Tárolókra vonatkozó riasztások – Kubernetes-fürtök
Ez a cikk felsorolja a tárolókra és Kubernetes-fürtökre vonatkozó biztonsági riasztásokat Felhőhöz készült Microsoft Defender, valamint az engedélyezett Microsoft Defender-csomagokat. A környezetben megjelenő riasztások a védeni kívánt erőforrásoktól és szolgáltatásoktól, valamint a testre szabott konfigurációtól függenek.
Feljegyzés
Előfordulhat, hogy a Microsoft Defender Intelligens veszélyforrás-felderítés és Végponthoz készült Microsoft Defender által nemrég hozzáadott riasztások némelyike visszavonva.
Megtudhatja, hogyan válaszolhat ezekre a riasztásokra.
Megtudhatja, hogyan exportálhat riasztásokat.
Feljegyzés
A különböző forrásokból származó riasztások megjelenése különböző időt vehet igénybe. A hálózati forgalom elemzését igénylő riasztások például tovább tarthatnak, mint a virtuális gépeken futó gyanús folyamatokkal kapcsolatos riasztások.
Tárolókra és Kubernetes-fürtökre vonatkozó riasztások
A Microsoft Defender for Containers biztonsági riasztásokat biztosít a fürt szintjén és a mögöttes fürtcsomópontokon a vezérlősík (API-kiszolgáló) és maga a tárolóalapú számítási feladat figyelésével. A vezérlősík biztonsági riasztásait a riasztástípus előtagja K8S_ ismerheti fel. A fürtök futtatókörnyezeti számítási feladataira vonatkozó biztonsági riasztásokat a K8S.NODE_ riasztástípus előtagja ismerheti fel. Az összes riasztás csak Linux rendszeren támogatott, kivéve, ha másként van feltüntetve.
További részletek és megjegyzések
Közzétett Postgres-szolgáltatás megbízhatósági hitelesítési konfigurációval a Kubernetesben (előzetes verzió)
(K8S_ExposedPostgresTrustAuth)
Leírás: A Kubernetes-fürtkonfiguráció elemzése egy Postgres-szolgáltatás terheléselosztó általi expozícióját észlelte. A szolgáltatás megbízhatósági hitelesítési módszerrel van konfigurálva, amely nem igényel hitelesítő adatokat.
MITRE-taktikák: InitialAccess
Súlyosság: Közepes
Közzétett Postgres-szolgáltatás kockázatos konfigurációval a Kubernetesben (előzetes verzió)
(K8S_ExposedPostgresBroadIPRange)
Leírás: A Kubernetes-fürtkonfiguráció elemzése egy Postgres-szolgáltatás expozícióját észlelte egy kockázatos konfigurációjú terheléselosztó által. A szolgáltatás ip-címek széles körének való felfedése biztonsági kockázatot jelent.
MITRE-taktikák: InitialAccess
Súlyosság: Közepes
Új Linux-névtér létrehozása egy észlelt tárolóból
(K8S. NODE_NamespaceCreation) 1
Leírás: A Kubernetes-fürtben egy tárolóban futó folyamatok elemzése egy új Linux-névtér létrehozására tett kísérletet észlelt. Bár ez a viselkedés jogos lehet, azt jelezheti, hogy egy támadó megpróbál menekülni a tárolóból a csomópontra. Egyes CVE-2022-0185-kihasználások ezt a technikát használják.
MITRE-taktikák: PrivilegeEscalation
Súlyosság: Tájékoztató
Törölve lett egy előzményfájl
(K8S. NODE_HistoryFileCleared) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a parancselőzmények naplófájlja törölve lett. A támadók ezt megtehetik, hogy eltüntetik a nyomaikat. A műveletet a megadott felhasználói fiók hajtotta végre.
MITRE taktika: DefenseEvasion
Súlyosság: Közepes
A Kuberneteshez társított felügyelt identitás rendellenes tevékenysége (előzetes verzió)
(K8S_AbnormalMiActivity)
Leírás: Az Azure Resource Manager-műveletek elemzése egy AKS-bővítmény által használt felügyelt identitás rendellenes viselkedését észlelte. Az észlelt tevékenység nem összhangban van a társított bővítmény viselkedésével. Bár ez a tevékenység jogos lehet, az ilyen viselkedés azt jelezheti, hogy az identitást egy támadó szerezte, esetleg egy sérült tárolóból a Kubernetes-fürtben.
MITRE taktika: Oldalirányú mozgás
Súlyosság: Közepes
Rendellenes Kubernetes-szolgáltatásfiók-művelet észlelhető
(K8S_ServiceAccountRareOperation)
Leírás: A Kubernetes naplózási naplóelemzése rendellenes viselkedést észlelt a Kubernetes-fürt egyik szolgáltatásfiókja által. A szolgáltatásfiókot egy művelethez használták, ami ebben a szolgáltatásfiókban nem gyakori. Bár ez a tevékenység jogos lehet, az ilyen viselkedés azt jelezheti, hogy a szolgáltatásfiókot rosszindulatú célokra használják.
MITRE-taktikák: Lateral Movement, Credential Access
Súlyosság: Közepes
Nem gyakori kapcsolati kísérlet észlelhető
(K8S. NODE_SuspectConnection) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése nem gyakori kapcsolati kísérletet észlelt egy zokniprotokoll használatával. Ez a normál műveletekben nagyon ritka, de a hálózati rétegészleléseket megkerülni próbáló támadók egyik ismert technikája.
MITRE-taktikák: Végrehajtás, kiszivárgás, kizsákmányolás
Súlyosság: Közepes
Kísérlet az apt-daily-upgrade.timer szolgáltatás észlelésének leállítására
(K8S. NODE_TimerServiceDisabled) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése az apt-daily-upgrade.timer szolgáltatás leállítására tett kísérletet észlelt. A támadók megfigyelték, hogy a szolgáltatás leállítja a rosszindulatú fájlok letöltését, és végrehajtási jogosultságokat adnak a támadásaikhoz. Ez a tevékenység akkor is előfordulhat, ha a szolgáltatás normál felügyeleti műveletekkel frissül.
MITRE taktika: DefenseEvasion
Súlyosság: Tájékoztató
A gyakran észlelt Linux-robotokhoz hasonló viselkedés (előzetes verzió)
(K8S. NODE_CommonBot)
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése egy olyan folyamat végrehajtását észlelte, amely általában a gyakori Linux-botnetekhez van társítva.
MITRE-taktikák: Végrehajtás, gyűjtemény, parancs és vezérlés
Súlyosság: Közepes
Parancs magas jogosultságokkal rendelkező tárolón belül
(K8S. NODE_PrivilegedExecutionInContainer) 1
Leírás: A gépnaplók azt jelzik, hogy egy emelt szintű parancsot futtattak egy Docker-tárolóban. A kiemelt parancsok kiterjesztett jogosultságokkal rendelkezik a gazdagépen.
MITRE-taktikák: PrivilegeEscalation
Súlyosság: Tájékoztató
Emelt szintű módban futó tároló
(K8S. NODE_PrivilegedContainerArtifacts) 1
Leírás: A tárolón belül vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése észlelte egy kiemelt tárolót futtató Docker-parancs végrehajtását. A kiemelt tároló teljes hozzáféréssel rendelkezik az üzemeltetési podhoz vagy a gazdagép erőforrásához. Ha sérült, előfordulhat, hogy a támadó a kiemelt tárolóval fér hozzá az üzemeltetési podhoz vagy a gazdagéphez.
MITRE-taktikák: PrivilegeEscalation, Execution
Súlyosság: Tájékoztató
Tároló érzékeny kötet csatlakoztatásával
(K8S_SensitiveMount)
Leírás: A Kubernetes naplózási naplóelemzése egy új tárolót észlelt, amely érzékeny kötet csatlakoztatásával rendelkezik. Az észlelt kötet egy hostPath-típus, amely egy bizalmas fájlt vagy mappát csatlakoztat a csomópontról a tárolóhoz. Ha a tároló megsérül, a támadó ezt a csatlakoztatást használhatja a csomóponthoz való hozzáféréshez.
MITRE-taktikák: Jogosultságok eszkalálása
Súlyosság: Tájékoztató
CoreDNS-módosítás észlelhető a Kubernetesben
Leírás: A Kubernetes naplóelemzése a CoreDNS-konfiguráció módosítását észlelte. A CoreDNS konfigurációja a konfigurációtérkép felülírásával módosítható. Bár ez a tevékenység jogos lehet, ha a támadók rendelkeznek engedéllyel a konfigurációtérkép módosítására, megváltoztathatják a fürt DNS-kiszolgálójának viselkedését, és megmérgezhetik azt.
MITRE taktika: Oldalirányú mozgás
Súlyosság: Alacsony
A beléptetési webhook konfigurációjának létrehozása észlelhető
(K8S_AdmissionController) 3
Leírás: A Kubernetes naplózási naplóelemzése új belépési webhook-konfigurációt észlelt. A Kubernetes két beépített általános beléptető vezérlővel rendelkezik: a MutatingAdmissionWebhook és a ValidatingAdmissionWebhook. Ezeknek a beléptető vezérlőknek a viselkedését a felhasználó által a fürtön üzembe helyezett belépési webhook határozza meg. Az ilyen beléptető vezérlők használata jogos lehet, de a támadók használhatják az ilyen webhookokat a kérések módosításához (a MutatingAdmissionWebhook esetén), vagy megvizsgálhatják a kéréseket, és bizalmas információkat szerezhetnek (ValidatingAdmissionWebhook esetén).
MITRE-taktikák: Hitelesítő adatok elérése, megőrzése
Súlyosság: Tájékoztató
Ismert rosszindulatú forrásból származó fájlletöltés észlelhető
(K8S. NODE_SuspectDownload) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy egy fájl letöltése olyan forrásból származik, amelyet gyakran használnak kártevők terjesztésére.
MITRE-taktikák: PrivilegeEscalation, Execution, Exfiltration, Command and Control
Súlyosság: Közepes
Gyanús fájlletöltés észlelhető
(K8S. NODE_SuspectDownloadArtifacts) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése egy távoli fájl gyanús letöltését észlelte.
MITRE-taktikák: Állandóság
Súlyosság: Tájékoztató
A nohup parancs gyanús használatát észlelte
(K8S. NODE_SuspectNohup) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése a nohup parancs gyanús használatát észlelte. A támadók a nohup parancs használatával rejtett fájlokat futtathatnak egy ideiglenes könyvtárból, hogy a végrehajtható fájlok a háttérben fussanak. Ritkán látható, hogy ez a parancs egy ideiglenes könyvtárban található rejtett fájlokon fut.
MITRE-taktikák: Perzisztencia, DefenseEvasion
Súlyosság: Közepes
A useradd parancs gyanús használatát észlelte
(K8S. NODE_SuspectUserAddition) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése a useradd parancs gyanús használatát észlelte.
MITRE-taktikák: Állandóság
Súlyosság: Közepes
Digitális pénznembányászati tároló észlelhető
(K8S_MaliciousContainerImage) 3
Leírás: A Kubernetes naplózási naplóelemzése olyan tárolót észlelt, amely egy digitális pénznembányászati eszközhöz társított képpel rendelkezik.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
A digitális pénznembányászattal kapcsolatos viselkedés észlelhető
(K8S. NODE_DigitalCurrencyMining) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése olyan folyamat vagy parancs végrehajtását észlelte, amely általában a digitális pénznembányászathoz kapcsolódik.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
Kubernetes-csomóponton észlelt Docker-buildművelet
(K8S. NODE_ImageBuildOnNode) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése egy Kubernetes-csomóponton lévő tárolórendszerkép buildelési műveletét észlelte. Bár ez a viselkedés jogos lehet, előfordulhat, hogy a támadók helyileg építik fel a rosszindulatú rendszerképeiket az észlelés elkerülése érdekében.
MITRE taktika: DefenseEvasion
Súlyosság: Tájékoztató
Közzétett Kubeflow-irányítópult észlelve
(K8S_ExposedKubeflow)
Leírás: A Kubernetes naplózási naplóelemzése a Kubeflow-t futtató fürtön lévő terheléselosztó által észlelt Istio Bejövő forgalom expozícióját észlelte. Ez a művelet elérhetővé teheti a Kubeflow-irányítópultot az interneten. Ha az irányítópult elérhető az interneten, a támadók hozzáférhetnek hozzá, és rosszindulatú tárolókat vagy kódot futtathatnak a fürtön. További részletekért tekintse meg a következő cikket: https://www.microsoft.com/en-us/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
Közzétett Kubernetes-irányítópult észlelve
(K8S_ExposedDashboard)
Leírás: A Kubernetes auditnapló-elemzése a Kubernetes-irányítópult terheléselosztási szolgáltatás általi expozícióját észlelte. A közzétett irányítópult nem hitelesített hozzáférést biztosít a fürtkezeléshez, és biztonsági fenyegetést jelent.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Magas
Közzétett Kubernetes-szolgáltatás észlelhető
(K8S_ExposedService)
Leírás: A Kubernetes naplóelemzése egy szolgáltatás terheléselosztó általi expozícióját észlelte. Ez a szolgáltatás egy bizalmas alkalmazáshoz kapcsolódik, amely nagy hatással van a fürtre, például folyamatokat futtat a csomóponton, vagy új tárolókat hoz létre. Bizonyos esetekben ez a szolgáltatás nem igényel hitelesítést. Ha a szolgáltatás nem igényel hitelesítést, az interneten való felfedése biztonsági kockázatot jelent.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
Közzétett Redis-szolgáltatás észlelhető az AKS-ben
(K8S_ExposedRedis)
Leírás: A Kubernetes auditnapló-elemzése egy Redis-szolgáltatás terheléselosztó általi expozícióját észlelte. Ha a szolgáltatás nem igényel hitelesítést, az interneten való felfedése biztonsági kockázatot jelent.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Alacsony
A DDOS-eszközkészlethez társított jelzők észlelhetők
(K8S. NODE_KnownLinuxDDoSToolkit) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése olyan fájlneveket észlelt, amelyek egy olyan kártevőhöz társított eszközkészlet részét képezik, amely képes DDoS-támadások indítására, portok és szolgáltatások megnyitására, valamint a fertőzött rendszer teljes felügyeletére. Ez akár jogos tevékenység is lehet.
MITRE-taktikák: Perzisztencia, LateralMovement, Végrehajtás, Kizsákmányolás
Súlyosság: Közepes
A K8S API-kérések proxy IP-címről észlelhetők
(K8S_TI_Proxy) 3
Leírás: A Kubernetes naplózási naplóelemzése api-kéréseket észlelt a fürthöz a proxyszolgáltatásokhoz, például a TOR-hoz társított IP-címről. Bár ez a viselkedés lehet jogos, gyakran rosszindulatú tevékenységekben látható, amikor a támadók megpróbálják elrejteni a forrás IP-címüket.
MITRE-taktikák: Végrehajtás
Súlyosság: Alacsony
Kubernetes-események törölve
Leírás: Felhőhöz készült Defender észlelte, hogy néhány Kubernetes-esemény törölve lett. A Kubernetes-események olyan objektumok a Kubernetesben, amelyek információkat tartalmaznak a fürt változásairól. A támadók törölhetik ezeket az eseményeket, hogy elrejtsék a műveleteiket a fürtben.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Alacsony
Kubernetes behatolástesztelő eszköz észlelhető
(K8S_PenTestToolsKubeHunter)
Leírás: A Kubernetes auditnapló-elemzése a Kubernetes behatolástesztelő eszköz használatát észlelte az AKS-fürtben. Bár ez a viselkedés jogos lehet, a támadók rosszindulatú célokra használhatják az ilyen nyilvános eszközöket.
MITRE-taktikák: Végrehajtás
Súlyosság: Alacsony
Felhőhöz készült Microsoft Defender tesztriasztás (nem fenyegetés)
(K8S. NODE_EICAR) 1
Leírás: Ez a Felhőhöz készült Microsoft Defender által létrehozott tesztriasztás. Nincs szükség további beavatkozásra.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
Új tárolót észlelt a kube-system névtérben
(K8S_KubeSystemContainer) 3
Leírás: A Kubernetes naplózási naplóelemzése egy új tárolót észlelt a kube-system névtérben, amely nem szerepel az ebben a névtérben általában futó tárolók között. A kube-system névterek nem tartalmazhatnak felhasználói erőforrásokat. A támadók ezt a névteret használhatják a rosszindulatú összetevők elrejtéséhez.
MITRE-taktikák: Állandóság
Súlyosság: Tájékoztató
Új magas jogosultsági szerepkör észlelhető
(K8S_HighPrivilegesRole) 3
Leírás: A Kubernetes naplózási naplóelemzése egy új, magas jogosultságokkal rendelkező szerepkört észlelt. A magas jogosultságokkal rendelkező szerepkörhöz való kötés magas jogosultságokat biztosít a felhasználó\csoport számára a fürtben. A szükségtelen jogosultságok jogosultságok eszkalálódását okozhatják a fürtben.
MITRE-taktikák: Állandóság
Súlyosság: Tájékoztató
Lehetséges támadási eszköz észlelhető
(K8S. NODE_KnownLinuxAttackTool) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése gyanús eszközhívást észlelt. Ez az eszköz gyakran társítva van másokat támadó rosszindulatú felhasználókkal.
MITRE-taktikák: Végrehajtás, gyűjtemény, parancs és vezérlés, próba
Súlyosság: Közepes
Lehetséges backdoor észlelve
(K8S. NODE_LinuxBackdoorArtifact) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a rendszer gyanús fájlt tölt le és futtat. Ezt a tevékenységet korábban egy háttérrendszer telepítésével társították.
MITRE-taktikák: Perzisztencia, DefenseEvasion, Végrehajtás, Kizsákmányolás
Súlyosság: Közepes
Lehetséges parancssori kihasználási kísérlet
(K8S. NODE_ExploitAttempt) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése lehetséges kihasználási kísérletet észlelt egy ismert biztonsági rés ellen.
MITRE-taktikák: Hasznosítás
Súlyosság: Közepes
Lehetséges hitelesítőadat-hozzáférési eszköz észlelhető
(K8S. NODE_KnownLinuxCredentialAccessTool) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a tárolón egy lehetséges ismert hitelesítőadat-hozzáférési eszköz fut, amelyet a megadott folyamat- és parancssori előzményelem azonosított. Ez az eszköz gyakran a hitelesítő adatok elérésére tett támadói kísérletekhez van társítva.
MITRE-taktikák: CredentialAccess
Súlyosság: Közepes
Lehetséges Cryptocoinminer-letöltés észlelhető
(K8S. NODE_CryptoCoinMinerDownload) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése észlelte a digitális pénznembányászathoz általában társított fájl letöltését.
MITRE-taktikák: DefenseEvasion, Command And Control, Exploitation
Súlyosság: Közepes
Lehetséges naplózási módosítási tevékenység észlelhető
(K8S. NODE_SystemLogRemoval) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése észlelte a felhasználók tevékenységét nyomon követő fájlok lehetséges eltávolítását a művelet során. A támadók gyakran megpróbálják elkerülni az észlelést, és az ilyen naplófájlok törlésével nem hagynak nyomot a rosszindulatú tevékenységekben.
MITRE taktika: DefenseEvasion
Súlyosság: Közepes
Lehetséges jelszómódosítás titkosítási módszerrel
(K8S. NODE_SuspectPasswordChange) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése jelszómódosítást észlelt a titkosítási módszerrel. A támadók ezt a módosítást elvégezhetik a hozzáférés folytatásához és a biztonság megőrzéséhez a kompromisszum után.
MITRE-taktikák: CredentialAccess
Súlyosság: Közepes
Lehetséges porttovábbítás külső IP-címre
(K8S. NODE_SuspectPortForwarding) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a porttovábbítás egy külső IP-címre történt.
MITRE-taktikák: Exfiltration, Command and Control
Súlyosság: Közepes
Lehetséges fordított rendszerhéj észlelhető
(K8S. NODE_ReverseShell) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése potenciális fordított rendszerhéjat észlelt. Ezek arra szolgálnak, hogy feltört gépet kérjenek vissza egy támadó tulajdonában lévő gépre.
MITRE-taktikák: Exfiltration, Exploitation
Súlyosság: Közepes
Emelt szintű tároló észlelhető
(K8S_PrivilegedContainer)
Leírás: A Kubernetes naplóelemzése új emelt szintű tárolót észlelt. A kiemelt tárolók hozzáférnek a csomópont erőforrásaihoz, és megszakítják a tárolók közötti elkülönítést. Ha sérült, a támadó a kiemelt tárolóval férhet hozzá a csomóponthoz.
MITRE-taktikák: Jogosultságok eszkalálása
Súlyosság: Tájékoztató
A digitális pénznembányászattal társított folyamat észlelhető
(K8S. NODE_CryptoCoinMinerArtifacts) 1
Leírás: A tárolón belül futó folyamatok elemzése egy, a digitális pénznembányászathoz általában kapcsolódó folyamat végrehajtását észlelte.
MITRE-taktikák: Végrehajtás, kizsákmányolás
Súlyosság: Közepes
Az SSH által engedélyezett kulcsfájl szokatlan módon való elérésének folyamata
(K8S. NODE_SshKeyAccess) 1
Leírás: Egy SSH-authorized_keys fájl az ismert kártevőkampányokhoz hasonló módszerrel lett elérve. Ez a hozzáférés azt jelezheti, hogy egy szereplő állandó hozzáférést próbál szerezni egy géphez.
MITRE-taktikák: Ismeretlen
Súlyosság: Tájékoztató
A fürt-rendszergazda szerepkörhöz való szerepkör-kötés észlelhető
(K8S_ClusterAdminBinding)
Leírás: A Kubernetes naplózási naplóelemzése új kötést észlelt a fürt-rendszergazda szerepkörhöz, amely rendszergazdai jogosultságokat biztosít. A szükségtelen rendszergazdai jogosultságok jogosultságok eszkalálódását okozhatják a fürtben.
MITRE-taktikák: Adatmegőrzés, PrivilegeEscalation
Súlyosság: Tájékoztató
Biztonsági jellegű folyamatvégzítés észlelhető
(K8S. NODE_SuspectProcessTermination) 1
Leírás: A tárolón belül vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a tároló biztonsági monitorozásával kapcsolatos folyamatok leállítására tett kísérlet történt. A támadók gyakran megpróbálják megszakítani az ilyen folyamatokat előre definiált szkriptek használatával a feltörés után.
MITRE-taktikák: Állandóság
Súlyosság: Alacsony
Az SSH-kiszolgáló tárolón belül fut
(K8S. NODE_ContainerSSH) 1
Leírás: A tárolón belüli folyamatok elemzése a tárolón belül futó SSH-kiszolgálót észlelt.
MITRE-taktikák: Végrehajtás
Súlyosság: Tájékoztató
Gyanús fájlidőbélyeg módosítása
(K8S. NODE_TimestampTampering) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése gyanús időbélyeg-módosítást észlelt. A támadók gyakran átmásolják az időbélyegeket a meglévő megbízható fájlokból az új eszközökre, hogy elkerüljék az újonnan elvetett fájlok észlelését.
MITRE-taktikák: Perzisztencia, DefenseEvasion
Súlyosság: Alacsony
Gyanús kérés a Kubernetes API-hoz
(K8S. NODE_KubernetesAPI) 1
Leírás: A tárolóban futó folyamatok elemzése azt jelzi, hogy gyanús kérés érkezett a Kubernetes API-hoz. A kérés a fürt egyik tárolójából lett elküldve. Bár ez a viselkedés szándékos lehet, azt jelezheti, hogy egy sérült tároló fut a fürtben.
MITRE-taktikák: LateralMovement
Súlyosság: Közepes
Gyanús kérés a Kubernetes-irányítópultra
(K8S. NODE_KubernetesDashboard) 1
Leírás: A tárolón belüli folyamatok elemzése azt jelzi, hogy gyanús kérés érkezett a Kubernetes-irányítópultra. A kérés a fürt egyik tárolójából lett elküldve. Bár ez a viselkedés szándékos lehet, azt jelezheti, hogy egy sérült tároló fut a fürtben.
MITRE-taktikák: LateralMovement
Súlyosság: Közepes
Megkezdődött a potenciális kriptopénz-bányász
(K8S. NODE_CryptoCoinMinerExecution) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a folyamat a digitális pénznembányászathoz általában kapcsolódó módon indult el.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Gyanús jelszóhozzáférés
(K8S. NODE_SuspectPasswordFileAccess) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése gyanús kísérletet észlelt a titkosított felhasználói jelszavak elérésére.
MITRE-taktikák: Állandóság
Súlyosság: Tájékoztató
Lehetséges rosszindulatú webes rendszerhéj észlelhető
(K8S. NODE_Webshell) 1
Leírás: A tárolón belüli folyamatok elemzése egy lehetséges webes rendszerhéjat észlelt. A támadók gyakran feltöltenek egy webes rendszerhéjat egy olyan számítási erőforrásba, amely biztonsága veszélybe került, hogy megőrizze vagy tovább kiaknázhassa őket.
MITRE-taktikák: Perzisztencia, kizsákmányolás
Súlyosság: Közepes
Több felderítési parancs kipukkadása a sérülés utáni kezdeti tevékenységet jelezheti
(K8S. NODE_ReconnaissanceArtifactsBurst) 1
Leírás: A gazdagép-/eszközadatok elemzése több felderítési parancs végrehajtását észlelte a rendszer vagy a támadók által a kezdeti biztonsági rés után végrehajtott gazdagépadatok gyűjtéséhez kapcsolódóan.
MITRE-taktikák: Felderítés, Gyűjtemény
Súlyosság: Alacsony
Gyanús letöltés, majd tevékenység futtatása
(K8S. NODE_DownloadAndRunCombo) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a letöltött fájl ugyanabban a parancsban fut. Bár ez nem mindig rosszindulatú, ez egy nagyon gyakori módszer, a támadók rosszindulatú fájlokat kapnak az áldozati gépekre.
MITRE-taktikák: Végrehajtás, CommandAndControl, Kizsákmányolás
Súlyosság: Közepes
A kubelet kubeconfig fájlhoz való hozzáférés észlelhető
(K8S. NODE_KubeConfigAccess) 1
Leírás: A Kubernetes-fürtcsomóponton futó folyamatok elemzése a gazdagép kubeconfig-fájljának hozzáférését észlelte. A Kubelet-folyamat által általában használt kubeconfig fájl a Kubernetes-fürt API-kiszolgálójának hitelesítő adatait tartalmazza. A fájlhoz való hozzáférést gyakran a támadók próbálják elérni, vagy biztonsági ellenőrző eszközökkel, amelyek ellenőrzik, hogy a fájl elérhető-e.
MITRE-taktikák: CredentialAccess
Súlyosság: Közepes
A felhőalapú metaadat-szolgáltatáshoz való hozzáférés észlelhető
(K8S. NODE_ImdsCall) 1
Leírás: A tárolón belül futó folyamatok elemzése a felhő metaadat-szolgáltatáshoz való hozzáférését észlelte az identitásjogkivonat beszerzéséhez. A tároló általában nem végez ilyen műveletet. Bár ez a viselkedés jogos lehet, a támadók ezt a technikát használhatják a felhőbeli erőforrások eléréséhez, miután kezdeti hozzáférést szereznek egy futó tárolóhoz.
MITRE-taktikák: CredentialAccess
Súlyosság: Közepes
MITRE Caldera-ügynök észlelhető
(K8S. NODE_MitreCalderaTools) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése gyanús folyamatot észlelt. Ez gyakran a MITRE 54ndc47 ügynökhöz van társítva, amely rosszindulatúan használható más gépek megtámadására.
MITRE-taktikák: Persistence, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command and Control, Probing, Exploitation
Súlyosság: Közepes
1: Előzetes verzió nem AKS-fürtökhöz: Ez a riasztás általánosan elérhető az AKS-fürtökhöz, de előzetes verzióban érhető el más környezetekhez, például az Azure Archoz, az EKS-hez és a GKE-hez.
2: A GKE-fürtök korlátozásai: A GKE olyan Kubernetes-naplózási szabályzatot használ, amely nem támogatja az összes riasztástípust. Ennek eredményeképpen ez a Kubernetes-naplózási eseményeken alapuló biztonsági riasztás nem támogatott a GKE-fürtök esetében.
3: Ez a riasztás windowsos csomópontokon/tárolókon támogatott.
Feljegyzés
Előzetes verziójú riasztások esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.