Alertas para clústeres de Kubernetes
Defender for Containers proporciona funcionalidades de alerta mejoradas para las amenazas al plano de control de Kubernetes (K8s) y al entorno de ejecución de la carga de trabajo. Microsoft Defender para punto de conexión (MDE) y Inteligencia contra amenazas de Microsoft Defender también detectan amenazas relevantes para los contenedores K8s y, en combinación con el sensor de Defender, proporcionan contexto enriquecido para alertas completas y accionables para proteger el entorno K8s.
Detección del plano de control
En Kubernetes, el plano de control administra y organiza todos los recursos del clúster. Defender para contenedores identifica posibles amenazas en el plano de control que pueden poner en peligro la seguridad y la integridad de todo el clúster mediante la supervisión de las actividades del servidor de API K8s. Se capturan eventos críticos que indican posibles amenazas de seguridad, como operaciones sospechosas por cuentas de servicio o exposición de servicios.
Entre los ejemplos de operaciones sospechosas capturadas por Defender for Containers se incluyen:
- Las implementaciones de contenedores con privilegios pueden ser un riesgo de seguridad, ya que conceden privilegios elevados a los contenedores dentro del sistema host. Los contenedores con privilegios se supervisan para implementaciones no autorizadas, el uso excesivo de privilegios y posibles configuraciones incorrectas que podrían provocar infracciones de seguridad.
- Las exposiciones de servicio de riesgo a la red pública de Internet pueden exponer el clúster de Kubernetes a posibles ataques. El clúster se supervisa para los servicios que se exponen involuntariamente, están mal configurados con controles de acceso excesivamente permisivos o que carecen de medidas de seguridad adecuadas.
- Las actividades sospechosas de la cuenta de servicio pueden indicar un acceso no autorizado o un comportamiento malintencionado dentro del clúster. El clúster se supervisa en busca de patrones inusuales, como solicitudes excesivas de recursos, llamadas API no autorizadas o acceso a datos confidenciales.
Detección de tiempo de ejecución de carga de trabajo
Defender for Containers usa el sensor de Defender para supervisar la actividad de tiempo de ejecución de la carga de trabajo K8s para detectar operaciones sospechosas, incluidos los eventos de creación de procesos de carga de trabajo.
Entre los ejemplos de actividad sospechosa en tiempo de ejecución de carga de trabajo se incluyen:
- Actividad del shell web: Defender para contenedores supervisa la actividad en los contenedores en ejecución para identificar comportamientos similares a las invocaciones del shell web.
- Actividad de minería de datos criptográficas: Defender for Containers usa varias heurística para identificar la actividad de minería de datos criptográficas en los contenedores en ejecución, incluida la actividad de descarga sospechosa, la optimización de LA CPU, la ejecución de procesos sospechosos, etc.
- Herramientas de análisis de red: Defender for Containers identifica el uso de herramientas de examen que se han usado para actividades malintencionadas.
- Detección de desfase binario: Defender for Cloud identifica la ejecución de archivos binarios de carga de trabajo que se han desfasado de la imagen de contenedor original. Para obtener más información, consulte Detección de desfase binario.
Herramienta de simulación de alertas K8s
Defender for Containers proporciona una herramienta para simular varios escenarios de ataque dentro del entorno de K8s, lo que provoca que se generen alertas. La herramienta de simulación implementa dos pods en un clúster de destino: atacante y víctima. Durante la simulación, el atacante "ataca" a la víctima mediante técnicas reales.
Nota:
Aunque la herramienta de simulación no ejecuta ningún componente malintencionado, se recomienda ejecutarlo en un clúster dedicado sin cargas de trabajo de producción.
La herramienta de simulación se ejecuta mediante una CLI basada en Python que implementa gráficos de Helm en el clúster de destino.
Instalación de la herramienta de simulación
Requisitos previos:
Un usuario con permisos de administrador sobre el clúster de destino.
Defender para contenedores está habilitado y el sensor de Defender también está instalado. Para comprobar que el sensor de Defender está instalado, ejecute lo siguiente:
kubectl get ds microsoft-defender-collector-ds -n kube-systemUn cliente de Helm se instala en el equipo local.
La versión 3.7 o posterior de Python está instalada en el equipo local.
Apunte
kubeconfigal clúster de destino. Para Azure Kubernetes Service, puede ejecutar:az aks get-credentials --name [cluster-name] --resource-group [resource-group]Descargue la herramienta de simulación con el siguiente comando:
curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py
Ejecución de la herramienta de simulación
Ejecute el script de simulación con el siguiente comando:
python simulation.pyElija un escenario de ataque simulado o elija simular todos los escenarios de ataque a la vez. Los escenarios de ataque simulados disponibles son:
| Escenario | Alertas esperadas |
|---|---|
| Reconocimiento | Posible actividad de Web Shell detectada Se detectó una operación sospechosa de cuenta de servicio de Kubernetes Herramienta de examen de red detectada |
| Movimiento lateral | Posible actividad de Web Shell detectada Se detectó acceso al servicio de metadatos en la nube |
| Recopilación de secretos | Posible actividad de Web Shell detectada Se detectó acceso a archivos confidenciales Se detectó un posible reconocimiento de secretos |
| Minería de datos criptográficas | Posible actividad de Web Shell detectada Se detectó la optimización de CPU de Kubernetes Comando dentro de un contenedor al que se accede ld.so.preload Posible descarga de mineros criptográficos detectados Se detectó un binario de desfase que se ejecutaba en el contenedor. |
| Shell web | Posible actividad de Web Shell detectada |
Nota:
Aunque algunas alertas se desencadenan casi en tiempo real, otras pueden tardar hasta una hora.