Peringatan untuk kontainer - klaster Kubernetes
Artikel ini mencantumkan pemberitahuan keamanan yang mungkin Anda dapatkan untuk kontainer dan kluster Kubernetes dari Microsoft Defender untuk Cloud dan paket Pertahanan Microsoft apa pun yang Anda aktifkan. Peringatan yang ditampilkan pada lingkungan Anda tergantung pada sumber daya dan layanan yang dilindungi, serta konfigurasi yang disesuaikan.
Catatan
Beberapa pemberitahuan yang baru ditambahkan didukung oleh Inteligensi Ancaman Microsoft Defender dan Microsoft Defender untuk Titik Akhir mungkin tidak terdokumentasi.
Pelajari cara menanggapi pemberitahuan ini.
Pelajari cara mengekspor pemberitahuan.
Catatan
Pemberitahuan dari sumber yang berbeda mungkin membutuhkan waktu yang berbeda untuk muncul. Misalnya, pemberitahuan yang memerlukan analisis lalu lintas jaringan mungkin membutuhkan waktu lebih lama untuk muncul daripada pemberitahuan yang terkait dengan proses mencurigakan yang berjalan pada komputer virtual.
Pemberitahuan untuk kontainer dan kluster Kubernetes
Microsoft Defender untuk Kontainer memberikan peringatan keamanan pada tingkat kluster dan pada node kluster yang mendasarinya dengan memantau bidang kontrol (server API) dan beban kerja kontainer itu sendiri. Peringatan keamanan sarana kontrol dapat dikenali dengan awalan K8S_ jenis peringatan. Peringatan keamanan untuk beban kerja runtime dalam kluster dapat dikenali dengan awalan K8S.NODE_ jenis peringatan. Semua peringatan hanya didukung pada Linux, kecuali dinyatakan lain.
Detail dan catatan lebih lanjut
Layanan Postgres yang terekspos dengan konfigurasi autentikasi kepercayaan di Kubernetes terdeteksi (Pratinjau)
(K8S_ExposedPostgresTrustAuth)
Deskripsi: Analisis konfigurasi kluster Kubernetes mendeteksi paparan layanan Postgres oleh load balancer. Layanan ini dikonfigurasi dengan metode autentikasi kepercayaan, yang tidak memerlukan kredensial.
Taktik MITRE: InitialAccess
Tingkat keparahan: Sedang
Layanan Postgres yang terekspos dengan konfigurasi berisiko di Kubernetes terdeteksi (Pratinjau)
(K8S_ExposedPostgresBroadIPRange)
Deskripsi: Analisis konfigurasi kluster Kubernetes mendeteksi paparan layanan Postgres oleh load balancer dengan konfigurasi berisiko. Mengekspos layanan ke berbagai alamat IP menimbulkan risiko keamanan.
Taktik MITRE: InitialAccess
Tingkat keparahan: Sedang
Mencoba membuat namespace layanan Linux baru dari kontainer yang terdeteksi
(K8S.NODE_NamespaceCreation) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer di kluster Kubernetes mendeteksi upaya untuk membuat namespace Linux baru. Meskipun perilaku ini mungkin sah, itu mungkin menunjukkan bahwa penyerang mencoba melarikan diri dari kontainer ke node. Beberapa eksploitasi CVE-2022-0185 menggunakan teknik ini.
Taktik MITRE: PrivilegeEscalation
Tingkat keparahan: Informasi
File riwayat telah dihapus
(K8S.NODE_HistoryFileCleared) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi bahwa file log riwayat perintah telah dihapus. Penyerang mungkin melakukan ini untuk menutupi jejak mereka. Operasi dilakukan oleh akun pengguna yang ditentukan.
Taktik MITRE: DefenseEvasion
Tingkat keparahan: Sedang
Aktivitas yang tidak wajar pada identitas terkelola yang terkait dengan Kubernetes (Pratinjau)
(K8S_AbnormalMiActivity)
Deskripsi: Analisis operasi Azure Resource Manager mendeteksi perilaku abnormal identitas terkelola yang digunakan oleh addon AKS. Aktivitas yang terdeteksi tidak konsisten dengan perilaku addon terkait. Meskipun aktivitas ini mungkin sah, perilaku tersebut dapat menunjukkan bahwa identitas diperoleh oleh penyerang, yang mungkin berasal dari kontainer yang disusupi di kluster Kubernetes.
Taktik MITRE: Gerakan Lateral
Tingkat keparahan: Sedang
Operasi akun layanan Kubernetes yang tidak wajar terdeteksi
(K8S_ServiceAccountRareOperation)
Deskripsi: Analisis log audit Kube mendeteksi perilaku abnormal oleh akun layanan di kluster Kubernetes Anda. Akun layanan digunakan untuk operasi, yang tidak umum untuk akun layanan ini. Meskipun aktivitas ini mungkin sah, perilaku tersebut dapat menunjukkan bahwa akun layanan sedang digunakan untuk tujuan berbahaya.
Taktik MITRE: Gerakan Lateral, Akses Kredensial
Tingkat keparahan: Sedang
Upaya koneksi yang tidak biasa terdeteksi
(K8S.NODE_SuspectConnection) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi upaya koneksi yang tidak biasa menggunakan protokol kaus kaki. Ini sangat jarang terjadi dalam operasi normal, tetapi teknik yang dikenal untuk penyerang yang mencoba melewati deteksi lapisan jaringan.
Taktik MITRE: Eksekusi, Eksfiltrasi, Eksploitasi
Tingkat keparahan: Sedang
Mencoba untuk menghentikan layanan apt-daily-upgrade.timer terdeteksi
(K8S.NODE_TimerServiceDisabled) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada node Kubernetes, telah mendeteksi upaya untuk menghentikan layanan apt-daily-upgrade.timer. Penyerang telah diamati menghentikan layanan ini untuk mengunduh file berbahaya dan memberikan hak eksekusi untuk serangan mereka. Aktivitas ini juga dapat terjadi jika layanan diperbarui melalui tindakan administratif normal.
Taktik MITRE: DefenseEvasion
Tingkat keparahan: Informasi
Perilaku yang mirip dengan bot Linux umum terdeteksi (Pratinjau)
(K8S.NODE_CommonBot)
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi eksekusi proses yang biasanya terkait dengan botnet Linux umum.
Taktik MITRE: Eksekusi, Pengumpulan, Perintah Dan Kontrol
Tingkat keparahan: Sedang
Perintah dalam kontainer yang berjalan dengan hak istimewa tinggi
(K8S.NODE_PrivilegedExecutionInContainer) 1
Deskripsi: Log mesin menunjukkan bahwa perintah istimewa dijalankan dalam kontainer Docker. Perintah istimewa telah memperluas hak istimewa pada komputer host.
Taktik MITRE: PrivilegeEscalation
Tingkat keparahan: Informasi
Kontainer berjalan dalam mode istimewa
(K8S.NODE_PrivilegedContainerArtifacts) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi eksekusi perintah Docker yang menjalankan kontainer istimewa. Kontainer dengan hak istimewa memiliki akses penuh ke pod hosting atau sumber daya host. Jika disusupi, penyerang dapat menggunakan kontainer istimewa untuk mendapatkan akses ke pod atau host hosting.
Taktik MITRE: PrivilegeEscalation, Execution
Tingkat keparahan: Informasi
Kontainer dengan dudukan volume sensitif terdeteksi
(K8S_SensitiveMount)
Deskripsi: Analisis log audit Kube mendeteksi kontainer baru dengan pemasangan volume sensitif. Volume yang terdeteksi adalah tipe hostPath yang memasang file atau folder sensitif dari node ke kontainer. Jika kontainer dikompromikan, penyerang dapat menggunakan dudukan ini untuk mendapatkan akses ke node.
Taktik MITRE: Eskalasi Hak Istimewa
Tingkat keparahan: Informasi
Modifikasi CoreDNS pada Kubernetes terdeteksi
Deskripsi: Analisis log audit Kubernetes mendeteksi modifikasi konfigurasi CoreDNS. Konfigurasi CoreDNS dapat dimodifikasi dengan mengesampingkan peta konfigurasinya. Meskipun aktivitas ini dapat sah, jika penyerang memiliki izin untuk memodifikasi peta konfigurasi, mereka dapat mengubah perilaku server DNS kluster dan meracuninya.
Taktik MITRE: Gerakan Lateral
Tingkat keparahan: Rendah
Pembuatan konfigurasi webhook penerimaan terdeteksi
(K8S_AdmissionController) 3
Deskripsi: Analisis log audit Kube mendeteksi konfigurasi webhook penerimaan baru. Kubernetes memiliki dua admission controller bawaan: MutatingAdmissionWebhook dan ValidatingAdmissionWebhook. Perilaku pengontrol penerimaan ini ditentukan oleh webhook penerimaan yang digunakan pengguna ke kluster. Penggunaan pengontrol penerimaan tersebut dapat sah, namun penyerang dapat menggunakan webhook tersebut untuk memodifikasi permintaan (dalam kasus MutatingAdmissionWebhook) atau memeriksa permintaan dan mendapatkan informasi sensitif (dalam kasus ValidatingAdmissionWebhook).
Taktik MITRE: Akses Kredensial, Persistensi
Tingkat keparahan: Informasi
Unduhan file yang terdeteksi dari sumber berbahaya yang diketahui
(K8S.NODE_SuspectDownload) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi unduhan file dari sumber yang sering digunakan untuk mendistribusikan malware.
Taktik MITRE: PrivilegeEscalation, Execution, Exfiltration, Command And Control
Tingkat keparahan: Sedang
Unduhan file mencurigakan yang terdeteksi
(K8S.NODE_SuspectDownloadArtifacts) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi unduhan file jarak jauh yang mencurigakan.
Taktik MITRE: Persistensi
Tingkat keparahan: Informasi
Terdeteksi penggunaan mencurigakan dari perintah nohup
(K8S.NODE_SuspectNohup) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi penggunaan perintah nohup yang mencurigakan. Penyerang telah terlihat menggunakan perintah nohup untuk menjalankan file tersembunyi dari direktori sementara untuk memungkinkan executable berjalan di latar belakang. Sangat jarang melihat perintah ini berjalan pada file tersembunyi yang terletak di direktori sementara.
Taktik MITRE: Persistensi, DefenseEvasion
Tingkat keparahan: Sedang
Terdeteksi penggunaan mencurigakan dari perintah useradd
(K8S.NODE_SuspectUserAddition) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi penggunaan perintah useradd yang mencurigakan.
Taktik MITRE: Persistensi
Tingkat keparahan: Sedang
Kontainer penambangan mata uang digital terdeteksi
(K8S_MaliciousContainerImage) 3
Deskripsi: Analisis log audit Kubernetes mendeteksi kontainer yang memiliki gambar yang terkait dengan alat penambangan mata uang digital.
Taktik MITRE: Eksekusi
Tingkat keparahan: Tinggi
Perilaku terkait penambangan mata uang digital terdeteksi
(K8S.NODE_DigitalCurrencyMining) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi eksekusi proses atau perintah yang biasanya terkait dengan penambangan mata uang digital.
Taktik MITRE: Eksekusi
Tingkat keparahan: Tinggi
Operasi build Docker terdeteksi pada sebuah node Kubernetes
(K8S.NODE_ImageBuildOnNode) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi operasi build gambar kontainer pada simpul Kubernetes. Meskipun perilaku ini mungkin sah, penyerang mungkin membangun gambar berbahaya mereka secara lokal untuk menghindari deteksi.
Taktik MITRE: DefenseEvasion
Tingkat keparahan: Informasi
Dasbor Kubeflow yang terekspos terdeteksi
(K8S_ExposedKubeflow)
Deskripsi: Analisis log audit Kubernetes mendeteksi paparan Istio Ingress oleh load balancer dalam kluster yang menjalankan Kubeflow. Tindakan ini mungkin mengekspos dasbor Kubeflow ke internet. Jika dasbor terkena internet, penyerang dapat mengaksesnya dan menjalankan kontainer atau kode berbahaya di klaster. Temukan detail selengkapnya di artikel berikut ini: https://www.microsoft.com/en-us/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/
Taktik MITRE: Akses Awal
Tingkat keparahan: Sedang
Dasbor Kubernetes yang terekspos terdeteksi
(K8S_ExposedDashboard)
Deskripsi: Analisis log audit Kubernetes mendeteksi paparan Dasbor Kubernetes oleh layanan LoadBalancer. Dasbor yang terbuka memungkinkan akses tidak terautentikasi ke manajemen klaster dan menimbulkan ancaman keamanan.
Taktik MITRE: Akses Awal
Tingkat keparahan: Tinggi
Layanan Kubernetes yang terekspos terdeteksi
(K8S_ExposedService)
Deskripsi: Analisis log audit Kubernetes mendeteksi paparan layanan oleh load balancer. Layanan ini terkait dengan aplikasi sensitif yang memungkinkan operasi berdampak tinggi di kluster seperti menjalankan proses pada node atau membuat kontainer baru. Dalam beberapa kasus, layanan ini tidak memerlukan autentikasi. Jika layanan tidak memerlukan autentikasi, mengeksposnya ke internet menimbulkan risiko keamanan.
Taktik MITRE: Akses Awal
Tingkat keparahan: Sedang
Layanan Redis terekspos dalam AKS terdeteksi
(K8S_ExposedRedis)
Deskripsi: Analisis log audit Kubernetes mendeteksi paparan layanan Redis oleh load balancer. Jika layanan tidak memerlukan autentikasi, mengeksposnya ke internet menimbulkan risiko keamanan.
Taktik MITRE: Akses Awal
Tingkat keparahan: Rendah
Indikator yang terkait dengan toolkit DDOS terdeteksi
(K8S.NODE_KnownLinuxDDoSToolkit) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi nama file yang merupakan bagian dari toolkit yang terkait dengan malware yang mampu meluncurkan serangan DDoS, membuka port dan layanan, dan mengambil kontrol penuh atas sistem yang terinfeksi. Ini juga mungkin aktivitas yang sah.
Taktik MITRE: Persistensi, LateralMovement, Eksekusi, Eksploitasi
Tingkat keparahan: Sedang
Permintaan K8S API dari alamat IP proxy terdeteksi
(K8S_TI_Proxy) 3
Deskripsi: Analisis log audit Kube mendeteksi permintaan API ke kluster Anda dari alamat IP yang terkait dengan layanan proksi, seperti TOR. Volume yang terdeteksi adalah tipe hostPath yang memasang file atau folder sensitif dari node ke kontainer.
Taktik MITRE: Eksekusi
Tingkat keparahan: Rendah
Aktivitas Kubernetes dihapus
Deskripsi: Defender untuk Cloud mendeteksi bahwa beberapa peristiwa Kubernetes telah dihapus. Peristiwa Kubernetes adalah objek di Kubernetes yang berisi informasi tentang perubahan dalam kluster. Penyerang mungkin menghapus peristiwa tersebut karena menyembunyikan operasi mereka di kluster.
Taktik MITRE: Pengindasan Pertahanan
Tingkat keparahan: Rendah
Alat pengujian penetrasi Kubernetes terdeteksi
(K8S_PenTestToolsKubeHunter)
Deskripsi: Analisis log audit Kube mendeteksi penggunaan alat pengujian penetrasi Kubernetes di kluster AKS. Meskipun perilaku ini dapat sah, penyerang mungkin menggunakan alat publik tersebut untuk tujuan berbahaya.
Taktik MITRE: Eksekusi
Tingkat keparahan: Rendah
Microsoft Defender untuk Cloud peringatan pengujian (bukan ancaman)
(K8S.NODE_EICAR) 1
Deskripsi: Ini adalah pemberitahuan pengujian yang dihasilkan oleh Microsoft Defender untuk Cloud. Tidak ada tindakan lebih lanjut yang diperlukan.
Taktik MITRE: Eksekusi
Tingkat keparahan: Tinggi
Kontainer baru di dalam namespace kube-system terdeteksi
(K8S_KubeSystemContainer) 3
Deskripsi: Analisis log audit Kubernetes mendeteksi kontainer baru di namespace layanan kube-system yang tidak termasuk dalam kontainer yang biasanya berjalan di namespace ini. Namespace layanan sistem kube tidak boleh berisi sumber daya pengguna. Penyerang dapat menggunakan namespace ini untuk menyembunyikan komponen berbahaya.
Taktik MITRE: Persistensi
Tingkat keparahan: Informasi
Peran hak istimewa tinggi baru terdeteksi
(K8S_HighPrivilegesRole) 3
Deskripsi: Analisis log audit Kube mendeteksi peran baru dengan hak istimewa tinggi. Pengikatan ke peran dengan hak istimewa tinggi memberi pengguna\grup hak istimewa tinggi dalam klaster. Hak istimewa yang tidak perlu dapat menyebabkan eskalasi hak istimewa dalam klaster.
Taktik MITRE: Persistensi
Tingkat keparahan: Informasi
Kemungkinan alat serangan terdeteksi
(K8S.NODE_KnownLinuxAttackTool) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi pemanggilan alat yang mencurigakan. Alat ini sering dikaitkan dengan pengguna berbahaya yang menyerang komputer lain.
Taktik MITRE: Eksekusi, Koleksi, Perintah Dan Kontrol, Pemeriksaan
Tingkat keparahan: Sedang
Kemungkinan backdoor terdeteksi
(K8S.NODE_LinuxBackdoorArtifact) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi file mencurigakan yang diunduh dan dijalankan. Kegiatan ini sebelumnya telah dikaitkan dengan pemasangan backdoor.
Taktik MITRE: Persistensi, DefenseEvasion, Eksekusi, Eksploitasi
Tingkat keparahan: Sedang
Kemungkinan upaya eksploitasi baris perintah
(K8S.NODE_ExploitAttempt) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi kemungkinan upaya eksploitasi terhadap kerentanan yang diketahui.
Taktik MITRE: Eksploitasi
Tingkat keparahan: Sedang
Kemungkinan alat akses kredensial terdeteksi
(K8S.NODE_KnownLinuxCredentialAccessTool) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi kemungkinan alat akses kredensial yang diketahui berjalan pada kontainer, seperti yang diidentifikasi oleh proses dan item riwayat perintah yang ditentukan. Alat ini sering dikaitkan dengan upaya penyerang untuk mengakses kredensial.
Taktik MITRE: CredentialAccess
Tingkat keparahan: Sedang
Kemungkinan unduhan Cryptocoinminer terdeteksi
(K8S.NODE_CryptoCoinMinerDownload) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi unduhan file yang biasanya terkait dengan penambangan mata uang digital.
Taktik MITRE: DefenseEvasion, Command And Control, Exploitation
Tingkat keparahan: Sedang
Kemungkinan Aktivitas Pengrusakan Log Terdeteksi
(K8S.NODE_SystemLogRemoval) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi kemungkinan penghapusan file yang melacak aktivitas pengguna selama operasinya. Penyerang sering mencoba untuk menghindari deteksi dan tidak meninggalkan jejak aktivitas berbahaya dengan menghapus file log tersebut.
Taktik MITRE: DefenseEvasion
Tingkat keparahan: Sedang
Kemungkinan perubahan kata sandi menggunakan metode crypt terdeteksi
(K8S.NODE_SuspectPasswordChange) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi perubahan kata sandi menggunakan metode kripto. Penyerang dapat membuat perubahan ini untuk melanjutkan akses dan mendapatkan persistensi setelah menyusup.
Taktik MITRE: CredentialAccess
Tingkat keparahan: Sedang
Potensi penerusan port ke alamat IP eksternal
(K8S.NODE_SuspectPortForwarding) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi inisiasi penerusan port ke alamat IP eksternal.
Taktik MITRE: Eksfiltrasi, Perintah Dan Kontrol
Tingkat keparahan: Sedang
Potensi pembalikan shell terdeteksi
(K8S.NODE_ReverseShell) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada node Kubernetes, telah mendeteksi potensi shell terbalik. Ini digunakan untuk mendapatkan komputer yang disusupi untuk memanggil kembali ke komputer yang dimiliki penyerang.
Taktik MITRE: Eksfiltrasi, Eksploitasi
Tingkat keparahan: Sedang
Kontainer istimewa terdeteksi
(K8S_PrivilegedContainer)
Deskripsi: Analisis log audit Kubernetes mendeteksi kontainer istimewa baru. Kontainer istimewa memiliki akses ke sumber daya simpul dan merusak isolasi antar kontainer. Jika dikompromikan, penyerang dapat menggunakan kontainer istimewa untuk mendapatkan akses ke node.
Taktik MITRE: Eskalasi Hak Istimewa
Tingkat keparahan: Informasi
Proses yang terkait dengan penambangan mata uang digital terdeteksi
(K8S.NODE_CryptoCoinMinerArtifacts) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer mendeteksi eksekusi proses yang biasanya terkait dengan penambangan mata uang digital.
Taktik MITRE: Eksekusi, Eksploitasi
Tingkat keparahan: Sedang
Proses terlihat mengakses file kunci resmi SSH dengan cara yang tidak biasa
(K8S.NODE_SshKeyAccess) 1
Deskripsi: File authorized_keys SSH diakses dalam metode yang mirip dengan kampanye malware yang diketahui. Akses ini bisa menandakan bahwa seorang aktor sedang berusaha untuk mendapatkan akses terus-menerus ke mesin.
Taktik MITRE: Tidak diketahui
Tingkat keparahan: Informasi
Peran mengikat ke peran cluster-admin terdeteksi
(K8S_ClusterAdminBinding)
Deskripsi: Analisis log audit Kubernetes mendeteksi pengikatan baru ke peran cluster-admin yang memberikan hak istimewa administrator. Hak istimewa administrator yang tidak perlu dapat menyebabkan eskalasi hak istimewa dalam kluster.
Taktik MITRE: Persistensi, PrivilegeEscalation
Tingkat keparahan: Informasi
Penghentian proses terkait keamanan terdeteksi
(K8S.NODE_SuspectProcessTermination) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi upaya untuk mengakhiri proses yang terkait dengan pemantauan keamanan pada kontainer. Penyerang akan sering mencoba untuk mengakhiri proses tersebut menggunakan skrip yang telah ditentukan pasca-penyusupan.
Taktik MITRE: Persistensi
Tingkat keparahan: Rendah
Server SSH berjalan di dalam kontainer
(K8S.NODE_ContainerSSH) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer mendeteksi server SSH yang berjalan di dalam kontainer.
Taktik MITRE: Eksekusi
Tingkat keparahan: Informasi
Modifikasi stempel waktu file yang mencurigakan
(K8S.NODE_TimestampTampering) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi modifikasi tanda waktu yang mencurigakan. Penyerang akan sering menyalin stempel waktu dari file sah yang ada ke alat baru untuk menghindari deteksi file yang baru dihentikan ini.
Taktik MITRE: Persistensi, DefenseEvasion
Tingkat keparahan: Rendah
Permintaan mencurigakan ke API Kubernetes
(K8S.NODE_KubernetesAPI) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer menunjukkan bahwa permintaan mencurigakan dibuat ke API Kubernetes. Permintaan itu dikirim dari kontainer di kluster. Meskipun perilaku ini dapat disengaja, ini mungkin menunjukkan bahwa penampung yang disusupi sedang berjalan di kluster.
Taktik MITRE: LateralMovement
Tingkat keparahan: Sedang
Permintaan mencurigakan ke Dasbor Kubernetes
(K8S.NODE_KubernetesDashboard) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer menunjukkan bahwa permintaan mencurigakan dibuat ke Dasbor Kubernetes. Permintaan itu dikirim dari kontainer di kluster. Meskipun perilaku ini dapat disengaja, ini mungkin menunjukkan bahwa penampung yang disusupi sedang berjalan di kluster.
Taktik MITRE: LateralMovement
Tingkat keparahan: Sedang
Penambang koin kripto potensial dimulai
(K8S.NODE_CryptoCoinMinerExecution) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi proses yang dimulai dengan cara yang biasanya terkait dengan penambangan mata uang digital.
Taktik MITRE: Eksekusi
Tingkat keparahan: Sedang
Akses kata sandi yang mencurigakan
(K8S.NODE_SuspectPasswordFileAccess) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi upaya mencurigakan untuk mengakses kata sandi pengguna terenkripsi.
Taktik MITRE: Persistensi
Tingkat keparahan: Informasi
Kemungkinan shell web berbahaya terdeteksi
(K8S.NODE_Webshell) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer mendeteksi kemungkinan shell web. Penyerang akan sering mengunggah shell web ke sumber daya komputasi yang telah mereka susupi untuk mendapatkan kegigihan atau untuk eksploitasi lebih lanjut.
Taktik MITRE: Persistensi, Eksploitasi
Tingkat keparahan: Sedang
Ledakan beberapa perintah pengintaian dapat menunjukkan aktivitas awal setelah disusupi
(K8S.NODE_ReconnaissanceArtifactsBurst) 1
Deskripsi: Analisis data host/perangkat mendeteksi eksekusi beberapa perintah pengintaian yang terkait dengan sistem pengumpulan atau detail host yang dilakukan oleh penyerang setelah penyusupan awal.
Taktik MITRE: Penemuan, Koleksi
Tingkat keparahan: Rendah
Aktivitas Pengunduhan Lalu Jalankan yang Mencurigakan
(K8S.NODE_DownloadAndRunCombo) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi file yang diunduh kemudian dijalankan dalam perintah yang sama. Meskipun ini tidak selalu berbahaya, ini adalah teknik yang sangat umum digunakan penyerang untuk mendapatkan file berbahaya ke mesin korban.
Taktik MITRE: Eksekusi, CommandAndControl, Eksploitasi
Tingkat keparahan: Sedang
Akses ke file kubeconfig kubelet terdeteksi
(K8S.NODE_KubeConfigAccess) 1
Deskripsi: Analisis proses yang berjalan pada node kluster Kubernetes mendeteksi akses ke file kubeconfig pada host. File kubeconfig, biasanya digunakan oleh proses Kubelet, berisi kredensial ke server API kluster Kubernetes. Akses ke file ini sering dikaitkan dengan penyerang yang mencoba mengakses kredensial tersebut, atau dengan alat pemindaian keamanan yang memeriksa apakah file dapat diakses.
Taktik MITRE: CredentialAccess
Tingkat keparahan: Sedang
Akses ke layanan metadata cloud terdeteksi
(K8S.NODE_ImdsCall) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer mendeteksi akses ke layanan metadata cloud untuk memperoleh token identitas. Kontainer biasanya tidak melakukan operasi tersebut. Meskipun perilaku ini mungkin sah, penyerang mungkin menggunakan teknik ini untuk mengakses sumber daya cloud setelah mendapatkan akses awal ke kontainer yang sedang berjalan.
Taktik MITRE: CredentialAccess
Tingkat keparahan: Sedang
Agen MITRE Caldera terdeteksi
(K8S.NODE_MitreCalderaTools) 1
Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi proses yang mencurigakan. Ini sering dikaitkan dengan agen MITRE 54ndc47, yang dapat digunakan dengan berbahaya untuk menyerang mesin lain.
Taktik MITRE: Persistensi, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation
Tingkat keparahan: Sedang
1: Pratinjau untuk kluster non-AKS: Pemberitahuan ini umumnya tersedia untuk kluster AKS, tetapi dalam pratinjau untuk lingkungan lain, seperti Azure Arc, EKS, dan GKE.
2: Batasan pada kluster GKE: GKE menggunakan kebijakan audit Kubernetes yang tidak mendukung semua jenis pemberitahuan. Akibatnya, peringatan keamanan ini, yang didasarkan pada peristiwa audit Kubernetes, tidak didukung untuk kluster GKE.
3: Peringatan ini didukung pada node/kontainer Windows.
Catatan
Untuk lansiran yang ada dalam pratinjau: Persyaratan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.