحتوي مساحات أسماء نظام kube على موارد المستخدم. يمكن للمهاجمين استخدام مساحة الاسم هذه لإخفاء المكونات الضارة.
تكتيكات MITRE: الثبات
الخطورة: معلوماتية
تم الكشف عن دور امتيازات عالية جديد
(K8S_HighPrivilegesRole) 3
الوصف: كشف تحليل سجل تدقيق Kubernetes عن دور جديد بامتيازات عالية. يمنح الربط بدور بامتيازات عالية امتيازات عالية للمستخدم/المجموعة في نظام المجموعة. قد تتسبب الامتيازات غير الضرورية في تصعيد الامتيازات في نظام المجموعة.
تكتيكات MITRE: الثبات
الخطورة: معلوماتية
تم الكشف عن أداة الهجوم المحتملة
(K8S.NODE_KnownLinuxAttackTool) 1
الوصف: اكتشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes استدعاء أداة مشبوهة. غالبا ما ترتبط هذه الأداة بمستخدمين ضارين يهاجمون الآخرين.
تكتيكات MITRE: التنفيذ، التجميع، القيادة والتحكم، التحقق
الخطورة: متوسط
تم الكشف عن خلفية محتملة
(K8S.NODE_LinuxBackdoorArtifact) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن ملف مشبوه يتم تنزيله وتشغيله. تم إقران هذا النشاط مسبقًا بتثبيت أحد الأبواب الخلفية.
تكتيكات MITRE: الثبات، والتهرب الدفاعي، والتنفيذ، والاستغلال
الخطورة: متوسط
محاولة استغلال سطر الأوامر المحتملة
(K8S.NODE_ExploitAttempt) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن محاولة استغلال محتملة ضد ثغرة أمنية معروفة.
تكتيكات MITRE: الاستغلال
الخطورة: متوسط
تم الكشف عن أداة الوصول إلى بيانات الاعتماد المحتملة
(K8S.NODE_KnownLinuxCredentialAccessTool) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن تشغيل أداة وصول بيانات اعتماد معروفة محتملة على الحاوية، كما هو محدد من قبل العملية المحددة وعنصر محفوظات سطر الأوامر. غالبًا ما ترتبط هذه الأداة بمحاولات المهاجم للوصول إلى بيانات الاعتماد.
تكتيكات MITRE: CredentialAccess
الخطورة: متوسط
تم الكشف عن تنزيل Cryptocoinminer المحتمل
(K8S.NODE_CryptoCoinMinerDownload) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes، عن تنزيل ملف يرتبط عادة بالتنقيب عن العملات الرقمية.
تكتيكات MITRE: الدفاع التهرب، القيادة والتحكم، الاستغلال
الخطورة: متوسط
تم الكشف عن نشاط محتمل للعبث بالسجل
(K8S.NODE_SystemLogRemoval) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن إزالة محتملة للملفات التي تتعقب نشاط المستخدم أثناء تشغيله. غالبًا ما يحاول المهاجمون التهرب من الكشف وعدم ترك أي أثر للأنشطة الضارة عن طريق حذف ملفات السجل هذه.
تكتيكات MITRE: التهرب الدفاعي
الخطورة: متوسط
تغيير كلمة المرور المحتمل باستخدام طريقة التشفير التي تم اكتشافها
(K8S.NODE_SuspectPasswordChange) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن تغيير كلمة المرور باستخدام أسلوب التشفير. يمكن للمهاجمين إجراء هذا التغيير لمواصلة الوصول والحصول على الاستمرار بعد التسوية.
تكتيكات MITRE: CredentialAccess
الخطورة: متوسط
منفذ محتمل إعادة توجيه إلى عنوان IP خارجي
(K8S.NODE_SuspectPortForwarding) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن بدء إعادة توجيه المنفذ إلى عنوان IP خارجي.
تكتيكات MITRE: النقل غير المصرح به، الأمر والتحكم
الخطورة: متوسط
الكشف عن غلاف عكسي محتمل
(K8S.NODE_ReverseShell) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن غلاف عكسي محتمل. يتم استخدام هذه للحصول على جهاز مخترق للاتصال مرة أخرى إلى جهاز يمتلكه المهاجم.
تكتيكات MITRE: الاختراق والاستغلال
الخطورة: متوسط
تم الكشف عن الحاوية المميزة
(K8S_PrivilegedContainer)
الوصف: كشف تحليل سجل تدقيق Kubernetes عن حاوية مميزة جديدة. الحاوية المميزة لديها حق الوصول إلى موارد العقدة وكسر العزل بين الحاويات. إذا تم اختراقه، يمكن للمهاجم استخدام الحاوية المميزة للوصول إلى العقدة.
تكتيكات MITRE: تصعيد الامتيازات
الخطورة: معلوماتية
العملية المرتبطة باستخراج العملات الرقمية التي تم اكتشافها
(K8S.NODE_CryptoCoinMinerArtifacts) 1
الوصف: كشف تحليل العمليات التي تعمل داخل الحاوية عن تنفيذ عملية ترتبط عادة بالتنقيب عن العملات الرقمية.
تكتيكات MITRE: التنفيذ والاستغلال
الخطورة: متوسط
العملية التي تمت مشاهدتها للوصول إلى ملف المفاتيح المعتمدة من SSH بطريقة غير عادية
(K8S.NODE_SshKeyAccess) 1
الوصف: تم الوصول إلى ملف SSH authorized_keys بطريقة مشابهة لحملات البرامج الضارة المعروفة. يمكن أن يشير هذا الوصول إلى أن المستخدم يحاول الوصول المستمر إلى جهاز.
تكتيكات MITRE: غير معروف
الخطورة: معلوماتية
تم الكشف عن ربط الدور بدور مسؤول نظام المجموعة
(K8S_ClusterAdminBinding)
الوصف: كشف تحليل سجل تدقيق Kubernetes عن ربط جديد لدور مسؤول نظام المجموعة الذي يمنح امتيازات المسؤول. قد تتسبب امتيازات المسؤول غير الضرورية في تصعيد الامتيازات في نظام المجموعة.
تكتيكات MITRE: الثبات، مقياس الامتيازات
الخطورة: معلوماتية
تم الكشف عن إنهاء العملية المتعلقة بالأمان
(K8S.NODE_SuspectProcessTermination) 1
الوصف: اكتشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes محاولة إنهاء العمليات المتعلقة بمراقبة الأمان على الحاوية. غالبًا ما يحاول المهاجمون إنهاء مثل هذه العمليات باستخدام برامج نصية محددة مسبقا بعد التسوية.
تكتيكات MITRE: الثبات
الخطورة: منخفض
خادم SSH قيد التشغيل داخل حاوية
(K8S. NODE_ContainerSSH) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية عن خادم SSH يعمل داخل الحاوية.
تكتيكات MITRE: التنفيذ
الخطورة: معلوماتية
تعديل الطابع الزمني للملفات المشبوهة
(K8S. NODE_TimestampTampering) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن تعديل طابع زمني مشبوه. غالبًا ما يقوم المهاجمون بنسخ الطوابع الزمنية من الملفات الشرعية الموجودة إلى أدوات جديدة لتجنب الكشف عن هذه الملفات التي تم إسقاطها حديثًا.
تكتيكات MITRE: الاستمرارية، والتهرب الدفاعي
الخطورة: منخفض
طلب مريب إلى واجهة برمجة تطبيقات Kubernetes
(K8S. NODE_KubernetesAPI) 1
الوصف: يشير تحليل العمليات التي تعمل داخل حاوية إلى أنه تم إجراء طلب مريب إلى واجهة برمجة تطبيقات Kubernetes. تم إرسال الطلب من حاوية في نظام المجموعة. على الرغم من أن هذا السلوك يمكن أن يكون مقصودًا، فقد يشير إلى أن حاوية تم اختراقها قيد التشغيل في نظام المجموعة.
MITRE tactics: LateralMovement
الخطورة: متوسط
طلب مشبوه إلى لوحة معلومات Kubernetes
(K8S.NODE_KubernetesDashboard) 1
الوصف: يشير تحليل العمليات التي تعمل داخل حاوية إلى أنه تم تقديم طلب مشبوه إلى لوحة معلومات Kubernetes. تم إرسال الطلب من حاوية في نظام المجموعة. على الرغم من أن هذا السلوك يمكن أن يكون مقصودًا، فقد يشير إلى أن حاوية تم اختراقها قيد التشغيل في نظام المجموعة.
MITRE tactics: LateralMovement
الخطورة: متوسط
بدأ منجم عملة التشفير المحتملة
(K8S.NODE_CryptoCoinMinerExecution) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن عملية يتم تشغيلها بطريقة ترتبط عادة بالتنقيب عن العملات الرقمية.
تكتيكات MITRE: التنفيذ
الخطورة: متوسط
الوصول إلى كلمة المرور المشبوهة
(K8S.NODE_SuspectPasswordFileAccess) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes، عن محاولة مشبوهة للوصول إلى كلمات مرور المستخدم المشفرة.
تكتيكات MITRE: الثبات
الخطورة: معلوماتية
تم الكشف عن قذيفة ويب الخبيثة المحتملة
(K8S. NODE_Webshell) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية عن غلاف ويب محتمل. غالبًا ما يقوم المهاجمون بتحميل واجهة ويب إلى مورد حساب قاموا باختراقه للحصول على استمرار أو لمزيد من الاستغلال.
تكتيكات MITRE: الاستمرارية والاستغلال
الخطورة: متوسط
يمكن أن يشير انفجار أوامر الاستطلاع المتعددة إلى النشاط الأولي بعد التسوية
(K8S.NODE_ReconnaissanceArtifactsBurst) 1
الوصف: كشف تحليل بيانات المضيف/الجهاز عن تنفيذ أوامر استطلاع متعددة تتعلق بجمع تفاصيل النظام أو المضيف التي يقوم بها المهاجمون بعد الاختراق الأولي.
تكتيكات MITRE: الاكتشاف، المجموعة
الخطورة: منخفض
تنزيل مشبوه ثم تشغيل النشاط
(K8S.NODE_DownloadAndRunCombo) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن ملف يتم تنزيله ثم تشغيله في نفس الأمر. على الرغم من أن هذا ليس ضارًا دائمًا، فإن هذه تقنية شائعة جدًا يستخدمها المهاجمون للحصول على ملفات ضارة على أجهزة الضحايا.
تكتيكات MITRE: التنفيذ، CommandAndControl، الاستغلال
الخطورة: متوسط
تم الكشف عن الوصول إلى ملف kubelet kubeconfig
(K8S.NODE_KubeConfigAccess) 1
الوصف: كشف تحليل العمليات التي تعمل على عقدة نظام مجموعة Kubernetes عن الوصول إلى ملف kubeconfig على المضيف. يحتوي ملف kubeconfig، الذي تستخدمه عملية Kubelet عادة، على بيانات اعتماد إلى خادم واجهة برمجة تطبيقات نظام مجموعة Kubernetes. غالبًا ما يقترن الوصول إلى هذا الملف بالمهاجمين الذين يحاولون الوصول إلى بيانات الاعتماد هذه، أو بأدوات فحص الأمان التي تتحقق مما إذا كان الملف يمكن الوصول إليه.
تكتيكات MITRE: CredentialAccess
الخطورة: متوسط
تم الكشف عن الوصول إلى خدمة بيانات التعريف السحابية
(K8S. NODE_ImdsCall) 1
الوصف: تم الكشف عن تحليل العمليات التي تعمل داخل حاوية الوصول إلى خدمة بيانات التعريف السحابية للحصول على رمز الهوية المميز. لا تقوم الحاوية عادة بتنفيذ مثل هذه العملية. في حين أن هذا السلوك قد يكون مشروعا، قد يستخدم المهاجمون هذه التقنية للوصول إلى موارد السحابة بعد الوصول الأولي إلى حاوية قيد التشغيل.
تكتيكات MITRE: CredentialAccess
الخطورة: متوسط
تم الكشف عن عامل MITRE Caldera
(K8S. NODE_MitreCalderaTools) 1
الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن عملية مشبوهة. غالبا ما يرتبط هذا بعامل MITRE 54ndc47، والذي يمكن استخدامه بشكل ضار لمهاجمة الأجهزة الأخرى.
تكتيكات MITRE: المثابرة، والامتيازات، ودفاع الحماية، وبيانات الاعتمادAccess، واكتشاف، و LateralMovement، والتنفيذ، والمجموعة، والاختراق، والتحكم، والاكتشاف، والاستغلال
الخطورة: متوسط
1: معاينة لمجموعات غير AKS: يتوفر هذا التنبيه بشكل عام لمجموعات AKS، ولكنه قيد المعاينة لبيئات أخرى، مثل Azure Arc وEKS وGKE.
2: القيود المفروضة على مجموعات GKE: يستخدم GKE نهج تدقيق Kubernetes الذي لا يدعم جميع أنواع التنبيهات. ونتيجة لذلك، فإن تنبيه الأمان هذا، الذي يستند إلى أحداث تدقيق Kubernetes، غير مدعوم لمجموعات GKE.
3: هذا التنبيه مدعوم على عقد/حاويات Windows.
إشعار
للتنبيهات في المعاينة: تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.