Alertes pour les conteneurs - Clusters Kubernetes
Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour les conteneurs et les clusters Kubernetes à partir de Microsoft Defender pour le cloud et de tous les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.
Remarque
Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.
Découvrez comment répondre à ces alertes.
Découvrez comment exporter des alertes.
Notes
Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.
Alertes pour les conteneurs et les clusters Kubernetes
Microsoft Defender pour les conteneurs fournit des alertes de sécurité au niveau du cluster et sur les nœuds de cluster sous-jacents en supervisant le plan de contrôle (serveur d’API) et la charge de travail conteneurisée elle-même. Les alertes de sécurité du plan de contrôle peuvent être identifiées par un préfixe K8S_ du type d’alerte. Les alertes de sécurité pour la charge de travail d’exécution dans les clusters peuvent être reconnues par le préfixe K8S.NODE_ du type d’alerte. Toutes les alertes sont prises en charge uniquement sur Linux, sauf indication contraire.
Informations complémentaires et notes
Service Postgres exposé avec une configuration d’authentification par approbation dans Kubernetes détecté (préversion)
(K8S_ExposedPostgresTrustAuth)
Description : l’analyse de la configuration du cluster Kubernetes a détecté l’exposition d’un service Postgres par un équilibreur de charge. Le service est configuré avec la méthode d’authentification par approbation qui ne nécessite pas d’informations d’identification.
Tactiques MITRE : InitialAccess
Gravité : moyenne
Service Postgres exposé avec une configuration à risque dans Kubernetes détecté (préversion)
(K8S_ExposedPostgresBroadIPRange)
Description : l’analyse de la configuration du cluster Kubernetes a détecté l’exposition d’un service Postgres par un équilibreur de charge avec une configuration risquée. L’exposition du service à un large éventail d’adresses IP présente un risque pour la sécurité.
Tactiques MITRE : InitialAccess
Gravité : moyenne
Tentative de création d’un espace de noms Linux à partir d’un conteneur détecté
(K8S.NODE_NamespaceCreation) 1
Description : l’analyse des processus exécutés dans un conteneur dans un cluster Kubernetes a détecté une tentative de création d’un espace de noms Linux. Bien que ce comportement soit légitime, il peut indiquer qu’un attaquant tente de s’échapper du conteneur au nœud. Certaines exploitations de faille CVE-2022-0185 utilisent cette technique.
Tactiques MITRE : PrivilegeEscalation
Gravité : Information
Un fichier d’historique a été effacé
(K8S.NODE_HistoryFileCleared) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté que le fichier journal de l’historique des commandes a été effacé. Les attaquants peuvent le faire pour couvrir leurs traces. L’opération a été effectuée par le compte d’utilisateur spécifié.
Tactiques MITRE : DefenseEvasion
Gravité : moyenne
Activité anormale de l’identité managée associée à Kubernetes (préversion)
(K8S_AbnormalMiActivity)
Description : l’analyse des opérations Azure Resource Manager a détecté un comportement anormal d’une identité managée utilisée par un module complémentaire AKS. L’activité détectée n’est pas cohérente avec le comportement du module complémentaire associé. Bien que cette activité puisse être légitime, un tel comportement peut indiquer que l’identité a été acquise par une personne malveillante, éventuellement à partir d’un conteneur compromis dans le cluster Kubernetes.
Tactiques MITRE : Mouvement latéral
Gravité : moyenne
Opération de compte de service Kubernetes anormale détectée
(K8S_ServiceAccountRareOperation)
Description : l’analyse du journal d’audit Kubernetes a détecté un comportement anormal par un compte de service dans votre cluster Kubernetes. Le compte de service a été utilisé pour une opération, ce qui n’est pas habituel de ce compte de service. Bien que cette activité puisse être légitime, un tel comportement peut indiquer que le compte de service est actuellement utilisé à des fins malveillantes.
Tactiques MITRE : Mouvement latéral, accès aux informations d’identification
Gravité : moyenne
Une tentative de connexion non courante a été détectée
(K8S.NODE_SuspectConnection) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative de connexion rare utilisant un protocole de chaussettes. Cela est très rare lors du fonctionnement normal, mais il s’agit d’une technique connue pour les attaquants tentant de contourner les détections de couche réseau.
Tactiques MITRE : Exécution, Exfiltration, Exploitation
Gravité : moyenne
Détection d’une tentative d’arrêt du service apt-daily-upgrade.timer
(K8S.NODE_TimerServiceDisabled) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative d’arrêt du service apt-daily-upgrade.timer. Il a été observé que des attaquants ont arrêté ce service pour télécharger des fichiers malveillants et accorder des privilèges d’exécution pour leurs attaques. Cette activité peut également se produire si le service est mis à jour par le biais d’actions d’administration normales.
Tactiques MITRE : DefenseEvasion
Gravité : Information
Détection d’un comportement similaire aux bots Linux courants (préversion)
(K8S.NODE_CommonBot)
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté l’exécution d’un processus normalement associé aux botnets Linux courants.
Tactiques MITRE : exécution, collection, commande et contrôle
Gravité : moyenne
Commande dans un conteneur s’exécutant avec des privilèges élevés
(K8S.NODE_PrivilegedExecutionInContainer) 1
Description : les journaux d’activité de l’ordinateur indiquent qu’une commande privilégiée a été exécutée dans un conteneur Docker. Une commande privilégiée a des privilèges étendus sur la machine hôte.
Tactiques MITRE : PrivilegeEscalation
Gravité : Information
Conteneur s’exécutant en mode privilégié
(K8S.NODE_PrivilegedContainerArtifacts) 1
Description : l’analyse des processus s’exécutant dans un conteneur ou directement sur un nœud Kubernetes a détecté l’exécution d’une commande Docker qui exécute un conteneur privilégié. Le conteneur privilégié dispose d’un accès total au pod d’hébergement ou à la ressource hôte. En cas de compromission, un attaquant peut utiliser le conteneur privilégié pour accéder au pod d’hébergement ou à l’hôte.
Tactiques MITRE : PrivilegeEscalation, Execution
Gravité : Information
Conteneur avec un montage de volume sensible détecté
(K8S_SensitiveMount)
Description : l’analyse du journal d’audit Kubernetes a détecté un nouveau conteneur avec un montage de volume sensible. Le volume détecté est un type hostPath qui monte un fichier ou un dossier sensible depuis le nœud sur le conteneur. Si le conteneur est compromis, l’attaquant peut utiliser ce montage pour accéder au nœud.
Tactiques MITRE : Escalade de privilèges
Gravité : Information
Détection d’une modification de CoreDNS dans Kubernetes
Description : l’analyse du journal d’audit Kubernetes a détecté une modification de la configuration CoreDNS. Vous pouvez modifier la configuration de CoreDNS en remplaçant son configmap. Bien que cette activité puisse être légitime, si des attaquants sont autorisés à modifier le configmap, ils peuvent modifier le comportement du serveur DNS du cluster et l’empoisonner.
Tactiques MITRE : Mouvement latéral
Gravité : faible
Détection de la création d’une configuration de webhook d’admission
(K8S_AdmissionController) 3
Description : l’analyse du journal d’audit Kubernetes a détecté une nouvelle configuration de webhook d’admission. Kubernetes possède deux contrôleurs d’admission génériques intégrés : MutatingAdmissionWebhook et ValidatingAdmissionWebhook. Le comportement de ces contrôleurs d’admission est déterminé par un webhook d’admission que l’utilisateur déploie sur le cluster. L’utilisation de ces contrôleurs d’admission peut être légitime, mais des attaquants peuvent utiliser ces webhooks pour modifier les demandes (dans le cas de MutatingAdmissionWebhook) ou inspecter les demandes et obtenir des informations sensibles (dans le cas de ValidatingAdmissionWebhook).
Tactiques MITRE : Accès aux informations d’identification, Persistance
Gravité : Information
Détection de téléchargements de fichiers à partir d’une source malveillante connue
(K8S.NODE_SuspectDownload) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un téléchargement d’un fichier à partir d’une source fréquemment utilisée pour distribuer des programmes malveillants.
Tactiques MITRE : PrivilegeEscalation, Execution, Exfiltration, Command And Control
Gravité : moyenne
Détection d’un téléchargement de fichier suspect
(K8S.NODE_SuspectDownloadArtifacts) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un téléchargement suspect d’un fichier distant.
Tactiques MITRE : Persistance
Gravité : Information
Détection d’une utilisation suspecte de la commande nohup
(K8S.NODE_SuspectNohup) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une utilisation suspecte de la commande nohup. Des attaquants ont exécuté la commande nohup pour exécuter des fichiers masqués à partir d’un répertoire temporaire afin de permettre à leurs exécutables de se lancer en arrière-plan. Il est rare que cette commande s’exécute sur des fichiers masqués situés dans un répertoire temporaire.
Tactiques MITRE : Persistance, DefenseEvasion
Gravité : moyenne
Détection d’une utilisation suspecte de la commande useradd
(K8S.NODE_SuspectUserAddition) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une utilisation suspecte de la commande useradd.
Tactiques MITRE : Persistance
Gravité : moyenne
Conteneur d’extraction de données monétaires numériques détecté
(K8S_MaliciousContainerImage) 3
Description : l’analyse du journal d’audit Kubernetes a détecté un conteneur qui a une image associée à un outil d’exploration de données monétaire numérique.
Tactiques MITRE : Exécution
Gravité : élevée
Détection d’un comportement lié au minage de devises numériques
(K8S.NODE_DigitalCurrencyMining) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une exécution d’un processus ou d’une commande normalement associé à l’exploration de données monétaire numérique.
Tactiques MITRE : Exécution
Gravité : élevée
Détection d’une opération de création Docker sur un nœud Kubernetes
(K8S.NODE_ImageBuildOnNode) 1
Description : l’analyse des processus s’exécutant dans un conteneur ou directement sur un nœud Kubernetes a détecté une opération de génération d’une image conteneur sur un nœud Kubernetes. Bien que ce comportement puisse être légitime, des attaquants peuvent générer leurs images malveillantes localement pour éviter d’être détectés.
Tactiques MITRE : DefenseEvasion
Gravité : Information
Tableau de bord Kubeflow exposé détecté
(K8S_ExposedKubeflow)
Description : L’analyse du journal d’audit Kubernetes a détecté l’exposition de l’entrée Istio par un équilibreur de charge dans un cluster qui exécute Kubeflow. Cette action peut exposer le tableau de bord Kubeflow à Internet. Si le tableau de bord est exposé à Internet, les attaquants peuvent y accéder et exécuter du code ou des conteneurs malveillants sur le cluster. Pour plus d’informations, consultez l’article suivant : https://www.microsoft.com/en-us/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/.
Tactiques MITRE : Accès initial
Gravité : moyenne
Tableau de bord Kubernetes exposé détecté
(K8S_ExposedDashboard)
Description : l’analyse du journal d’audit Kubernetes a détecté l’exposition du tableau de bord Kubernetes par un service LoadBalancer. Un tableau de bord exposé permet un accès non authentifié à la gestion des clusters et constitue une menace pour la sécurité.
Tactiques MITRE : Accès initial
Gravité : élevée
Service Kubernetes exposé détecté
(K8S_ExposedService)
Description : l’analyse du journal d’audit Kubernetes a détecté l’exposition d’un service par un équilibreur de charge. Ce service est lié à une application sensible qui autorise des opérations à impact élevé dans le cluster, comme l’exécution de processus sur le nœud ou la création de conteneurs. Dans certains cas, ce service ne requiert pas d’authentification. Si le service ne requiert pas d’authentification, son exposition à Internet présente un risque pour la sécurité.
Tactiques MITRE : Accès initial
Gravité : moyenne
Service Redis exposé dans AKS détecté
(K8S_ExposedRedis)
Description : l’analyse du journal d’audit Kubernetes a détecté l’exposition d’un service Redis par un équilibreur de charge. Si le service ne requiert pas d’authentification, son exposition à Internet présente un risque pour la sécurité.
Tactiques MITRE : Accès initial
Gravité : faible
Détection d’indicateurs associés à DDOS Toolkit
(K8S.NODE_KnownLinuxDDoSToolkit) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté des noms de fichiers qui font partie d’un kit de ressources associé à un programme malveillant capable de lancer des attaques DDoS, d’ouvrir des ports et des services et de prendre un contrôle total sur le système infecté. Il peut également s’agir d’une activité légitime.
Tactiques MITRE : Persistance, LateralMovement, Exécution, Exploitation
Gravité : moyenne
Détection de demandes d’API K8S provenant d’une adresse IP de proxy
(K8S_TI_Proxy) 3
Description : l’analyse des journaux d’audit Kubernetes a détecté des demandes d’API adressées à votre cluster à partir d’une adresse IP associée aux services proxy, comme TOR. Bien que ce comportement puisse être légitime, il est souvent observé dans le cadre d’activités malveillantes, lorsque les attaquants tentent de dissimuler leur adresse IP source.
Tactiques MITRE : Exécution
Gravité : faible
Événements Kubernetes supprimés
Description : Defender pour le cloud détecté que certains événements Kubernetes ont été supprimés. Les événements Kubernetes sont des objets dans Kubernetes qui contiennent des informations sur les changements du cluster. Des attaquants peuvent supprimer ces événements pour dissimuler leurs opérations dans le cluster.
Tactiques MITRE : Évasion de défense
Gravité : faible
Détection d’un outil de test d’intrusion Kubernetes
(K8S_PenTestToolsKubeHunter)
Description : l’analyse des journaux d’audit Kubernetes a détecté l’utilisation de l’outil de test d’intrusion Kubernetes dans le cluster AKS. Bien que ce comportement puisse être légitime, des attaquants peuvent utiliser ces outils publics à des fins malveillantes.
Tactiques MITRE : Exécution
Gravité : faible
alerte de test Microsoft Defender pour le cloud (pas une menace)
(K8S.NODE_EICAR) 1
Description : il s’agit d’une alerte de test générée par Microsoft Defender pour le cloud. Aucune action supplémentaire n’est requise.
Tactiques MITRE : Exécution
Gravité : élevée
Nouveau conteneur détecté dans l’espace de noms kube-system
(K8S_KubeSystemContainer) 3
Description : l’analyse du journal d’audit Kubernetes a détecté un nouveau conteneur dans l’espace de noms kube-system qui n’est pas parmi les conteneurs qui s’exécutent normalement dans cet espace de noms. Les espaces de noms kube-system ne doivent pas contenir de ressources utilisateur. Des attaquants peuvent utiliser cet espace de noms pour dissimuler des composants malveillants.
Tactiques MITRE : Persistance
Gravité : Information
Nouveau rôle avec privilèges élevés détecté
(K8S_HighPrivilegesRole) 3
Description : l’analyse du journal d’audit Kubernetes a détecté un nouveau rôle avec des privilèges élevés. Une liaison à un rôle avec des privilèges élevés donne à l’utilisateur/au groupe des privilèges élevés dans le cluster. Des privilèges inutiles peuvent entraîner une escalade des privilèges dans le cluster.
Tactiques MITRE : Persistance
Gravité : Information
Possible détection d’un outil d’attaque
(K8S.NODE_KnownLinuxAttackTool) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un appel d’outil suspect. Cet outil est souvent associé à l’attaque d’autres ordinateurs par des utilisateurs malveillants.
Tactiques MITRE : exécution, collection, commande et contrôle, détection
Gravité : moyenne
Détection d’une possible porte dérobée
(K8S.NODE_LinuxBackdoorArtifact) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un fichier suspect téléchargé et exécuté. Cette activité a été précédemment associée à l’installation d’une porte dérobée.
Tactiques MITRE : Persistance, DefenseEvasion, Exécution, Exploitation
Gravité : moyenne
Tentative d’exploitation de la ligne de commande possible
(K8S.NODE_ExploitAttempt) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative d’exploitation possible contre une vulnérabilité connue.
Tactiques MITRE : Exploitation
Gravité : moyenne
Possible détection d’un outil d’accès aux informations d’identification
(K8S.NODE_KnownLinuxCredentialAccessTool) 1
Description : l’analyse des processus s’exécutant dans un conteneur ou directement sur un nœud Kubernetes a détecté qu’un outil d’accès aux informations d’identification connus possible s’exécutait sur le conteneur, comme identifié par le processus spécifié et l’élément d’historique de ligne de commande. Cet outil est souvent associé aux tentatives d’accès aux informations d’identification par un attaquant.
Tactiques MITRE : CredentialAccess
Gravité : moyenne
Détection d’un possible téléchargement Cryptocoinminer
(K8S.NODE_CryptoCoinMinerDownload) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté le téléchargement d’un fichier normalement associé à l’exploration de données monétaire numérique.
Tactiques MITRE : DefenseEvasion, Command And Control, Exploitation
Gravité : moyenne
Possible détection d’une activité de falsification du journal
(K8S.NODE_SystemLogRemoval) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une suppression possible des fichiers qui effectuent le suivi de l’activité de l’utilisateur au cours de son opération. Les attaquants essaient souvent d’échapper à la détection et de ne laisser aucune trace des activités malveillantes en supprimant ces fichiers journaux.
Tactiques MITRE : DefenseEvasion
Gravité : moyenne
Détection possible d’une modification de mot de passe à l’aide d’une méthode chiffrée
(K8S.NODE_SuspectPasswordChange) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une modification de mot de passe à l’aide de la méthode de chiffrement. Les attaquants peuvent effectuer cette modification pour continuer à bénéficier d’un accès et obtenir la persistance après une attaque.
Tactiques MITRE : CredentialAccess
Gravité : moyenne
Réacheminement potentiel d’un port vers une adresse IP externe
(K8S.NODE_SuspectPortForwarding) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un lancement du transfert de port vers une adresse IP externe.
Tactiques MITRE : Exfiltration, Commande et contrôle
Gravité : moyenne
Possible détection d’un interpréteur de commandes inverse
(K8S.NODE_ReverseShell) 1
Description : l’analyse des processus s’exécutant dans un conteneur ou directement sur un nœud Kubernetes a détecté un interpréteur de commandes inversé potentiel. Ils sont utilisés pour faire en sorte que l’ordinateur compromis puisse rappeler un ordinateur qui appartient à l’attaquant.
Tactiques MITRE : Exfiltration, Exploitation
Gravité : moyenne
Conteneur privilégié détecté
(K8S_PrivilegedContainer)
Description : l’analyse du journal d’audit Kubernetes a détecté un nouveau conteneur privilégié. Un conteneur privilégié a accès aux ressources du nœud et rompt l’isolation entre les conteneurs. En cas de compromission, un attaquant peut utiliser le conteneur privilégié pour accéder au nœud.
Tactiques MITRE : Escalade de privilèges
Gravité : Information
Détection d’un processus associé au minage de devises numériques
(K8S.NODE_CryptoCoinMinerArtifacts) 1
Description : l’analyse des processus en cours d’exécution dans un conteneur a détecté l’exécution d’un processus normalement associé à l’exploration de devises numériques.
Tactiques MITRE : Exécution, Exploitation
Gravité : moyenne
Détection d’un processus accédant de façon inhabituelle au fichier de clés autorisées SSH
(K8S.NODE_SshKeyAccess) 1
Description : Un fichier de authorized_keys SSH a été accessible dans une méthode similaire aux campagnes de programmes malveillants connus. Cet accès peut signifier qu’un acteur tente d’obtenir un accès permanent à une machine.
Tactiques MITRE : Inconnu
Gravité : Information
Liaison de rôle au rôle d’administrateur de cluster détecté
(K8S_ClusterAdminBinding)
Description : l’analyse du journal d’audit Kubernetes a détecté une nouvelle liaison au rôle d’administrateur de cluster qui donne des privilèges d’administrateur. Des privilèges d’administrateur inutiles peuvent entraîner une escalade des privilèges dans le cluster.
Tactiques MITRE : Persistance, PrivilegeEscalation
Gravité : Information
Arrêt de processus liés à la sécurité détecté
(K8S.NODE_SuspectProcessTermination) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative d’arrêt des processus liés à la surveillance de la sécurité sur le conteneur. Les attaquants essaient souvent d’arrêter ces processus à l’aide de la compromission de scripts prédéfinis.
Tactiques MITRE : Persistance
Gravité : faible
Le serveur SSH s’exécute à l’intérieur d’un conteneur
(K8S.NODE_ContainerSSH) 1
Description : l’analyse des processus exécutés dans un conteneur a détecté un serveur SSH s’exécutant à l’intérieur du conteneur.
Tactiques MITRE : Exécution
Gravité : Information
Modification suspecte de l’horodatage des fichiers
(K8S.NODE_TimestampTampering) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une modification suspecte de l’horodatage. Les attaquants copient souvent les horodatages de fichiers légitimes existants dans de nouveaux outils pour empêcher la détection de ces fichiers supprimés.
Tactiques MITRE : Persistance, DefenseEvasion
Gravité : faible
Demande suspecte à l’API Kubernetes
(K8S.NODE_KubernetesAPI) 1
Description : l’analyse des processus exécutés dans un conteneur indique qu’une demande suspecte a été effectuée à l’API Kubernetes. La requête a été envoyée à partir d’un conteneur dans le cluster. Bien que ce comportement puisse être intentionnel, il peut indiquer qu’un conteneur compromis s’exécute dans le cluster.
Tactiques MITRE : LateralMovement
Gravité : moyenne
Demande suspecte au tableau de bord Kubernetes
(K8S.NODE_KubernetesDashboard) 1
Description : l’analyse des processus exécutés dans un conteneur indique qu’une demande suspecte a été effectuée dans le tableau de bord Kubernetes. La requête a été envoyée à partir d’un conteneur dans le cluster. Bien que ce comportement puisse être intentionnel, il peut indiquer qu’un conteneur compromis s’exécute dans le cluster.
Tactiques MITRE : LateralMovement
Gravité : moyenne
Un mineur potentiel de cryptomonnaie a démarré
(K8S.NODE_CryptoCoinMinerExecution) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté qu’un processus a été démarré de manière normalement associé à l’exploration de devises numériques.
Tactiques MITRE : Exécution
Gravité : moyenne
Accès suspect aux mots de passe
(K8S.NODE_SuspectPasswordFileAccess) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative suspecte d’accès aux mots de passe utilisateur chiffrés.
Tactiques MITRE : Persistance
Gravité : Information
Détection possible d’un interpréteur de commandes web malveillant
(K8S.NODE_Webshell) 1
Description : l’analyse des processus en cours d’exécution dans un conteneur a détecté un interpréteur de commandes web possible. Les attaquants chargent généralement un interpréteur de commandes web sur une ressource de calcul compromise pour s’y installer ou l’exploiter de manière approfondie.
Tactiques MITRE : Persistance, Exploitation
Gravité : moyenne
Une rafale de plusieurs commandes de reconnaissance peut indiquer l’activité initiale après la compromission
(K8S.NODE_ReconnaissanceArtifactsBurst) 1
Description : l’analyse des données de l’hôte/de l’appareil a détecté l’exécution de plusieurs commandes de reconnaissance liées à la collecte des détails du système ou de l’hôte effectuées par des attaquants après la compromission initiale.
Tactiques MITRE : Découverte, Collection
Gravité : faible
Activité de téléchargement puis d’exécution suspecte
(K8S.NODE_DownloadAndRunCombo) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté qu’un fichier est téléchargé, puis exécuté dans la même commande. Bien que cela ne soit pas toujours malveillant, il s’agit d’une technique très courante utilisée par les attaquants pour obtenir des fichiers malveillants sur des ordinateurs victimes.
Tactiques MITRE : Exécution, CommandAndControl, Exploitation
Gravité : moyenne
Accès au fichier kubelet kubeconfig détecté
(K8S.NODE_KubeConfigAccess) 1
Description : l’analyse des processus en cours d’exécution sur un nœud de cluster Kubernetes a détecté l’accès au fichier kubeconfig sur l’hôte. Le fichier kubeconfig, normalement utilisé par le processus Kubelet, contient des informations d’identification pour le serveur d’API du cluster Kubernetes. L’accès à ce fichier est souvent associé à des attaquants qui tentent d’accéder à ces informations d’identification ou à des outils d’analyse de la sécurité qui vérifient si le fichier est accessible.
Tactiques MITRE : CredentialAccess
Gravité : moyenne
Détection de l’accès au service de métadonnées cloud
(K8S.NODE_ImdsCall) 1
Description : Analyse des processus en cours d’exécution dans un conteneur détecté l’accès au service de métadonnées cloud pour l’acquisition du jeton d’identité. Le conteneur n’effectue normalement pas de telles opérations. Bien que ce comportement soit légitime, les attaquants peuvent utiliser cette technique pour accéder aux ressources cloud après avoir obtenu un accès initial à un conteneur en cours d’exécution.
Tactiques MITRE : CredentialAccess
Gravité : moyenne
Agent MITRE Caldera détecté
(K8S.NODE_MitreCalderaTools) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un processus suspect. Cela est souvent associé à l’agent MITRE 54ndc47, qui peut être utilisé de manière malveillante pour attaquer d’autres machines.
Tactiques MITRE : Persistance, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation
Gravité : moyenne
1 : Préversion pour les clusters non AKS : cette alerte est généralement disponible pour les clusters AKS, mais elle est en préversion pour d’autres environnements, tels qu’Azure Arc, EKS et GKE.
2 : Limitations sur les clusters GKE : GKE utilise une stratégie d’audit Kubernetes qui ne prend pas en charge tous les types d’alerte. Par conséquent, cette alerte de sécurité, qui est basée sur les événements d’audit Kubernetes, n’est pas prise en charge pour les clusters GKE.
3 : Cette alerte est prise en charge sur les nœuds/conteneurs Windows.
Remarque
Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.