Pemberitahuan untuk Kluster Kubernetes

Defender untuk Kontainer menyediakan kemampuan pemberitahuan yang ditingkatkan untuk ancaman terhadap sarana kontrol Kubernetes (K8s) dan runtime beban kerja. Microsoft Defender untuk Titik Akhir (MDE) dan Inteligensi Ancaman Microsoft Defender juga mendeteksi ancaman yang relevan dengan kontainer K8s, dan dikombinasikan dengan sensor Defender, memberikan konteks yang diperkaya untuk pemberitahuan yang komprehensif dan dapat ditindaklanjuti untuk melindungi lingkungan K8s Anda.

Deteksi sarana kontrol

Di Kubernetes, sarana kontrol mengelola dan mengatur semua sumber daya dalam kluster. Defender for Containers mengidentifikasi potensi ancaman dalam sarana kontrol yang dapat membahayakan keamanan dan integritas seluruh kluster dengan memantau aktivitas server API K8s. Peristiwa penting ditangkap yang menunjukkan potensi ancaman keamanan, seperti operasi mencurigakan oleh akun layanan atau paparan layanan.

Contoh operasi mencurigakan yang diambil oleh Defender untuk Kontainer meliputi:

• Penyebaran kontainer istimewa dapat menjadi risiko keamanan karena mereka memberikan hak istimewa yang ditinggikan kontainer dalam sistem host. Kontainer istimewa dipantau untuk penyebaran yang tidak sah, penggunaan hak istimewa yang berlebihan, dan potensi kesalahan konfigurasi yang dapat menyebabkan pelanggaran keamanan.
• Paparan layanan berisiko ke Internet publik dapat mengekspos kluster Kubernetes ke potensi serangan. Kluster dipantau untuk layanan yang tidak sengaja diekspos, salah dikonfigurasi dengan kontrol akses yang terlalu permisif, atau tidak memiliki langkah-langkah keamanan yang tepat.
• Aktivitas akun layanan yang mencurigakan dapat menunjukkan akses yang tidak sah atau perilaku berbahaya dalam kluster. Kluster dipantau untuk pola yang tidak biasa seperti permintaan sumber daya yang berlebihan, panggilan API yang tidak sah, atau akses ke data sensitif.

Deteksi runtime beban kerja

Defender for Containers menggunakan sensor Defender untuk memantau aktivitas runtime beban kerja K8s untuk mendeteksi operasi yang mencurigakan, termasuk peristiwa pembuatan proses beban kerja.

Contoh aktivitas runtime beban kerja yang mencurigakan meliputi:

• Aktivitas shell web - Defender untuk Kontainer memantau aktivitas pada kontainer yang sedang berjalan untuk mengidentifikasi perilaku yang menyerupai pemanggilan shell web.
• Aktivitas penambangan kripto - Defender for Containers menggunakan beberapa heuristik untuk mengidentifikasi aktivitas penambangan kripto pada kontainer yang sedang berjalan, termasuk aktivitas unduhan yang mencurigakan, pengoptimalan CPU, eksekusi proses yang mencurigakan, dan banyak lagi.
• Alat pemindaian jaringan – Defender untuk Kontainer mengidentifikasi penggunaan alat pemindaian yang telah digunakan untuk aktivitas berbahaya.
• Deteksi penyimpangan biner - Defender untuk Cloud mengidentifikasi eksekusi biner beban kerja yang telah melayang dari gambar kontainer asli. Untuk informasi selengkapnya, baca tentang deteksi penyimpangan Biner.

Alat simulasi pemberitahuan K8s

Defender for Containers menyediakan alat untuk mensimulasikan berbagai skenario serangan dalam lingkungan K8s Anda, menyebabkan pemberitahuan dibuat. Alat simulasi menyebarkan dua pod dalam kluster target: penyerang dan korban. Selama simulasi, penyerang "menyerang" korban menggunakan teknik dunia nyata.

Catatan

Meskipun alat simulasi tidak menjalankan komponen berbahaya apa pun, disarankan untuk menjalankannya pada kluster khusus tanpa beban kerja produksi.

Alat simulasi berjalan menggunakan CLI berbasis Python yang menyebarkan bagan Helm di kluster target.

Menginstal alat simulasi

1. Prasyarat:

   • Pengguna dengan izin admin atas kluster target.

   • Defender untuk Kontainer diaktifkan dan sensor Defender juga diinstal. Anda dapat memeriksa apakah sensor Defender diinstal dengan menjalankan:

     kubectl get ds microsoft-defender-collector-ds -n kube-system

   • Klien Helm diinstal pada komputer lokal Anda.

   • Python versi 3.7 atau lebih tinggi diinstal pada komputer lokal Anda.

2. Arahkan kubeconfig ke kluster target. Untuk Azure Kubernetes Service, Anda dapat menjalankan:

   az aks get-credentials --name [cluster-name] --resource-group [resource-group]

3. Unduh alat simulasi dengan perintah berikut:

   curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py

Jalankan alat simulasi

1. Jalankan skrip simulasi dengan perintah berikut: python simulation.py

2. Pilih skenario serangan yang disimulasikan atau pilih untuk mensimulasikan semua skenario serangan sekaligus. Skenario serangan yang disimulasikan yang tersedia adalah:

Skenario	Pemberitahuan yang diharapkan
Pengintaian	Kemungkinan aktivitas Web Shell terdeteksi Operasi akun layanan Kubernetes yang mencurigakan terdeteksi Alat pemindaian jaringan terdeteksi
Gerakan Lateral	Kemungkinan aktivitas Web Shell terdeteksi Akses ke layanan metadata cloud terdeteksi
Pengumpulan Rahasia	Kemungkinan aktivitas Web Shell terdeteksi Akses file sensitif terdeteksi Kemungkinan pengintaian rahasia terdeteksi
Penambangan kripto	Kemungkinan aktivitas Web Shell terdeteksi Pengoptimalan CPU Kubernetes terdeteksi Perintah dalam kontainer yang diakses ld.so.preload Kemungkinan unduhan penambang kripto terdeteksi Biner penyimpangan terdeteksi dijalankan dalam kontainer
Shell web	Kemungkinan aktivitas Web Shell terdeteksi

Catatan

Meskipun beberapa pemberitahuan dipicu mendekati real-time, yang lain mungkin memakan waktu hingga satu jam.

Langkah berikutnya

• Pemberitahuan keamanan Microsoft Defender untuk Cloud
• Mengelola dan menanggapi peringatan keamanan di Microsoft Defender untuk Cloud
• Terus mengekspor data Defender untuk Cloud