Alertas para contenedores: clústeres de Kubernetes
En este artículo se enumeran las alertas de seguridad que puede obtener para contenedores y clústeres de Kubernetes de Microsoft Defender for Cloud y los planes de Microsoft Defender habilitados. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.
Nota:
Algunas de las alertas agregadas recientemente con tecnología de Inteligencia contra amenazas de Microsoft Defender y Microsoft Defender para punto de conexión podrían no estar documentadas.
Aprenda a responder a estas alertas.
Nota
Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.
Alertas para contenedores y clústeres de Kubernetes
Microsoft Defender para contenedores proporciona alertas de seguridad en el nivel de clúster y en los nodos de clúster subyacentes mediante la supervisión del plano de control (servidor de API) y la propia carga de trabajo contenedorizada. Las alertas de seguridad del plano de control se pueden reconocer mediante el prefijo K8S_
del tipo de alerta. Las alertas de seguridad para la carga de trabajo en tiempo de ejecución en los clústeres se pueden reconocer mediante el prefijo K8S.NODE_
del tipo de alerta. Las alertas solo se admiten en Linux, a menos que se indique lo contrario.
Servicio de Postgres expuesto con la configuración de autenticación de confianza en Kubernetes detectado (versión preliminar)
(K8S_ExposedPostgresTrustAuth)
Descripción: el análisis de configuración del clúster de Kubernetes detectó la exposición de un servicio postgres mediante un equilibrador de carga. El servicio se configura con el método de autenticación de confianza, que no requiere credenciales.
Tácticas de MITRE: InitialAccess
Gravedad: media
Servicio de Postgres expuesto con configuración de riesgo en Kubernetes detectado (versión preliminar)
(K8S_ExposedPostgresBroadIPRange)
Descripción: el análisis de configuración del clúster de Kubernetes detectó la exposición de un servicio postgres mediante un equilibrador de carga con una configuración de riesgo. Exponer el servicio a un intervalo amplio de direcciones IP supone un riesgo de seguridad.
Tácticas de MITRE: InitialAccess
Gravedad: media
Intento de creación de un nuevo espacio de nombres de Linux a partir de un contenedor detectado
(K8S.NODE_NamespaceCreation) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor en el clúster de Kubernetes detectó un intento de crear un nuevo espacio de nombres de Linux. Aunque este comportamiento podría ser legítimo, es posible que indique que un atacante intenta escapar del contenedor al nodo. Algunas vulnerabilidades CVE-2022-0185 usan esta técnica.
Tácticas de MITRE: PrivilegeEscalation
Gravedad: informativo
Se ha borrado un archivo del historial
(K8S.NODE_HistoryFileCleared) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado que se ha borrado el archivo de registro del historial de comandos. Los atacantes podrían hacerlo para cubrir sus pistas. La operación la realizó la cuenta de usuario especificada.
Tácticas de MITRE: DefenseEvasion
Gravedad: media
Actividad anómala de la identidad administrada asociada a Kubernetes (versión preliminar)
(K8S_AbnormalMiActivity)
Descripción: el análisis de las operaciones de Azure Resource Manager detectó un comportamiento anómalo de una identidad administrada usada por un complemento de AKS. La actividad detectada no es coherente con el comportamiento del complemento asociado. Aunque esta actividad puede ser legítima, este comportamiento podría indicar que la identidad la adquirió un atacante, posiblemente de un contenedor en peligro en el clúster de Kubernetes.
Tácticas de MITRE: Movimiento lateral
Gravedad: media
Se detectó una operación anómala de la cuenta de servicio de Kubernetes
(K8S_ServiceAccountRareOperation)
Descripción: el análisis del registro de auditoría de Kubernetes detectó un comportamiento anómalo por una cuenta de servicio en el clúster de Kubernetes. La cuenta de servicio se usó para una operación que no es común para esta cuenta de servicio. Aunque esta actividad puede ser legítima, este comportamiento podría indicar que la cuenta de servicio se está utilizando con fines malintencionados.
Tácticas de MITRE: Movimiento lateral, Acceso a credenciales
Gravedad: media
Se ha detectado un intento de conexión poco común
(K8S.NODE_SuspectConnection) 1
Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un intento de conexión poco común mediante un protocolo de calcetines. Esto es muy poco común en operaciones normales, pero es una técnica conocida de los atacantes que intentan omitir las detecciones de nivel de red.
Tácticas de MITRE: Ejecución, Filtración, Explotación
Gravedad: media
Se detectó un intento de detener el servicio apt-daily-upgrade.timer.
(K8S.NODE_TimerServiceDisabled) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un intento de detener el servicio apt-daily-upgrade.timer. Se ha observado que los atacantes detienen este servicio para descargar archivos malintencionados y conceder privilegios de ejecución para sus ataques. Esta actividad también puede producirse si el servicio se actualiza mediante acciones administrativas normales.
Tácticas de MITRE: DefenseEvasion
Gravedad: informativo
Se ha detectado un comportamiento parecido a los bots comunes de Linux (versión preliminar)
(K8S.NODE_CommonBot)
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado la ejecución de un proceso normalmente asociado a las redes de botnet comunes de Linux.
Tácticas de MITRE: ejecución, recopilación, comando y control
Gravedad: media
Comando dentro de un contenedor que se ejecuta con privilegios elevados
(K8S.NODE_PrivilegedExecutionInContainer) 1
Descripción: los registros de la máquina indican que se ejecutó un comando con privilegios en un contenedor de Docker. Un comando con privilegios ha extendido sus privilegios a la máquina host.
Tácticas de MITRE: PrivilegeEscalation
Gravedad: informativo
Contenedor que se ejecuta en modo con privilegios
(K8S.NODE_PrivilegedContainerArtifacts) 1
Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado la ejecución de un comando de Docker que ejecuta un contenedor con privilegios. El contenedor con privilegios tiene acceso completo al pod de hospedaje o al recurso de host. Si está en peligro, un atacante podría usar el contenedor con privilegios para obtener acceso al pod o host de hospedaje.
Tácticas de MITRE: PrivilegeEscalation, Execution
Gravedad: informativo
Se detectó un contenedor con un volumen confidencial montado.
(K8S_SensitiveMount)
Descripción: el análisis del registro de auditoría de Kubernetes detectó un nuevo contenedor con un montaje de volumen confidencial. El volumen detectado es del tipo hostPath, que monta una carpeta o un archivo confidenciales del nodo en el contenedor. Si el contenedor se ve en peligro, el atacante puede usar este montaje para obtener acceso al nodo.
Tácticas de MITRE: Elevación de privilegios
Gravedad: informativo
Se detectó una modificación de CoreDNS en Kubernetes.
Descripción: el análisis del registro de auditoría de Kubernetes detectó una modificación de la configuración de CoreDNS. La configuración de CoreDNS se puede modificar mediante la sustitución de su archivo configmap. Aunque esta actividad puede ser legítima, si los atacantes tienen permisos para modificar el archivo configmap, pueden cambiar el comportamiento del servidor DNS del clúster y manipularlo.
Tácticas de MITRE: Movimiento lateral
Gravedad: baja
Se ha detectado la creación de una configuración del webhook de admisión.
(K8S_AdmissionController) 3
Descripción: el análisis del registro de auditoría de Kubernetes detectó una nueva configuración de webhook de admisión. Kubernetes tiene dos controladores de admisión genéricos integrados: MutatingAdmissionWebhook y ValidatingAdmissionWebhook. El comportamiento de estos controladores de admisión viene determinado por un webhook de admisión que el usuario implementa en el clúster. El uso de estos controladores de admisión puede ser legítimo, sin embargo, los atacantes pueden usar estos webhooks para modificar las solicitudes (en el caso de MutatingAdmissionWebhook) o inspeccionar las solicitudes y obtener información confidencial (en el caso de ValidatingAdmissionWebhook).
Tácticas de MITRE: acceso a credenciales, persistencia
Gravedad: informativo
Se detectó una descarga de archivos desde un origen malintencionado conocido.
(K8S.NODE_SuspectDownload) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una descarga de un archivo de un origen que se usa con frecuencia para distribuir malware.
Tácticas de MITRE: PrivilegeEscalation, Execution, Exfiltration, Command And Control
Gravedad: media
Se detectó una descarga de archivos sospechosa.
(K8S.NODE_SuspectDownloadArtifacts) 1
Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una descarga sospechosa de un archivo remoto.
Tácticas de MITRE: Persistencia
Gravedad: informativo
Se detectó un uso sospechoso del comando nohup.
(K8S.NODE_SuspectNohup) 1
Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un uso sospechoso del comando nohup. Se han observado atacantes que usan el comando nohup para ejecutar archivos ocultos desde un directorio temporal para permitir que sus archivos ejecutables se ejecuten en segundo plano. No es habitual ver que este comando se ejecute en archivos ocultos ubicados en un directorio temporal.
Tácticas de MITRE: Persistencia, DefenseEvasion
Gravedad: media
Se detectó un uso sospechoso del comando useradd.
(K8S.NODE_SuspectUserAddition) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un uso sospechoso del comando useradd.
Tácticas de MITRE: Persistencia
Gravedad: media
Se detectó un contenedor de minería de datos de moneda digital.
(K8S_MaliciousContainerImage) 3
Descripción: el análisis del registro de auditoría de Kubernetes detectó un contenedor que tiene una imagen asociada a una herramienta de minería de moneda digital.
Tácticas de MITRE: Ejecución
Gravedad: alta
Se detectó un comportamiento relacionado con la minería de datos de moneda digital.
(K8S.NODE_DigitalCurrencyMining) 1
Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes, ha detectado una ejecución de un proceso o comando normalmente asociado a la minería de moneda digital.
Tácticas de MITRE: Ejecución
Gravedad: alta
Se ha detectado una operación de creación de Docker en un nodo de Kubernetes.
(K8S.NODE_ImageBuildOnNode) 1
Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una operación de compilación de una imagen de contenedor en un nodo de Kubernetes. Aunque este comportamiento podría ser legítimo, los atacantes podrían crear sus imágenes malintencionadas localmente para evitar la detección.
Tácticas de MITRE: DefenseEvasion
Gravedad: informativo
Panel de Kubeflow expuesto detectado
(K8S_ExposedKubeflow)
Descripción: el análisis del registro de auditoría de Kubernetes detectó la exposición de la entrada de Istio mediante un equilibrador de carga en un clúster que ejecuta Kubeflow. Esta acción podría exponer el panel de Kubeflow a Internet. Si el panel se expone a Internet, los atacantes pueden acceder a él y ejecutar código o contenedores malintencionados en el clúster. Encontrará más detalles en el siguiente artículo: https://www.microsoft.com/en-us/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/
Tácticas de MITRE: acceso inicial
Gravedad: media
Se detectó un panel de Kubernetes expuesto.
(K8S_ExposedDashboard)
Descripción: el análisis de registros de auditoría de Kubernetes detectó la exposición del panel de Kubernetes mediante un servicio LoadBalancer. Un panel expuesto permite el acceso sin autenticación a la administración del clúster, lo que supone una amenaza para la seguridad.
Tácticas de MITRE: acceso inicial
Gravedad: alta
Se detectó el servicio de Kubernetes expuesto
(K8S_ExposedService)
Descripción: el análisis del registro de auditoría de Kubernetes detectó la exposición de un servicio mediante un equilibrador de carga. Este servicio está relacionado con una aplicación confidencial que permite operaciones de alto impacto en el clúster, como la ejecución de procesos en el nodo o la creación de contenedores. En algunos casos, este servicio no requiere autenticación. Si el servicio no requiere autenticación, su exposición a Internet supone un riesgo de seguridad.
Tácticas de MITRE: acceso inicial
Gravedad: media
Se detectó el servicio de Redis expuesto en AKS
(K8S_ExposedRedis)
Descripción: el análisis de registros de auditoría de Kubernetes detectó la exposición de un servicio de Redis mediante un equilibrador de carga. Si el servicio no requiere autenticación, su exposición a Internet supone un riesgo de seguridad.
Tácticas de MITRE: acceso inicial
Gravedad: baja
Se detectaron indicadores asociados al kit de herramientas de DDOS.
(K8S.NODE_KnownLinuxDDoSToolkit) 1
Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes, ha detectado nombres de archivo que forman parte de un kit de herramientas asociado con malware capaz de iniciar ataques DDoS, abrir puertos y servicios y tomar el control total sobre el sistema infectado. También se podría tratar de una actividad legítima.
Tácticas de MITRE: Persistencia, LateralMovement, Ejecución, Explotación
Gravedad: media
Se han detectado solicitudes de la API K8S desde direcciones IP de proxy.
(K8S_TI_Proxy) 3
Descripción: el análisis de registros de auditoría de Kubernetes detectó solicitudes de API al clúster desde una dirección IP asociada a los servicios proxy, como TOR. Aunque este comportamiento puede ser legítimo, a menudo se consideran como actividades malintencionadas, cuando los atacantes intentan ocultar su dirección IP de origen.
Tácticas de MITRE: Ejecución
Gravedad: baja
Se han eliminado eventos de Kubernetes.
Descripción: Defender for Cloud detectó que se han eliminado algunos eventos de Kubernetes. Los eventos de Kubernetes son objetos de Kubernetes que contienen información sobre los cambios en el clúster. Los atacantes podrían eliminar esos eventos para ocultar sus operaciones en el clúster.
Tácticas de MITRE: Evasión de defensa
Gravedad: baja
Se ha detectado la herramienta de pruebas de penetración de Kubernetes.
(K8S_PenTestToolsKubeHunter)
Descripción: el análisis de registros de auditoría de Kubernetes detectó el uso de la herramienta de pruebas de penetración de Kubernetes en el clúster de AKS. Aunque este comportamiento puede ser legítimo, los atacantes podrían usar estas herramientas públicas con fines malintencionados.
Tácticas de MITRE: Ejecución
Gravedad: baja
Alerta de prueba de Microsoft Defender for Cloud (no una amenaza)
(K8S.NODE_EICAR) 1
Descripción: se trata de una alerta de prueba generada por Microsoft Defender for Cloud. No es necesario realizar ninguna acción adicional.
Tácticas de MITRE: Ejecución
Gravedad: alta
Se detectó un contenedor nuevo en el espacio de nombres kube-system.
(K8S_KubeSystemContainer) 3
Descripción: el análisis del registro de auditoría de Kubernetes detectó un nuevo contenedor en el espacio de nombres kube-system que no está entre los contenedores que normalmente se ejecutan en este espacio de nombres. Los espacios de nombres kube-system no deben contener recursos de usuario. Los atacantes pueden usar este espacio de nombres para ocultar componentes malintencionados.
Tácticas de MITRE: Persistencia
Gravedad: informativo
Se detectó un nuevo rol con privilegios elevados.
(K8S_HighPrivilegesRole) 3
Descripción: el análisis de registros de auditoría de Kubernetes detectó un nuevo rol con privilegios elevados. Un enlace a un rol con privilegios elevados concede al usuario o grupo privilegios elevados en el clúster. Los privilegios innecesarios pueden dar lugar a una elevación de privilegios en el clúster.
Tácticas de MITRE: Persistencia
Gravedad: informativo
Se detectó una posible herramienta de ataque.
(K8S.NODE_KnownLinuxAttackTool) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una invocación de herramienta sospechosa. A menudo, esta herramienta se asocia a usuarios malintencionados que atacan a otros.
Tácticas de MITRE: ejecución, recopilación, comando y control, sondeo
Gravedad: media
Possible backdoor detected (Detección de posible puerta trasera)
(K8S.NODE_LinuxBackdoorArtifact) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado que se descarga y se ejecuta un archivo sospechoso. Anteriormente, esta actividad se ha asociado con la instalación de una puerta trasera.
Tácticas de MITRE: Persistencia, DefenseEvasion, Ejecución, Explotación
Gravedad: media
Posible intento de explotación de una vulnerabilidad de seguridad de la línea de comandos
(K8S.NODE_ExploitAttempt) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un posible intento de explotación contra una vulnerabilidad conocida.
Tácticas de MITRE: Explotación
Gravedad: media
Se detectó una posible herramienta de acceso a credenciales.
(K8S.NODE_KnownLinuxCredentialAccessTool) 1
Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes, ha detectado que se estaba ejecutando una posible herramienta de acceso a credenciales conocida en el contenedor, tal como se identifica en el elemento de historial de proceso y línea de comandos especificados. A menudo, esta herramienta está asociada a intentos de los atacantes para acceder a las credenciales.
Tácticas de MITRE: CredentialAccess
Gravedad: media
Se ha detectado la posible descarga de Cryptocoinminer
(K8S.NODE_CryptoCoinMinerDownload) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado la descarga de un archivo normalmente asociado a la minería de monedas digitales.
Tácticas de MITRE: DefenseEvasion, Comando y Control, Explotación
Gravedad: media
Se detectó una posible actividad de manipulación de registros.
(K8S.NODE_SystemLogRemoval) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una posible eliminación de archivos que realiza un seguimiento de la actividad del usuario durante el transcurso de su funcionamiento. A menudo, los atacantes intentan evitar ser detectados y eliminan estos archivos de registro a fin de no dejar ningún rastro de las actividades malintencionadas.
Tácticas de MITRE: DefenseEvasion
Gravedad: media
Se detectó un posible cambio de contraseña mediante el método de cifrado
(K8S.NODE_SuspectPasswordChange) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un cambio de contraseña mediante el método crypt. Los atacantes pueden realizar este cambio para seguir accediendo y obteniendo persistencia después de la vulneración.
Tácticas de MITRE: CredentialAccess
Gravedad: media
Posible reenvío de puertos a la dirección IP externa
(K8S.NODE_SuspectPortForwarding) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un inicio de reenvío de puertos a una dirección IP externa.
Tácticas de MITRE: filtración, comando y control
Gravedad: media
Se detectó un posible shell inverso.
(K8S.NODE_ReverseShell) 1
Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un posible shell inverso. Se usan para hacer que una máquina en peligro devuelva una llamada a una máquina de un atacante.
Tácticas de MITRE: Filtración, Explotación
Gravedad: media
Se detectó un contenedor con privilegios
(K8S_PrivilegedContainer)
Descripción: el análisis del registro de auditoría de Kubernetes detectó un nuevo contenedor con privilegios. Un contenedor con privilegios tiene acceso a los recursos del nodo y rompe el aislamiento entre contenedores. Si se pone en peligro, un atacante puede usar el contenedor con privilegios para acceder al nodo.
Tácticas de MITRE: Elevación de privilegios
Gravedad: informativo
Se ha detectado un proceso relacionado con la minería de datos de moneda digital
(K8S.NODE_CryptoCoinMinerArtifacts) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor detectó la ejecución de un proceso normalmente asociado a la minería de moneda digital.
Tácticas de MITRE: Ejecución, Explotación
Gravedad: media
Se ha observado un proceso accediendo al archivo de claves autorizadas SSH de manera inusual
(K8S.NODE_SshKeyAccess) 1
Descripción: se ha accedido a un archivo de authorized_keys SSH en un método similar a las campañas de malware conocidas. Este acceso podría indicar que un actor está intentando conseguir acceso persistente a una máquina.
Tácticas de MITRE: Desconocida
Gravedad: informativo
Se detectó un enlace de rol al rol de administrador de clústeres.
(K8S_ClusterAdminBinding)
Descripción: el análisis del registro de auditoría de Kubernetes detectó un nuevo enlace al rol de administrador del clúster que proporciona privilegios de administrador. Los privilegios de administrador innecesarios pueden provocar una elevación de privilegios en el clúster.
Tácticas de MITRE: Persistencia, PrivilegeEscalation
Gravedad: informativo
Se ha detectado la terminación de un proceso relacionado con la seguridad
(K8S.NODE_SuspectProcessTermination) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un intento de finalizar los procesos relacionados con la supervisión de seguridad en el contenedor. A menudo, los atacantes intentarán terminar estos procesos mediante scripts predefinidos después de estar en peligro.
Tácticas de MITRE: Persistencia
Gravedad: baja
Se ejecuta un servidor SSH dentro de un contenedor
(K8S.NODE_ContainerSSH) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor detectó un servidor SSH que se ejecuta dentro del contenedor.
Tácticas de MITRE: Ejecución
Gravedad: informativo
Modificación sospechosa de la marca de tiempo de los archivos
(K8S.NODE_TimestampTampering) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una modificación sospechosa de marca de tiempo. Los atacantes suelen copiar las marcas de tiempo de archivos legítimos existentes en nuevas herramientas para evitar la detección de estos archivos recién quitados.
Tácticas de MITRE: Persistencia, DefenseEvasion
Gravedad: baja
Solicitud sospechosa a la API de Kubernetes
(K8S.NODE_KubernetesAPI) 1
Descripción: el análisis de procesos que se ejecutan en un contenedor indica que se realizó una solicitud sospechosa a la API de Kubernetes. La solicitud se envió desde un contenedor del clúster. Aunque este comportamiento puede ser intencionado, podría indicar que se está ejecutando un contenedor en peligro en el clúster.
Tácticas de MITRE: LateralMovement
Gravedad: media
Solicitud sospechosa al panel de Kubernetes
(K8S.NODE_KubernetesDashboard) 1
Descripción: el análisis de procesos que se ejecutan dentro de un contenedor indica que se realizó una solicitud sospechosa en el panel de Kubernetes. La solicitud se envió desde un contenedor del clúster. Aunque este comportamiento puede ser intencionado, podría indicar que se está ejecutando un contenedor en peligro en el clúster.
Tácticas de MITRE: LateralMovement
Gravedad: media
Se ha iniciado una posible minería de criptomonedas
(K8S.NODE_CryptoCoinMinerExecution) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes, ha detectado que se inicia un proceso de forma normal asociada a la minería de moneda digital.
Tácticas de MITRE: Ejecución
Gravedad: media
Acceso a contraseñas sospechoso
(K8S.NODE_SuspectPasswordFileAccess) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un intento sospechoso de acceder a las contraseñas de usuario cifradas.
Tácticas de MITRE: Persistencia
Gravedad: informativo
Se detectó un posible shell web malintencionado.
(K8S.NODE_Webshell) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor detectó un posible shell web. A menudo, los atacantes cargan un shell web en un recurso de proceso que han puesto en peligro para obtener persistencia o para realizar un mayor aprovechamiento.
Tácticas de MITRE: Persistencia, Explotación
Gravedad: media
La ráfaga de varios comandos de reconocimiento podría indicar la actividad inicial después de un peligro
(K8S.NODE_ReconnaissanceArtifactsBurst) 1
Descripción: el análisis de los datos de host o dispositivo detectó la ejecución de varios comandos de reconocimiento relacionados con la recopilación de detalles del sistema o host realizados por atacantes después del riesgo inicial.
Tácticas de MITRE: detección, colección
Gravedad: baja
Actividad de descarga y ejecución sospechosa
(K8S.NODE_DownloadAndRunCombo) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes, ha detectado que se descarga un archivo que se está descargando y, a continuación, se ejecuta en el mismo comando. Aunque esta técnica no siempre es malintencionada, es muy común que los atacantes la usen para obtener archivos malintencionados de las máquinas víctimas.
Tácticas de MITRE: Ejecución, CommandAndControl, Explotación
Gravedad: media
Se detectó el acceso al archivo kubeconfig kubelet
(K8S.NODE_KubeConfigAccess) 1
Descripción: el análisis de los procesos que se ejecutan en un nodo de clúster de Kubernetes detectó acceso al archivo kubeconfig en el host. El archivo kubeconfig, que normalmente usa el proceso de Kubelet, contiene credenciales para el servidor de API del clúster de Kubernetes. El acceso a este archivo suele estar asociado a que los atacantes intenten acceder a esas credenciales o a herramientas de análisis de seguridad que comprueban si se puede acceder al archivo.
Tácticas de MITRE: CredentialAccess
Gravedad: media
Se detectó acceso al servicio de metadatos en la nube
(K8S.NODE_ImdsCall) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor detectó acceso al servicio de metadatos en la nube para adquirir el token de identidad. Normalmente, el contenedor no realiza esa operación. Aunque este comportamiento puede ser legítimo, los atacantes pueden usar esta técnica para acceder a los recursos en la nube después de obtener acceso inicial a un contenedor en ejecución.
Tácticas de MITRE: CredentialAccess
Gravedad: media
Se ha detectado un agente de MITRE Caldera
(K8S.NODE_MitreCalderaTools) 1
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un proceso sospechoso. Esto suele asociarse con el agente MITRE 54ndc47, que podría usarse malintencionadamente para atacar otras máquinas.
Tácticas de MITRE: Persistencia, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation
Gravedad: media
1: Versión preliminar de los clústeres que no son de AKS: esta alerta está disponible con carácter general para los clústeres de AKS, pero está en versión preliminar para otros entornos, como Azure Arc, EKS y GKE.
2: Limitaciones de los clústeres de GKE: GKE usa una directiva de auditoría de Kubernetes que no admite todos los tipos de alertas. Como resultado, esta alerta de seguridad, que se basa en eventos de auditoría de Kubernetes, no se admite para los clústeres de GKE.
3: esta alerta la admiten los nodos o contenedores de Windows.
Nota:
En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.