Alertes pour les conteneurs - Clusters Kubernetes

Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour les conteneurs et les clusters Kubernetes à partir de Microsoft Defender pour le cloud et de tous les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.

Remarque

Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.

Découvrez comment répondre à ces alertes.

Découvrez comment exporter des alertes.

Notes

Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.

Alertes pour les conteneurs et les clusters Kubernetes

Microsoft Defender pour les conteneurs fournit des alertes de sécurité au niveau du cluster et sur les nœuds de cluster sous-jacents en supervisant le plan de contrôle (serveur d’API) et la charge de travail conteneurisée elle-même. Les alertes de sécurité du plan de contrôle peuvent être identifiées par un préfixe K8S_ du type d’alerte. Les alertes de sécurité pour la charge de travail d’exécution dans les clusters peuvent être reconnues par le préfixe K8S.NODE_ du type d’alerte. Toutes les alertes sont prises en charge uniquement sur Linux, sauf indication contraire.

Informations complémentaires et notes

Service Postgres exposé avec une configuration d’authentification par approbation dans Kubernetes détecté (préversion)

(K8S_ExposedPostgresTrustAuth)

Description : l’analyse de la configuration du cluster Kubernetes a détecté l’exposition d’un service Postgres par un équilibreur de charge. Le service est configuré avec la méthode d’authentification par approbation qui ne nécessite pas d’informations d’identification.

Tactiques MITRE : InitialAccess

Gravité : moyenne

Service Postgres exposé avec une configuration à risque dans Kubernetes détecté (préversion)

(K8S_ExposedPostgresBroadIPRange)

Description : l’analyse de la configuration du cluster Kubernetes a détecté l’exposition d’un service Postgres par un équilibreur de charge avec une configuration risquée. L’exposition du service à un large éventail d’adresses IP présente un risque pour la sécurité.

Tactiques MITRE : InitialAccess

Gravité : moyenne

Tentative de création d’un espace de noms Linux à partir d’un conteneur détecté

(K8S.NODE_NamespaceCreation) ¹

Description : l’analyse des processus exécutés dans un conteneur dans un cluster Kubernetes a détecté une tentative de création d’un espace de noms Linux. Bien que ce comportement soit légitime, il peut indiquer qu’un attaquant tente de s’échapper du conteneur au nœud. Certaines exploitations de faille CVE-2022-0185 utilisent cette technique.

Tactiques MITRE : PrivilegeEscalation

Gravité : Information

Un fichier d’historique a été effacé

(K8S.NODE_HistoryFileCleared) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté que le fichier journal de l’historique des commandes a été effacé. Les attaquants peuvent le faire pour couvrir leurs traces. L’opération a été effectuée par le compte d’utilisateur spécifié.

Tactiques MITRE : DefenseEvasion

Gravité : moyenne

Activité anormale de l’identité managée associée à Kubernetes (préversion)

(K8S_AbnormalMiActivity)

Description : l’analyse des opérations Azure Resource Manager a détecté un comportement anormal d’une identité managée utilisée par un module complémentaire AKS. L’activité détectée n’est pas cohérente avec le comportement du module complémentaire associé. Bien que cette activité puisse être légitime, un tel comportement peut indiquer que l’identité a été acquise par une personne malveillante, éventuellement à partir d’un conteneur compromis dans le cluster Kubernetes.

Tactiques MITRE : Mouvement latéral

Gravité : moyenne

Opération de compte de service Kubernetes anormale détectée

(K8S_ServiceAccountRareOperation)

Description : l’analyse du journal d’audit Kubernetes a détecté un comportement anormal par un compte de service dans votre cluster Kubernetes. Le compte de service a été utilisé pour une opération, ce qui n’est pas habituel de ce compte de service. Bien que cette activité puisse être légitime, un tel comportement peut indiquer que le compte de service est actuellement utilisé à des fins malveillantes.

Tactiques MITRE : Mouvement latéral, accès aux informations d’identification

Gravité : moyenne

Une tentative de connexion non courante a été détectée

(K8S.NODE_SuspectConnection) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative de connexion rare utilisant un protocole de chaussettes. Cela est très rare lors du fonctionnement normal, mais il s’agit d’une technique connue pour les attaquants tentant de contourner les détections de couche réseau.

Tactiques MITRE : Exécution, Exfiltration, Exploitation

Gravité : moyenne

Détection d’une tentative d’arrêt du service apt-daily-upgrade.timer

(K8S.NODE_TimerServiceDisabled) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative d’arrêt du service apt-daily-upgrade.timer. Il a été observé que des attaquants ont arrêté ce service pour télécharger des fichiers malveillants et accorder des privilèges d’exécution pour leurs attaques. Cette activité peut également se produire si le service est mis à jour par le biais d’actions d’administration normales.

Tactiques MITRE : DefenseEvasion

Gravité : Information

Détection d’un comportement similaire aux bots Linux courants (préversion)

(K8S.NODE_CommonBot)

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté l’exécution d’un processus normalement associé aux botnets Linux courants.

Tactiques MITRE : exécution, collection, commande et contrôle

Gravité : moyenne

Commande dans un conteneur s’exécutant avec des privilèges élevés

(K8S.NODE_PrivilegedExecutionInContainer) ¹

Description : les journaux d’activité de l’ordinateur indiquent qu’une commande privilégiée a été exécutée dans un conteneur Docker. Une commande privilégiée a des privilèges étendus sur la machine hôte.

Tactiques MITRE : PrivilegeEscalation

Gravité : Information

Conteneur s’exécutant en mode privilégié

(K8S.NODE_PrivilegedContainerArtifacts) ¹

Description : l’analyse des processus s’exécutant dans un conteneur ou directement sur un nœud Kubernetes a détecté l’exécution d’une commande Docker qui exécute un conteneur privilégié. Le conteneur privilégié dispose d’un accès total au pod d’hébergement ou à la ressource hôte. En cas de compromission, un attaquant peut utiliser le conteneur privilégié pour accéder au pod d’hébergement ou à l’hôte.

Tactiques MITRE : PrivilegeEscalation, Execution

Gravité : Information

Conteneur avec un montage de volume sensible détecté

(K8S_SensitiveMount)

Description : l’analyse du journal d’audit Kubernetes a détecté un nouveau conteneur avec un montage de volume sensible. Le volume détecté est un type hostPath qui monte un fichier ou un dossier sensible depuis le nœud sur le conteneur. Si le conteneur est compromis, l’attaquant peut utiliser ce montage pour accéder au nœud.

Tactiques MITRE : Escalade de privilèges

Gravité : Information

Détection d’une modification de CoreDNS dans Kubernetes

(K8S_CoreDnsModification) ^{2 3}

Description : l’analyse du journal d’audit Kubernetes a détecté une modification de la configuration CoreDNS. Vous pouvez modifier la configuration de CoreDNS en remplaçant son configmap. Bien que cette activité puisse être légitime, si des attaquants sont autorisés à modifier le configmap, ils peuvent modifier le comportement du serveur DNS du cluster et l’empoisonner.

Tactiques MITRE : Mouvement latéral

Gravité : faible

Détection de la création d’une configuration de webhook d’admission

(K8S_AdmissionController) ³

Description : l’analyse du journal d’audit Kubernetes a détecté une nouvelle configuration de webhook d’admission. Kubernetes possède deux contrôleurs d’admission génériques intégrés : MutatingAdmissionWebhook et ValidatingAdmissionWebhook. Le comportement de ces contrôleurs d’admission est déterminé par un webhook d’admission que l’utilisateur déploie sur le cluster. L’utilisation de ces contrôleurs d’admission peut être légitime, mais des attaquants peuvent utiliser ces webhooks pour modifier les demandes (dans le cas de MutatingAdmissionWebhook) ou inspecter les demandes et obtenir des informations sensibles (dans le cas de ValidatingAdmissionWebhook).

Tactiques MITRE : Accès aux informations d’identification, Persistance

Gravité : Information

Détection de téléchargements de fichiers à partir d’une source malveillante connue

(K8S.NODE_SuspectDownload) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un téléchargement d’un fichier à partir d’une source fréquemment utilisée pour distribuer des programmes malveillants.

Tactiques MITRE : PrivilegeEscalation, Execution, Exfiltration, Command And Control

Gravité : moyenne

Détection d’un téléchargement de fichier suspect

(K8S.NODE_SuspectDownloadArtifacts) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un téléchargement suspect d’un fichier distant.

Tactiques MITRE : Persistance

Gravité : Information

Détection d’une utilisation suspecte de la commande nohup

(K8S.NODE_SuspectNohup) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une utilisation suspecte de la commande nohup. Des attaquants ont exécuté la commande nohup pour exécuter des fichiers masqués à partir d’un répertoire temporaire afin de permettre à leurs exécutables de se lancer en arrière-plan. Il est rare que cette commande s’exécute sur des fichiers masqués situés dans un répertoire temporaire.

Tactiques MITRE : Persistance, DefenseEvasion

Gravité : moyenne

Détection d’une utilisation suspecte de la commande useradd

(K8S.NODE_SuspectUserAddition) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une utilisation suspecte de la commande useradd.

Tactiques MITRE : Persistance

Gravité : moyenne

Conteneur d’extraction de données monétaires numériques détecté

(K8S_MaliciousContainerImage) ³

Description : l’analyse du journal d’audit Kubernetes a détecté un conteneur qui a une image associée à un outil d’exploration de données monétaire numérique.

Tactiques MITRE : Exécution

Gravité : élevée

Détection d’un comportement lié au minage de devises numériques

(K8S.NODE_DigitalCurrencyMining) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une exécution d’un processus ou d’une commande normalement associé à l’exploration de données monétaire numérique.

Tactiques MITRE : Exécution

Gravité : élevée

Détection d’une opération de création Docker sur un nœud Kubernetes

(K8S.NODE_ImageBuildOnNode) ¹

Description : l’analyse des processus s’exécutant dans un conteneur ou directement sur un nœud Kubernetes a détecté une opération de génération d’une image conteneur sur un nœud Kubernetes. Bien que ce comportement puisse être légitime, des attaquants peuvent générer leurs images malveillantes localement pour éviter d’être détectés.

Tactiques MITRE : DefenseEvasion

Gravité : Information

Tableau de bord Kubeflow exposé détecté

(K8S_ExposedKubeflow)

Description : L’analyse du journal d’audit Kubernetes a détecté l’exposition de l’entrée Istio par un équilibreur de charge dans un cluster qui exécute Kubeflow. Cette action peut exposer le tableau de bord Kubeflow à Internet. Si le tableau de bord est exposé à Internet, les attaquants peuvent y accéder et exécuter du code ou des conteneurs malveillants sur le cluster. Pour plus d’informations, consultez l’article suivant : https://aka.ms/exposedkubeflow-blog.

Tactiques MITRE : Accès initial

Gravité : moyenne

Tableau de bord Kubernetes exposé détecté

(K8S_ExposedDashboard)

Description : l’analyse du journal d’audit Kubernetes a détecté l’exposition du tableau de bord Kubernetes par un service LoadBalancer. Un tableau de bord exposé permet un accès non authentifié à la gestion des clusters et constitue une menace pour la sécurité.

Tactiques MITRE : Accès initial

Gravité : élevée

Service Kubernetes exposé détecté

(K8S_ExposedService)

Description : l’analyse du journal d’audit Kubernetes a détecté l’exposition d’un service par un équilibreur de charge. Ce service est lié à une application sensible qui autorise des opérations à impact élevé dans le cluster, comme l’exécution de processus sur le nœud ou la création de conteneurs. Dans certains cas, ce service ne requiert pas d’authentification. Si le service ne requiert pas d’authentification, son exposition à Internet présente un risque pour la sécurité.

Tactiques MITRE : Accès initial

Gravité : moyenne

Service Redis exposé dans AKS détecté

(K8S_ExposedRedis)

Description : l’analyse du journal d’audit Kubernetes a détecté l’exposition d’un service Redis par un équilibreur de charge. Si le service ne requiert pas d’authentification, son exposition à Internet présente un risque pour la sécurité.

Tactiques MITRE : Accès initial

Gravité : faible

Détection d’indicateurs associés à DDOS Toolkit

(K8S.NODE_KnownLinuxDDoSToolkit) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté des noms de fichiers qui font partie d’un kit de ressources associé à un programme malveillant capable de lancer des attaques DDoS, d’ouvrir des ports et des services et de prendre un contrôle total sur le système infecté. Il peut également s’agir d’une activité légitime.

Tactiques MITRE : Persistance, LateralMovement, Exécution, Exploitation

Gravité : moyenne

Détection de demandes d’API K8S provenant d’une adresse IP de proxy

(K8S_TI_Proxy) ³

Description : l’analyse des journaux d’audit Kubernetes a détecté des demandes d’API adressées à votre cluster à partir d’une adresse IP associée aux services proxy, comme TOR. Bien que ce comportement puisse être légitime, il est souvent observé dans le cadre d’activités malveillantes, lorsque les attaquants tentent de dissimuler leur adresse IP source.

Tactiques MITRE : Exécution

Gravité : faible

Événements Kubernetes supprimés

(K8S_DeleteEvents) ^{2 3}

Description : Defender pour le cloud détecté que certains événements Kubernetes ont été supprimés. Les événements Kubernetes sont des objets dans Kubernetes qui contiennent des informations sur les changements du cluster. Des attaquants peuvent supprimer ces événements pour dissimuler leurs opérations dans le cluster.

Tactiques MITRE : Évasion de défense

Gravité : faible

Détection d’un outil de test d’intrusion Kubernetes

(K8S_PenTestToolsKubeHunter)

Description : l’analyse des journaux d’audit Kubernetes a détecté l’utilisation de l’outil de test d’intrusion Kubernetes dans le cluster AKS. Bien que ce comportement puisse être légitime, des attaquants peuvent utiliser ces outils publics à des fins malveillantes.

Tactiques MITRE : Exécution

Gravité : faible

alerte de test Microsoft Defender pour le cloud (pas une menace)

(K8S.NODE_EICAR) ¹

Description : il s’agit d’une alerte de test générée par Microsoft Defender pour le cloud. Aucune action supplémentaire n’est requise.

Tactiques MITRE : Exécution

Gravité : élevée

Nouveau conteneur détecté dans l’espace de noms kube-system

(K8S_KubeSystemContainer) ³

Description : l’analyse du journal d’audit Kubernetes a détecté un nouveau conteneur dans l’espace de noms kube-system qui n’est pas parmi les conteneurs qui s’exécutent normalement dans cet espace de noms. Les espaces de noms kube-system ne doivent pas contenir de ressources utilisateur. Des attaquants peuvent utiliser cet espace de noms pour dissimuler des composants malveillants.

Tactiques MITRE : Persistance

Gravité : Information

Nouveau rôle avec privilèges élevés détecté

(K8S_HighPrivilegesRole) ³

Description : l’analyse du journal d’audit Kubernetes a détecté un nouveau rôle avec des privilèges élevés. Une liaison à un rôle avec des privilèges élevés donne à l’utilisateur/au groupe des privilèges élevés dans le cluster. Des privilèges inutiles peuvent entraîner une escalade des privilèges dans le cluster.

Tactiques MITRE : Persistance

Gravité : Information

Possible détection d’un outil d’attaque

(K8S.NODE_KnownLinuxAttackTool) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un appel d’outil suspect. Cet outil est souvent associé à l’attaque d’autres ordinateurs par des utilisateurs malveillants.

Tactiques MITRE : exécution, collection, commande et contrôle, détection

Gravité : moyenne

Détection d’une possible porte dérobée

(K8S.NODE_LinuxBackdoorArtifact) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un fichier suspect téléchargé et exécuté. Cette activité a été précédemment associée à l’installation d’une porte dérobée.

Tactiques MITRE : Persistance, DefenseEvasion, Exécution, Exploitation

Gravité : moyenne

Tentative d’exploitation de la ligne de commande possible

(K8S.NODE_ExploitAttempt) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative d’exploitation possible contre une vulnérabilité connue.

Tactiques MITRE : Exploitation

Gravité : moyenne

Possible détection d’un outil d’accès aux informations d’identification

(K8S.NODE_KnownLinuxCredentialAccessTool) ¹

Description : l’analyse des processus s’exécutant dans un conteneur ou directement sur un nœud Kubernetes a détecté qu’un outil d’accès aux informations d’identification connus possible s’exécutait sur le conteneur, comme identifié par le processus spécifié et l’élément d’historique de ligne de commande. Cet outil est souvent associé aux tentatives d’accès aux informations d’identification par un attaquant.

Tactiques MITRE : CredentialAccess

Gravité : moyenne

Détection d’un possible téléchargement Cryptocoinminer

(K8S.NODE_CryptoCoinMinerDownload) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté le téléchargement d’un fichier normalement associé à l’exploration de données monétaire numérique.

Tactiques MITRE : DefenseEvasion, Command And Control, Exploitation

Gravité : moyenne

Possible détection d’une activité de falsification du journal

(K8S.NODE_SystemLogRemoval) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une suppression possible des fichiers qui effectuent le suivi de l’activité de l’utilisateur au cours de son opération. Les attaquants essaient souvent d’échapper à la détection et de ne laisser aucune trace des activités malveillantes en supprimant ces fichiers journaux.

Tactiques MITRE : DefenseEvasion

Gravité : moyenne

Détection possible d’une modification de mot de passe à l’aide d’une méthode chiffrée

(K8S.NODE_SuspectPasswordChange) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une modification de mot de passe à l’aide de la méthode de chiffrement. Les attaquants peuvent effectuer cette modification pour continuer à bénéficier d’un accès et obtenir la persistance après une attaque.

Tactiques MITRE : CredentialAccess

Gravité : moyenne

Réacheminement potentiel d’un port vers une adresse IP externe

(K8S.NODE_SuspectPortForwarding) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un lancement du transfert de port vers une adresse IP externe.

Tactiques MITRE : Exfiltration, Commande et contrôle

Gravité : moyenne

Possible détection d’un interpréteur de commandes inverse

(K8S.NODE_ReverseShell) ¹

Description : l’analyse des processus s’exécutant dans un conteneur ou directement sur un nœud Kubernetes a détecté un interpréteur de commandes inversé potentiel. Ils sont utilisés pour faire en sorte que l’ordinateur compromis puisse rappeler un ordinateur qui appartient à l’attaquant.

Tactiques MITRE : Exfiltration, Exploitation

Gravité : moyenne

Conteneur privilégié détecté

(K8S_PrivilegedContainer)

Description : l’analyse du journal d’audit Kubernetes a détecté un nouveau conteneur privilégié. Un conteneur privilégié a accès aux ressources du nœud et rompt l’isolation entre les conteneurs. En cas de compromission, un attaquant peut utiliser le conteneur privilégié pour accéder au nœud.

Tactiques MITRE : Escalade de privilèges

Gravité : Information

Détection d’un processus associé au minage de devises numériques

(K8S.NODE_CryptoCoinMinerArtifacts) ¹

Description : l’analyse des processus en cours d’exécution dans un conteneur a détecté l’exécution d’un processus normalement associé à l’exploration de devises numériques.

Tactiques MITRE : Exécution, Exploitation

Gravité : moyenne

Détection d’un processus accédant de façon inhabituelle au fichier de clés autorisées SSH

(K8S.NODE_SshKeyAccess) ¹

Description : Un fichier de authorized_keys SSH a été accessible dans une méthode similaire aux campagnes de programmes malveillants connus. Cet accès peut signifier qu’un acteur tente d’obtenir un accès permanent à une machine.

Tactiques MITRE : Inconnu

Gravité : Information

Liaison de rôle au rôle d’administrateur de cluster détecté

(K8S_ClusterAdminBinding)

Description : l’analyse du journal d’audit Kubernetes a détecté une nouvelle liaison au rôle d’administrateur de cluster qui donne des privilèges d’administrateur. Des privilèges d’administrateur inutiles peuvent entraîner une escalade des privilèges dans le cluster.

Tactiques MITRE : Persistance

Gravité : Information

Arrêt de processus liés à la sécurité détecté

(K8S.NODE_SuspectProcessTermination) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative d’arrêt des processus liés à la surveillance de la sécurité sur le conteneur. Les attaquants essaient souvent d’arrêter ces processus à l’aide de la compromission de scripts prédéfinis.

Tactiques MITRE : Persistance

Gravité : faible

Le serveur SSH s’exécute à l’intérieur d’un conteneur

(K8S.NODE_ContainerSSH) ¹

Description : l’analyse des processus exécutés dans un conteneur a détecté un serveur SSH s’exécutant à l’intérieur du conteneur.

Tactiques MITRE : Exécution

Gravité : Information

Modification suspecte de l’horodatage des fichiers

(K8S.NODE_TimestampTampering) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une modification suspecte de l’horodatage. Les attaquants copient souvent les horodatages de fichiers légitimes existants dans de nouveaux outils pour empêcher la détection de ces fichiers supprimés.

Tactiques MITRE : Persistance, DefenseEvasion

Gravité : faible

Demande suspecte à l’API Kubernetes

(K8S.NODE_KubernetesAPI) ¹

Description : l’analyse des processus exécutés dans un conteneur indique qu’une demande suspecte a été effectuée à l’API Kubernetes. La requête a été envoyée à partir d’un conteneur dans le cluster. Bien que ce comportement puisse être intentionnel, il peut indiquer qu’un conteneur compromis s’exécute dans le cluster.

Tactiques MITRE : LateralMovement

Gravité : moyenne

Demande suspecte au tableau de bord Kubernetes

(K8S.NODE_KubernetesDashboard) ¹

Description : l’analyse des processus exécutés dans un conteneur indique qu’une demande suspecte a été effectuée dans le tableau de bord Kubernetes. La requête a été envoyée à partir d’un conteneur dans le cluster. Bien que ce comportement puisse être intentionnel, il peut indiquer qu’un conteneur compromis s’exécute dans le cluster.

Tactiques MITRE : LateralMovement

Gravité : moyenne

Un mineur potentiel de cryptomonnaie a démarré

(K8S.NODE_CryptoCoinMinerExecution) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté qu’un processus a été démarré de manière normalement associé à l’exploration de devises numériques.

Tactiques MITRE : Exécution

Gravité : moyenne

Accès suspect aux mots de passe

(K8S.NODE_SuspectPasswordFileAccess) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative suspecte d’accès aux mots de passe utilisateur chiffrés.

Tactiques MITRE : Persistance

Gravité : Information

Détection possible d’un interpréteur de commandes web malveillant

(K8S.NODE_Webshell) ¹

Description : l’analyse des processus en cours d’exécution dans un conteneur a détecté un interpréteur de commandes web possible. Les attaquants chargent généralement un interpréteur de commandes web sur une ressource de calcul compromise pour s’y installer ou l’exploiter de manière approfondie.

Tactiques MITRE : Persistance, Exploitation

Gravité : moyenne

Une rafale de plusieurs commandes de reconnaissance peut indiquer l’activité initiale après la compromission

(K8S.NODE_ReconnaissanceArtifactsBurst) ¹

Description : l’analyse des données de l’hôte/de l’appareil a détecté l’exécution de plusieurs commandes de reconnaissance liées à la collecte des détails du système ou de l’hôte effectuées par des attaquants après la compromission initiale.

Tactiques MITRE : Découverte, Collection

Gravité : faible

Activité de téléchargement puis d’exécution suspecte

(K8S.NODE_DownloadAndRunCombo) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté qu’un fichier est téléchargé, puis exécuté dans la même commande. Bien que cela ne soit pas toujours malveillant, il s’agit d’une technique très courante utilisée par les attaquants pour obtenir des fichiers malveillants sur des ordinateurs victimes.

Tactiques MITRE : Exécution, CommandAndControl, Exploitation

Gravité : moyenne

Accès au fichier kubelet kubeconfig détecté

(K8S.NODE_KubeConfigAccess) ¹

Description : l’analyse des processus en cours d’exécution sur un nœud de cluster Kubernetes a détecté l’accès au fichier kubeconfig sur l’hôte. Le fichier kubeconfig, normalement utilisé par le processus Kubelet, contient des informations d’identification pour le serveur d’API du cluster Kubernetes. L’accès à ce fichier est souvent associé à des attaquants qui tentent d’accéder à ces informations d’identification ou à des outils d’analyse de la sécurité qui vérifient si le fichier est accessible.

Tactiques MITRE : CredentialAccess

Gravité : moyenne

Détection de l’accès au service de métadonnées cloud

(K8S.NODE_ImdsCall) ¹

Description : Analyse des processus en cours d’exécution dans un conteneur détecté l’accès au service de métadonnées cloud pour l’acquisition du jeton d’identité. Le conteneur n’effectue normalement pas de telles opérations. Bien que ce comportement soit légitime, les attaquants peuvent utiliser cette technique pour accéder aux ressources cloud après avoir obtenu un accès initial à un conteneur en cours d’exécution.

Tactiques MITRE : CredentialAccess

Gravité : moyenne

Agent MITRE Caldera détecté

(K8S.NODE_MitreCalderaTools) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un processus suspect. Cela est souvent associé à l’agent MITRE 54ndc47, qui peut être utilisé de manière malveillante pour attaquer d’autres machines.

Tactiques MITRE : Persistance, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation

Gravité : moyenne

¹ : Préversion pour les clusters non AKS : cette alerte est généralement disponible pour les clusters AKS, mais elle est en préversion pour d’autres environnements, tels qu’Azure Arc, EKS et GKE.

² : Limitations sur les clusters GKE : GKE utilise une stratégie d’audit Kubernetes qui ne prend pas en charge tous les types d’alerte. Par conséquent, cette alerte de sécurité, qui est basée sur les événements d’audit Kubernetes, n’est pas prise en charge pour les clusters GKE.

³ : Cette alerte est prise en charge sur les nœuds/conteneurs Windows.

Remarque

Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

Étapes suivantes

• Alertes de sécurité dans Microsoft Defender pour le cloud
• Gérer les alertes de sécurité et y répondre dans Microsoft Defender pour le cloud
• Exportation continue des données Defender pour le cloud