Avvisi per i contenitori - Cluster Kubernetes

Questo articolo elenca gli avvisi di sicurezza che è possibile ottenere per i contenitori e i cluster Kubernetes da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.

Nota

Alcuni degli avvisi aggiunti di recente basati su Microsoft Defender Threat Intelligence e Microsoft Defender per endpoint potrebbero non essere documentati.

Informazioni su come rispondere a questi avvisi.

Informazioni su come esportare gli avvisi.

Nota

Gli avvisi provenienti da origini diverse potrebbero comparire in tempi diversi. Ad esempio, la visualizzazione degli avvisi che richiedono l'analisi del traffico di rete potrebbe richiedere più tempo rispetto agli avvisi correlati a processi sospetti in esecuzione sulle macchine virtuali.

Avvisi per contenitori e cluster Kubernetes

Microsoft Defender per contenitori fornisce avvisi di sicurezza a livello di cluster e sui nodi del cluster sottostanti monitorando sia il piano di controllo (server API) che il carico di lavoro in contenitori stesso. Gli avvisi di sicurezza del piano di controllo possono essere riconosciuti da un prefisso del K8S_ tipo di avviso. Gli avvisi di sicurezza per il carico di lavoro di runtime nei cluster sono riconoscibili dal prefisso K8S.NODE_ del tipo di avviso. Tutti gli avvisi sono supportati solo in Linux, se non diversamente indicato.

Altri dettagli e note

Servizio Postgres esposto con configurazione di autenticazione trust in Kubernetes rilevato (anteprima)

(K8S_ExposedPostgresTrustAuth)

Descrizione: l'analisi della configurazione del cluster Kubernetes ha rilevato l'esposizione di un servizio Postgres da un servizio di bilanciamento del carico. Il servizio è configurato con il metodo di autenticazione trust, che non richiede credenziali.

Tattiche MITRE: InitialAccess

Gravità: medio

Servizio Postgres esposto con configurazione rischiosa in Kubernetes rilevato (anteprima)

(K8S_ExposedPostgresBroadIPRange)

Descrizione: l'analisi della configurazione del cluster Kubernetes ha rilevato l'esposizione di un servizio Postgres da un servizio di bilanciamento del carico con una configurazione rischiosa. L'esposizione del servizio a un'ampia gamma di indirizzi IP comporta un rischio per la sicurezza.

Tattiche MITRE: InitialAccess

Gravità: medio

Tentativo di creare un nuovo spazio dei nomi Linux da un contenitore rilevato

(K8S. NODE_NamespaceCreation) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore nel cluster Kubernetes ha rilevato un tentativo di creare un nuovo spazio dei nomi Linux. Anche se questo comportamento potrebbe essere legittimo, potrebbe indicare che un utente malintenzionato tenta di eseguire l'escape dal contenitore al nodo. Alcuni exploit CVE-2022-0185 usano questa tecnica.

Tattiche MITRE: PrivilegeEscalation

Gravità: informativo

Un file di cronologia è stato cancellato

(K8S. NODE_HistoryFileCleared) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato che il file di log della cronologia dei comandi è stato cancellato. Gli utenti malintenzionati potrebbero eseguire questa operazione per coprire le loro tracce. L'operazione è stata eseguita dall'account utente specificato.

Tattiche MITRE: DefenseEvasion

Gravità: medio

Attività anomala dell'identità gestita associata a Kubernetes (anteprima)

(K8S_AbnormalMiActivity)

Descrizione: l'analisi delle operazioni di Azure Resource Manager ha rilevato un comportamento anomalo di un'identità gestita usata da un componente aggiuntivo del servizio Azure Kubernetes. L'attività rilevata non è coerente con il comportamento del componente aggiuntivo associato. Anche se questa attività può essere legittima, questo comportamento potrebbe indicare che l'identità è stata acquisita da un utente malintenzionato, probabilmente da un contenitore compromesso nel cluster Kubernetes.

Tattiche MITRE: Movimento laterale

Gravità: medio

Rilevata operazione dell'account del servizio Kubernetes anomalo

(K8S_ServiceAccountRareOperation)

Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato un comportamento anomalo da un account del servizio nel cluster Kubernetes. L'account del servizio è stato usato per un'operazione, che non è comune per questo account del servizio. Anche se questa attività può essere legittima, tale comportamento potrebbe indicare che l'account del servizio viene usato per scopi dannosi.

Tattiche MITRE: Spostamento laterale, accesso alle credenziali

Gravità: medio

Rilevato un tentativo di connessione non comune

(K8S. NODE_SuspectConnection) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un tentativo di connessione non comune usando un protocollo socks. Questo è molto raro nelle normali operazioni, ma una tecnica nota per gli utenti malintenzionati che tentano di ignorare i rilevamenti a livello di rete.

Tattiche MITRE: esecuzione, esfiltrazione, sfruttamento

Gravità: medio

Rilevato tentativo di arresto del servizio apt-daily-upgrade.timer

(K8S. NODE_TimerServiceDisabled) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un tentativo di arrestare il servizio apt-daily-upgrade.timer. Gli utenti malintenzionati sono stati osservati arrestando questo servizio per scaricare file dannosi e concedere privilegi di esecuzione per i loro attacchi. Questa attività può verificarsi anche se il servizio viene aggiornato tramite azioni amministrative normali.

Tattiche MITRE: DefenseEvasion

Gravità: informativo

Comportamento simile ai bot Linux comuni rilevati (anteprima)

(K8S. NODE_CommonBot)

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato l'esecuzione di un processo normalmente associato a botnet Linux comuni.

Tattiche MITRE: esecuzione, raccolta, comando e controllo

Gravità: medio

Comando all'interno di un contenitore in esecuzione con privilegi elevati

(K8S. NODE_PrivilegedExecutionInContainer) ¹

Descrizione: i log del computer indicano che un comando con privilegi è stato eseguito in un contenitore Docker. Un comando con privilegi ha privilegi estesi sul computer host.

Tattiche MITRE: PrivilegeEscalation

Gravità: informativo

Contenitore in esecuzione in modalità con privilegi

(K8S. NODE_PrivilegedContainerArtifacts) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato l'esecuzione di un comando Docker che esegue un contenitore con privilegi. Il contenitore con privilegi ha accesso completo al pod di hosting o alla risorsa host. Se compromesso, un utente malintenzionato potrebbe usare il contenitore con privilegi per ottenere l'accesso al pod o all'host di hosting.

Tattiche MITRE: PrivilegeEscalation, Execution

Gravità: informativo

Rilevato contenitore con un montaggio del volume sensibile

(K8S_SensitiveMount)

Descrizione: l'analisi dei log di controllo di Kubernetes ha rilevato un nuovo contenitore con un montaggio di volumi sensibili. Il volume rilevato è un tipo hostPath che monta un file o una cartella sensibile dal nodo al contenitore. Se il contenitore viene compromesso, l'utente malintenzionato può usare questo montaggio per ottenere l'accesso al nodo.

Tattiche MITRE: Escalation dei privilegi

Gravità: informativo

Rilevata modifica coreDNS in Kubernetes

(K8S_CoreDnsModification) ^{2 3}

Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato una modifica della configurazione CoreDNS. La configurazione di CoreDNS può essere modificata eseguendo l'override della relativa mappa di configurazione. Anche se questa attività può essere legittima, se gli utenti malintenzionati hanno le autorizzazioni per modificare la mappa di configurazione, possono modificare il comportamento del server DNS del cluster e elaborarlo.

Tattiche MITRE: Movimento laterale

Gravità: Bassa

Rilevata configurazione del webhook di ammissione

(K8S_AdmissionController) ³

Descrizione: l'analisi dei log di controllo di Kubernetes ha rilevato una nuova configurazione del webhook di ammissione. Kubernetes dispone di due controller di ammissione generici predefiniti: MutatingAdmissionWebhook e ValidatingAdmissionWebhook. Il comportamento di questi controller di ammissione è determinato da un webhook di ammissione che l'utente distribuisce nel cluster. L'uso di tali controller di ammissione può essere legittimo, tuttavia gli utenti malintenzionati possono usare tali webhook per modificare le richieste (nel caso di MutatingAdmissionWebhook) o ispezionare le richieste e ottenere informazioni riservate (nel caso di ValidatingAdmissionWebhook).

Tattiche MITRE: Accesso alle credenziali, Persistenza

Gravità: informativo

Rilevato download di un file da un'origine dannosa nota

(K8S. NODE_SuspectDownload) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un download di un file da un'origine usata di frequente per distribuire malware.

Tattiche MITRE: PrivilegeEscalation, Execution, Exfiltration, Command And Control

Gravità: medio

Rilevato download di un file sospetto

(K8S. NODE_SuspectDownloadArtifacts) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un download sospetto di un file remoto.

Tattiche MITRE: Persistenza

Gravità: informativo

Rilevato uso sospetto del comando nohup

(K8S. NODE_SuspectNohup) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un uso sospetto del comando nohup. Gli utenti malintenzionati hanno visto usare il comando nohup per eseguire file nascosti da una directory temporanea per consentire l'esecuzione in background dei file eseguibili. È raro vedere questo comando eseguito su file nascosti che si trovano in una directory temporanea.

Tattiche MITRE: Persistenza, DefenseEvasion

Gravità: medio

Rilevato uso sospetto del comando useradd

(K8S. NODE_SuspectUserAddition) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un uso sospetto del comando useradd.

Tattiche MITRE: Persistenza

Gravità: medio

Rilevato contenitore di mining della valuta digitale

(K8S_MaliciousContainerImage) ³

Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato un contenitore con un'immagine associata a uno strumento di data mining di valuta digitale.

Tattiche MITRE: Esecuzione

Gravità: alta

Rilevato comportamento correlato al mining della valuta digitale

(K8S. NODE_DigitalCurrencyMining) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un'esecuzione di un processo o di un comando normalmente associato al data mining di valuta digitale.

Tattiche MITRE: Esecuzione

Gravità: alta

Operazione di compilazione Docker rilevata in un nodo Kubernetes

(K8S. NODE_ImageBuildOnNode) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un'operazione di compilazione di un'immagine del contenitore in un nodo Kubernetes. Anche se questo comportamento potrebbe essere legittimo, gli utenti malintenzionati potrebbero creare le immagini dannose in locale per evitare il rilevamento.

Tattiche MITRE: DefenseEvasion

Gravità: informativo

Rilevato dashboard Kubeflow esposto

(K8S_ExposedKubeflow)

Descrizione: l'analisi del log di controllo kubernetes ha rilevato l'esposizione dell'ingresso Istio da un servizio di bilanciamento del carico in un cluster che esegue Kubeflow. Questa azione potrebbe esporre il dashboard Kubeflow su Internet. Se il dashboard è esposto su Internet, gli utenti malintenzionati possono accedervi ed eseguire codice o contenitori dannosi nel cluster. Per altre informazioni, vedere l'articolo seguente: https://aka.ms/exposedkubeflow-blog

Tattiche MITRE: Accesso iniziale

Gravità: medio

Rilevato dashboard Kubernetes esposto

(K8S_ExposedDashboard)

Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato l'esposizione del dashboard kubernetes da un servizio LoadBalancer. Il dashboard esposto permette un accesso non autenticato alla gestione del cluster e rappresenta una minaccia per la sicurezza.

Tattiche MITRE: Accesso iniziale

Gravità: alta

Rilevato servizio Kubernetes esposto

(K8S_ExposedService)

Descrizione: l'analisi dei log di controllo di Kubernetes ha rilevato l'esposizione di un servizio da parte di un servizio di bilanciamento del carico. Questo servizio è correlato a un'applicazione sensibile che consente di eseguire operazioni ad alto impatto nel cluster, ad esempio l'esecuzione di processi nel nodo o la creazione di nuovi contenitori. In alcuni casi, questo servizio non richiede l'autenticazione. Se il servizio non richiede l'autenticazione, esponendolo a Internet rappresenta un rischio per la sicurezza.

Tattiche MITRE: Accesso iniziale

Gravità: medio

Rilevato servizio Redis esposto nel servizio Azure Kubernetes

(K8S_ExposedRedis)

Descrizione: l'analisi del log di controllo kubernetes ha rilevato l'esposizione di un servizio Redis da un servizio di bilanciamento del carico. Se il servizio non richiede l'autenticazione, esponendolo a Internet rappresenta un rischio per la sicurezza.

Tattiche MITRE: Accesso iniziale

Gravità: Bassa

Rilevati indicatori associati a un toolkit DDoS

(K8S. NODE_KnownLinuxDDoSToolkit) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato nomi di file che fanno parte di un toolkit associato a malware in grado di avviare attacchi DDoS, aprire porte e servizi e assumere il controllo completo sul sistema infetto. Potrebbe anche trattarsi di un'attività legittima.

Tattiche MITRE: Persistenza, LateralMovement, Esecuzione, Sfruttamento

Gravità: medio

Rilevate richieste API K8S dall'indirizzo IP proxy

(K8S_TI_Proxy) ³

Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato richieste API al cluster da un indirizzo IP associato ai servizi proxy, ad esempio TOR. Anche se questo comportamento può essere legittimo, viene spesso visualizzato in attività dannose, quando gli utenti malintenzionati tentano di nascondere l'INDIRIZZO IP di origine.

Tattiche MITRE: Esecuzione

Gravità: Bassa

Eventi kubernetes eliminati

(K8S_DeleteEvents) ^{2 3}

Descrizione: Defender per il cloud rilevato che alcuni eventi Kubernetes sono stati eliminati. Gli eventi Kubernetes sono oggetti in Kubernetes che contengono informazioni sulle modifiche nel cluster. Gli utenti malintenzionati possono eliminare tali eventi per nascondere le operazioni nel cluster.

Tattiche MITRE: Evasione della difesa

Gravità: Bassa

Rilevato lo strumento di test di penetrazione kubernetes

(K8S_PenTestToolsKubeHunter)

Descrizione: l'analisi dei log di controllo di Kubernetes ha rilevato l'uso dello strumento di test di penetrazione kubernetes nel cluster del servizio Azure Kubernetes. Anche se questo comportamento può essere legittimo, gli utenti malintenzionati potrebbero usare tali strumenti pubblici per scopi dannosi.

Tattiche MITRE: Esecuzione

Gravità: Bassa

Microsoft Defender per il cloud avviso di test (non una minaccia)

(K8S. NODE_EICAR) ¹

Descrizione: si tratta di un avviso di test generato da Microsoft Defender per il cloud. Non sono necessarie ulteriori azioni.

Tattiche MITRE: Esecuzione

Gravità: alta

Rilevato nuovo contenitore nello spazio dei nomi kube-system

(K8S_KubeSystemContainer) ³

Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato un nuovo contenitore nello spazio dei nomi kube-system che non è tra i contenitori che normalmente vengono eseguiti in questo spazio dei nomi. Gli spazi dei nomi kube-system non devono contenere risorse utente. Gli utenti malintenzionati possono usare questo spazio dei nomi per nascondere componenti dannosi.

Tattiche MITRE: Persistenza

Gravità: informativo

Rilevato nuovo ruolo con privilegi elevati

(K8S_HighPrivilegesRole) ³

Descrizione: l'analisi dei log di controllo di Kubernetes ha rilevato un nuovo ruolo con privilegi elevati. Un'associazione a un ruolo con privilegi elevati concede all'utente\gruppo privilegi elevati nel cluster. I privilegi non necessari potrebbero causare l'escalation dei privilegi nel cluster.

Tattiche MITRE: Persistenza

Gravità: informativo

Rilevato possibile strumento di attacco

(K8S. NODE_KnownLinuxAttackTool) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una chiamata di strumento sospetta. Questo strumento è spesso associato a utenti malintenzionati che attaccano altri utenti.

Tattiche MITRE: esecuzione, raccolta, comando e controllo, probe

Gravità: medio

Rilevato possibile backdoor

(K8S. NODE_LinuxBackdoorArtifact) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un file sospetto scaricato ed eseguito. Questa attività è stata precedentemente associata all'installazione di una backdoor.

Tattiche MITRE: Persistenza, DefenseEvasion, Esecuzione, Sfruttamento

Gravità: medio

Possibile tentativo di sfruttamento della riga di comando

(K8S. NODE_ExploitAttempt) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un possibile tentativo di sfruttamento contro una vulnerabilità nota.

Tattiche MITRE: Sfruttamento

Gravità: medio

Rilevato possibile strumento di accesso alle credenziali

(K8S. NODE_KnownLinuxCredentialAccessTool) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato che un possibile strumento di accesso alle credenziali note è stato eseguito nel contenitore, come identificato dal processo e dall'elemento della cronologia della riga di comando specificati. Questo strumento è spesso associato a tentativi di accesso alle credenziali da parte di utenti malintenzionati.

Tattiche MITRE: CredentialAccess

Gravità: medio

Rilevato un possibile download di Cryptocoinminer

(K8S. NODE_CryptoCoinMinerDownload) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato il download di un file normalmente associato al data mining di valuta digitale.

Tattiche MITRE: DefenseEvasion, Command And Control, Exploitation

Gravità: medio

Rilevata possibile attività di manomissione dei log

(K8S. NODE_SystemLogRemoval) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una possibile rimozione dei file che tiene traccia dell'attività dell'utente durante il corso dell'operazione. Spesso gli utenti malintenzionati tentano di eludere il rilevamento e non lasciano traccia delle attività dannose eliminando tali file di log.

Tattiche MITRE: DefenseEvasion

Gravità: medio

È stata rilevata una possibile modifica della password usando il metodo crypt

(K8S. NODE_SuspectPasswordChange) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una modifica della password usando il metodo crypt. Gli utenti malintenzionati possono apportare questa modifica per continuare ad accedere e ottenere persistenza dopo la compromissione.

Tattiche MITRE: CredentialAccess

Gravità: medio

Potenziale port forwarding a un indirizzo IP esterno

(K8S. NODE_SuspectPortForwarding) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un'avvio del port forwarding a un indirizzo IP esterno.

Tattiche MITRE: esfiltrazione, comando e controllo

Gravità: medio

Rilevata potenziale shell inversa

(K8S. NODE_ReverseShell) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una potenziale shell inversa. Questo metodo viene usato per ottenere un computer compromesso da richiamare in un computer di proprietà di un utente malintenzionato.

Tattiche MITRE: esfiltrazione, sfruttamento

Gravità: medio

Rilevato contenitore con privilegi

(K8S_PrivilegedContainer)

Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato un nuovo contenitore con privilegi. Un contenitore con privilegi ha accesso alle risorse del nodo e interrompe l'isolamento tra i contenitori. Se compromesso, un utente malintenzionato può usare il contenitore con privilegi per ottenere l'accesso al nodo.

Tattiche MITRE: Escalation dei privilegi

Gravità: informativo

Rilevato processo associato al mining della valuta digitale

(K8S. NODE_CryptoCoinMinerArtifacts) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato l'esecuzione di un processo normalmente associato al data mining di valuta digitale.

Tattiche MITRE: esecuzione, sfruttamento

Gravità: medio

Rilevato processo che ha avuto accesso al file delle chiavi SSH autorizzate in modo insolito

(K8S. NODE_SshKeyAccess) ¹

Descrizione: è stato eseguito l'accesso a un file SSH authorized_keys in un metodo simile alle campagne malware note. Questo accesso potrebbe indicare che un attore sta tentando di ottenere l'accesso permanente a un computer.

Tattiche MITRE: Sconosciuto

Gravità: informativo

Rilevato binding del ruolo al ruolo di amministratore del cluster

(K8S_ClusterAdminBinding)

Descrizione: l'analisi dei log di controllo di Kubernetes ha rilevato una nuova associazione al ruolo di amministratore del cluster che concede privilegi di amministratore. I privilegi di amministratore non necessari potrebbero causare l'escalation dei privilegi nel cluster.

Tattiche MITRE: Persistenza

Gravità: informativo

Rilevata terminazione dei processi correlati alla sicurezza

(K8S. NODE_SuspectProcessTermination) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un tentativo di terminare i processi correlati al monitoraggio della sicurezza nel contenitore. Spesso gli utenti malintenzionati provano a terminare tali processi usando gli script predefiniti successivamente alla compromissione.

Tattiche MITRE: Persistenza

Gravità: Bassa

Il server SSH è in esecuzione all'interno di un contenitore

(K8S. NODE_ContainerSSH) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato un server SSH in esecuzione all'interno del contenitore.

Tattiche MITRE: Esecuzione

Gravità: informativo

Modifica del timestamp del file sospetta

(K8S. NODE_TimestampTampering) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una modifica di timestamp sospetta. Gli utenti malintenzionati copiano spesso timestamp da file legittimi esistenti a nuovi strumenti per evitare il rilevamento di questi file appena eliminati.

Tattiche MITRE: Persistenza, DefenseEvasion

Gravità: Bassa

Richiesta sospetta all'API Kubernetes

(K8S. NODE_KubernetesAPI) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore indica che è stata effettuata una richiesta sospetta all'API Kubernetes. La richiesta è stata inviata da un contenitore nel cluster. Anche se questo comportamento può essere intenzionale, potrebbe indicare che un contenitore compromesso è in esecuzione nel cluster.

Tattiche MITRE: LateralMovement

Gravità: medio

Richiesta sospetta al dashboard di Kubernetes

(K8S. NODE_KubernetesDashboard) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore indica che è stata effettuata una richiesta sospetta al dashboard kubernetes. La richiesta è stata inviata da un contenitore nel cluster. Anche se questo comportamento può essere intenzionale, potrebbe indicare che un contenitore compromesso è in esecuzione nel cluster.

Tattiche MITRE: LateralMovement

Gravità: medio

Il potenziale minatore di moneta crittografica ha iniziato

(K8S. NODE_CryptoCoinMinerExecution) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un processo avviato in modo normalmente associato al data mining di valuta digitale.

Tattiche MITRE: Esecuzione

Gravità: medio

Accesso sospetto alle password

(K8S. NODE_SuspectPasswordFileAccess) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un tentativo sospetto di accesso alle password utente crittografate.

Tattiche MITRE: Persistenza

Gravità: informativo

Rilevata possibile web shell dannosa

(K8S. NODE_Webshell) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato una possibile shell Web. Gli utenti malintenzionati caricano spesso una shell Web in una risorsa di calcolo compromessa per ottenere la persistenza o per un ulteriore sfruttamento.

Tattiche MITRE: persistenza, sfruttamento

Gravità: medio

Il burst di più comandi di ricognizione potrebbe indicare l'attività iniziale dopo la compromissione

(K8S. NODE_ReconnaissanceArtifactsBurst) ¹

Descrizione: l'analisi dei dati host/dispositivo ha rilevato l'esecuzione di più comandi di ricognizione correlati alla raccolta dei dettagli del sistema o dell'host eseguiti dagli utenti malintenzionati dopo la compromissione iniziale.

Tattiche MITRE: Individuazione, Raccolta

Gravità: Bassa

Download sospetto, quindi eseguire l'attività

(K8S. NODE_DownloadAndRunCombo) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato che un file viene scaricato e quindi eseguito nello stesso comando. Anche se questo non è sempre dannoso, si tratta di una tecnica molto comune usata dagli utenti malintenzionati per ottenere file dannosi nei computer vittima.

Tattiche MITRE: Esecuzione, CommandAndControl, Sfruttamento

Gravità: medio

Rilevato accesso al file kubelet kubeconfig

(K8S. NODE_KubeConfigAccess) ¹

Descrizione: l'analisi dei processi in esecuzione in un nodo del cluster Kubernetes ha rilevato l'accesso al file kubeconfig nell'host. Il file kubeconfig, normalmente usato dal processo Kubelet, contiene le credenziali per il server API del cluster Kubernetes. L'accesso a questo file è spesso associato agli utenti malintenzionati che tentano di accedere a tali credenziali o agli strumenti di analisi della sicurezza che controllano se il file è accessibile.

Tattiche MITRE: CredentialAccess

Gravità: medio

È stato rilevato l'accesso al servizio metadati cloud

(K8S. NODE_ImdsCall) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato l'accesso al servizio metadati cloud per l'acquisizione del token di identità. Il contenitore in genere non esegue tale operazione. Anche se questo comportamento potrebbe essere legittimo, gli utenti malintenzionati potrebbero usare questa tecnica per accedere alle risorse cloud dopo aver ottenuto l'accesso iniziale a un contenitore in esecuzione.

Tattiche MITRE: CredentialAccess

Gravità: medio

Rilevato agente MITRE Caldera

(K8S. NODE_MitreCalderaTools) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un processo sospetto. Questo è spesso associato all'agente MITRE 54ndc47, che potrebbe essere usato dannosamente per attaccare altri computer.

Tattiche MITRE: persistenza, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation

Gravità: medio

¹: Anteprima per i cluster non del servizio Azure Kubernetes: questo avviso è disponibile a livello generale per i cluster del servizio Azure Kubernetes, ma è in anteprima per altri ambienti, ad esempio Azure Arc, EKS e GKE.

²: Limitazioni nei cluster GKE: GKE usa un criterio di controllo Kubernetes che non supporta tutti i tipi di avviso. Di conseguenza, questo avviso di sicurezza, basato su eventi di controllo Kubernetes, non è supportato per i cluster GKE.

³: Questo avviso è supportato nei nodi/contenitori di Windows.

Nota

Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Passaggi successivi

• Avvisi di sicurezza in Microsoft Defender per il cloud
• Gestire e rispondere agli avvisi di sicurezza in Microsoft Defender for Cloud
• Esportazione continua dei dati di Defender per il cloud