컨테이너에 대한 경고 - Kubernetes 클러스터
이 문서에서는 클라우드용 Microsoft Defender 컨테이너 및 Kubernetes 클러스터에 대해 얻을 수 있는 보안 경고와 사용하도록 설정한 모든 Microsoft Defender 계획을 나열합니다. 사용자 환경에 표시되는 경고는 보호하는 리소스 및 서비스와 사용자 지정된 구성에 따라 다릅니다.
참고 항목
Microsoft Defender 위협 인텔리전스 및 엔드포인트용 Microsoft Defender 의해 구동되는 최근에 추가된 경고 중 일부는 문서화되지 않았을 수 있습니다.
참고 항목
다른 원본의 경고가 표시되려면 시간이 다를 수 있습니다. 예를 들어 네트워크 트래픽을 분석해야 하는 경고는 가상 머신에서 실행되는 의심스러운 프로세스와 관련된 경고보다 더 오래 걸릴 수 있습니다.
컨테이너 및 Kubernetes 클러스터에 대한 경고
컨테이너용 Microsoft Defender는 컨트롤 플레인(API 서버) 및 컨테이너화된 워크로드 자체를 모두 모니터링하여 클러스터 수준 및 기본 클러스터 노드에서 보안 경고를 제공합니다. 컨트롤 플레인 보안 경고는 경고 유형의 K8S_의 접두사로 인식할 수 있습니다. 클러스터의 런타임 워크로드에 대한 보안 경고는 경고 유형의 K8S.NODE_ 접두사로 인식할 수 있습니다. 달리 표시되지 않는 한, 모든 경고는 Linux에서만 지원됩니다.
Kubernetes에서 트러스트 인증 구성이 검색된 노출된 Postgres 서비스(미리 보기)
(K8S_ExposedPostgresTrustAuth)
설명: Kubernetes 클러스터 구성 분석에서 부하 분산 장치에서 Postgres 서비스의 노출을 감지했습니다. 서비스는 자격 증명이 필요하지 않은 트러스트 인증 방법으로 구성됩니다.
MITRE 전술: InitialAccess
심각도: 보통
Kubernetes에서 위험한 구성이 포함된 노출된 Postgres 서비스 검색됨(미리 보기)
(K8S_ExposedPostgresBroadIPRange)
설명: Kubernetes 클러스터 구성 분석에서 위험한 구성이 있는 부하 분산 장치에서 Postgres 서비스의 노출을 감지했습니다. 서비스를 광범위한 IP 주소에 노출하면 보안 위험이 발생합니다.
MITRE 전술: InitialAccess
심각도: 보통
검색된 컨테이너에서 새 Linux 네임스페이스 만들기 시도
(K8S.NODE_NamespaceCreation) 1
설명: Kubernetes 클러스터의 컨테이너 내에서 실행되는 프로세스를 분석한 결과 새 Linux 네임스페이스를 만들려는 시도가 감지되었습니다. 이 동작은 합법적일 수 있지만 공격자가 컨테이너에서 노드로 이스케이프하려고 시도한다는 것을 나타낼 수 있습니다. 일부 CVE-2022-0185 익스플로잇은 이 기술을 사용합니다.
MITRE 전술: PrivilegeEscalation
심각도: 정보 제공
기록 파일이 지워짐
(K8S.NODE_HistoryFileCleared) 1
설명: 컨테이너 내에서 또는 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과 명령 기록 로그 파일이 지워진 것을 발견했습니다. 공격자는 자신의 트랙을 커버하기 위해이 작업을 수행 할 수 있습니다. 지정된 사용자 계정으로 작업을 수행했습니다.
MITRE 전술: DefenseEvasion
심각도: 보통
Kubernetes와 연결된 관리 ID의 비정상적인 활동(미리 보기)
(K8S_AbnormalMiActivity)
설명: Azure Resource Manager 작업을 분석한 결과 AKS 추가 기능에서 사용하는 관리 ID의 비정상적인 동작이 감지되었습니다. 검색된 활동이 연결된 추가 기능의 동작과 일치하지 않습니다. 이 활동은 합법적일 수 있지만 이러한 동작은 아마도 Kubernetes 클러스터의 손상된 컨테이너에서 공격자가 ID를 획득했음을 나타낼 수 있습니다.
MITRE 전술: 횡적 이동
심각도: 보통
비정상적인 Kubernetes 서비스 계정 작업이 검색됨
(K8S_ServiceAccountRareOperation)
설명: Kubernetes 감사 로그 분석에서 Kubernetes 클러스터의 서비스 계정에서 비정상적인 동작을 감지했습니다. 서비스 계정은 이 서비스 계정에 일반적이지 않은 작업에 사용되었습니다. 이 활동은 합법적일 수 있지만 이러한 동작은 서비스 계정이 악의적인 목적으로 사용되고 있음을 나타낼 수 있습니다.
MITRE 전술: 횡적 이동, 자격 증명 액세스
심각도: 보통
일반적이지 않은 연결 시도가 감지됨
(K8S.NODE_SuspectConnection) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과 양말 프로토콜을 활용하는 일반적이지 않은 연결 시도가 감지되었습니다. 이는 정상적인 작업에서는 매우 드물지만 네트워크 계층 검색을 우회하려는 공격자에게 알려진 기술입니다.
MITRE 전술: 실행, 반출, 악용
심각도: 보통
apt-daily-upgrade.timer 서비스 중지 시도가 감지됨
(K8S.NODE_TimerServiceDisabled) 1
설명: 컨테이너 내에서 또는 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과 apt-daily-upgrade.timer 서비스를 중지하려는 시도가 감지되었습니다. 공격자는 이 서비스를 중지하고, 악성 파일을 다운로드하고, 공격에 대한 실행 권한을 부여하는 것으로 관찰되었습니다. 이 활동은 서비스가 정상적인 관리 작업을 통해 업데이트되는 경우에도 발생할 수 있습니다.
MITRE 전술: DefenseEvasion
심각도: 정보 제공
일반적인 Linux 봇과 유사한 동작이 감지됨(미리 보기)
(K8S.NODE_CommonBot)
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과 일반적으로 일반적인 Linux 봇넷과 연결된 프로세스의 실행이 감지되었습니다.
MITRE 전술: 실행, 수집, 명령 및 제어
심각도: 보통
높은 권한으로 실행되는 컨테이너 내의 명령
(K8S.NODE_PrivilegedExecutionInContainer) 1
설명: 컴퓨터 로그는 권한 있는 명령이 Docker 컨테이너에서 실행되었음을 나타냅니다. 권한 있는 명령에는 호스트 컴퓨터에 대한 확장된 권한이 있습니다.
MITRE 전술: PrivilegeEscalation
심각도: 정보 제공
권한 있는 모드에서 실행되는 컨테이너
(K8S.NODE_PrivilegedContainerArtifacts) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과 권한 있는 컨테이너를 실행하는 Docker 명령의 실행이 감지되었습니다. 권한 있는 컨테이너에는 호스팅 Pod 또는 호스트 리소스에 대한 모든 권한이 있습니다. 손상된 경우 공격자는 권한 있는 컨테이너를 사용하여 호스팅 Pod 또는 호스트에 액세스할 수 있습니다.
MITRE 전술: PrivilegeEscalation, Execution
심각도: 정보 제공
중요한 볼륨 탑재가 감지된 컨테이너
(K8S_SensitiveMount)
설명: Kubernetes 감사 로그 분석에서 중요한 볼륨 탑재가 있는 새 컨테이너를 검색했습니다. 검색된 볼륨은 노드에서 컨테이너로 중요한 파일 또는 폴더를 탑재하는 hostPath 형식입니다. 컨테이너가 손상되면 공격자는 이 탑재를 사용하여 노드에 액세스할 수 있습니다.
MITRE 전술: 권한 상승
심각도: 정보 제공
Kubernetes에서 CoreDNS 수정이 검색됨
설명: Kubernetes 감사 로그 분석에서 CoreDNS 구성의 수정을 감지했습니다. 해당 configmap을 재정의하여 CoreDNS의 구성을 수정할 수 있습니다. 이 활동은 합법적일 수 있지만 공격자가 configmap을 수정할 수 있는 권한이 있는 경우 클러스터의 DNS 서버 동작을 변경하고 포이즌할 수 있습니다.
MITRE 전술: 횡적 이동
심각도: 낮음
허용 웹후크 구성 생성이 감지됨
(K8S_AdmissionController) 3
설명: Kubernetes 감사 로그 분석에서 새 허용 웹후크 구성을 검색했습니다. Kubernetes에는 두 개의 기본 제공 일반 허용 컨트롤러인 MutatingAdmissionWebhook 및 ValidatingAdmissionWebhook가 있습니다. 이러한 허용 컨트롤러의 동작은 사용자가 클러스터에 배포하는 허용 웹후크를 통해 결정됩니다. 이러한 허용 컨트롤러의 사용은 합법적일 수 있지만 공격자는 요청을 수정하거나(MutatingAdmissionWebhook의 경우) 요청을 검사하고 중요한 정보(ValidatingAdmissionWebhook의 경우)를 얻기 위해 이러한 웹후크를 사용할 수 있습니다.
MITRE 전술: 자격 증명 액세스, 지속성
심각도: 정보 제공
알려진 악성 원본에서 검색된 파일 다운로드
(K8S.NODE_SuspectDownload) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과 맬웨어를 배포하는 데 자주 사용되는 원본에서 파일 다운로드가 검색되었습니다.
MITRE 전술: PrivilegeEscalation, Execution, Exfiltration, Command and Control
심각도: 보통
의심스러운 파일 다운로드가 검색됨
(K8S.NODE_SuspectDownloadArtifacts) 1
설명: 컨테이너 내에서 또는 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과 원격 파일의 의심스러운 다운로드가 감지되었습니다.
MITRE 전술: 지속성
심각도: 정보 제공
nohup 명령의 의심스러운 사용이 감지됨
(K8S.NODE_SuspectNohup) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스의 분석에서 nohup 명령의 의심스러운 사용을 감지했습니다. 공격자가 임시 디렉터리에서 숨겨진 파일을 실행하여 실행 파일을 백그라운드에서 실행할 수 있도록 nohup 명령을 사용하는 것이 관찰되었습니다. 임시 디렉터리에 있는 숨겨진 파일에서 이 명령이 실행되는 것은 드문 일입니다.
MITRE 전술: 지속성, DefenseEvasion
심각도: 보통
useradd 명령의 의심스러운 사용이 감지됨
(K8S.NODE_SuspectUserAddition) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스의 분석에서 useradd 명령의 의심스러운 사용을 감지했습니다.
MITRE 전술: 지속성
심각도: 보통
디지털 통화 마이닝 컨테이너가 검색됨
(K8S_MaliciousContainerImage) 3
설명: Kubernetes 감사 로그 분석에서 디지털 통화 마이닝 도구와 연결된 이미지가 있는 컨테이너를 검색했습니다.
MITRE 전술: 실행
심각도: 높음
디지털 통화 마이닝 관련 동작이 검색됨
(K8S.NODE_DigitalCurrencyMining) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과 일반적으로 디지털 통화 마이닝과 연결된 프로세스 또는 명령의 실행이 감지되었습니다.
MITRE 전술: 실행
심각도: 높음
Kubernetes 노드에서 검색된 Docker 빌드 작업
(K8S.NODE_ImageBuildOnNode) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스의 분석에서 Kubernetes 노드에서 컨테이너 이미지의 빌드 작업을 검색했습니다. 이 동작은 합법적일 수 있지만, 공격자가 악의적인 이미지를 로컬로 빌드하여 감지를 피할 수 있습니다.
MITRE 전술: DefenseEvasion
심각도: 정보 제공
노출된 Kubeflow 대시보드가 검색됨
(K8S_ExposedKubeflow)
설명: Kubernetes 감사 로그 분석에서 Kubeflow를 실행하는 클러스터의 부하 분산 장치에서 Istio 수신 노출을 감지했습니다. 이 작업은 Kubeflow 대시보드를 인터넷에 노출할 수 있습니다. 대시보드가 인터넷에 노출되면 공격자는 대시보드에 액세스하여 클러스터에서 악성 컨테이너 또는 코드를 실행할 수 있습니다. 다음 문서에서 자세한 내용을 찾습니다. https://www.microsoft.com/en-us/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/
MITRE 전술: 초기 액세스
심각도: 보통
노출된 Kubernetes 대시보드가 검색됨
(K8S_ExposedDashboard)
설명: Kubernetes 감사 로그 분석에서 LoadBalancer 서비스에서 Kubernetes 대시보드 노출을 감지했습니다. 노출된 대시보드는 클러스터 관리에 인증되지 않은 액세스를 허용하고 보안 위협을 제기합니다.
MITRE 전술: 초기 액세스
심각도: 높음
Kubernetes 서비스가 노출된 것이 탐지됨
(K8S_ExposedService)
설명: Kubernetes 감사 로그 분석에서 부하 분산 장치에서 서비스의 노출을 감지했습니다. 이 서비스는 노드에서 프로세스를 실행하거나 새 컨테이너를 만드는 등 클러스터에서 높은 영향을 주는 작업을 허용하는 중요한 애플리케이션과 관련이 있습니다. 경우에 따라 이 서비스에 인증이 필요하지 않습니다. 서비스에 인증이 필요하지 않은 경우 인터넷에 노출하면 보안 위험이 발생합니다.
MITRE 전술: 초기 액세스
심각도: 보통
AKS에서 노출된 Redis 서비스가 검색됨
(K8S_ExposedRedis)
설명: Kubernetes 감사 로그 분석에서 부하 분산 장치에서 Redis 서비스의 노출을 감지했습니다. 서비스에 인증이 필요하지 않은 경우 인터넷에 노출하면 보안 위험이 발생합니다.
MITRE 전술: 초기 액세스
심각도: 낮음
DDOS 도구 키트와 관련된 지표가 감지됨
(K8S.NODE_KnownLinuxDDoSToolkit) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과 DDoS 공격을 시작하고 포트 및 서비스를 열고 감염된 시스템을 완전히 제어할 수 있는 맬웨어와 연결된 도구 키트의 일부인 파일 이름을 검색했습니다. 이는 합법적인 활동일 수도 있습니다.
MITRE 전술: 지속성, 횡적 이동, 실행, 악용
심각도: 보통
프록시 IP 주소에서 K8S API 요청이 감지됨
(K8S_TI_Proxy) 3
설명: Kubernetes 감사 로그 분석에서 TOR과 같은 프록시 서비스와 연결된 IP 주소에서 클러스터에 대한 API 요청을 감지했습니다. 이 동작은 합법적일 수 있지만, 공격자가 원본 IP를 숨기려고 하는 악의적인 활동에서 나타나는 경우가 많습니다.
MITRE 전술: 실행
심각도: 낮음
Kubernetes 이벤트가 삭제됨
설명: 클라우드용 Defender 일부 Kubernetes 이벤트가 삭제되었음을 감지했습니다. Kubernetes 이벤트는 클러스터의 변경 내용에 대한 정보를 포함하는 Kubernetes의 개체입니다. 공격자는 클러스터에서 작업을 숨기기 위해 해당 이벤트를 삭제할 수 있습니다.
MITRE 전술: 방어 회피
심각도: 낮음
Kubernetes 침투 테스트 도구가 검색됨
(K8S_PenTestToolsKubeHunter)
설명: Kubernetes 감사 로그 분석에서 AKS 클러스터에서 Kubernetes 침투 테스트 도구의 사용을 감지했습니다. 이 동작은 합법적일 수 있지만, 공격자가 이러한 공용 도구를 악의적인 목적으로 사용할 수 있습니다.
MITRE 전술: 실행
심각도: 낮음
클라우드용 Microsoft Defender 테스트 경고(위협이 아님)
(K8S.NODE_EICAR) 1
설명: 클라우드용 Microsoft Defender 생성된 테스트 경고입니다. 추가 조치가 필요하지 않습니다.
MITRE 전술: 실행
심각도: 높음
kube-system 네임스페이스의 새 컨테이너가 검색됨
(K8S_KubeSystemContainer) 3
설명: Kubernetes 감사 로그 분석에서 kube-system 네임스페이스에서 일반적으로 이 네임스페이스에서 실행되는 컨테이너에 속하지 않는 새 컨테이너를 검색했습니다. kube-system 네임스페이스에는 사용자 리소스가 포함되지 않아야 합니다. 공격자가 이 네임스페이스를 사용하여 악성 구성 요소를 숨길 수 있습니다.
MITRE 전술: 지속성
심각도: 정보 제공
새 높은 권한 역할이 검색됨
(K8S_HighPrivilegesRole) 3
설명: Kubernetes 감사 로그 분석에서 높은 권한이 있는 새 역할을 검색했습니다. 높은 권한이 있는 역할에 바인딩하면 클러스터에서 높은 권한이 사용자/그룹에 부여됩니다. 불필요한 권한으로 인해 클러스터에서 권한 상승이 발생할 수 있습니다.
MITRE 전술: 지속성
심각도: 정보 제공
가능한 공격 도구가 검색됨
(K8S.NODE_KnownLinuxAttackTool) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스의 분석에서 의심스러운 도구 호출을 검색했습니다. 이 도구는 다른 사용자를 공격하는 악의적인 사용자와 관련된 경우가 많습니다.
MITRE 전술: 실행, 수집, 명령 및 제어, 검색
심각도: 보통
백도어 검색 가능
(K8S.NODE_LinuxBackdoorArtifact) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스의 분석에서 의심스러운 파일이 다운로드되고 실행되는 것을 발견했습니다. 이 활동은 이전에 백도어 설치와 연결되었습니다.
MITRE 전술: 지속성, DefenseEvasion, 실행, 악용
심각도: 보통
가능한 명령줄 악용 시도
(K8S.NODE_ExploitAttempt) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과 알려진 취약성에 대한 악용 시도가 감지되었습니다.
MITRE 전술: 악용
심각도: 보통
가능한 자격 증명 액세스 도구가 검색됨
(K8S.NODE_KnownLinuxCredentialAccessTool) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과, 지정된 프로세스 및 명령줄 기록 항목으로 식별된 대로 컨테이너에서 실행 중인 알려진 자격 증명 액세스 도구가 감지되었습니다. 이 도구는 자격 증명에 액세스를 시도하는 공격자와 관련된 경우가 많습니다.
MITRE 전술: CredentialAccess
심각도: 보통
가능한 Cryptocoinminer 다운로드가 검색됨
(K8S.NODE_CryptoCoinMinerDownload) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과 일반적으로 디지털 통화 마이닝과 연결된 파일의 다운로드가 검색되었습니다.
MITRE 전술: DefenseEvasion, 명령 및 제어, 악용
심각도: 보통
로그 변조 활동이 감지되었을 수 있음
(K8S.NODE_SystemLogRemoval) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과 작업 과정에서 사용자의 활동을 추적하는 파일이 제거될 수 있음을 발견했습니다. 공격자는 종종 이러한 로그 파일을 삭제하여 탐지를 회피하고 악의적인 활동의 흔적을 남기지 않으려고 합니다.
MITRE 전술: DefenseEvasion
심각도: 보통
암호화 방법을 사용한 가능한 암호 변경이 감지됨
(K8S.NODE_SuspectPasswordChange) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스의 분석에서 암호화 방법을 사용하여 암호 변경을 감지했습니다. 공격자는 이 변경을 수행하여 손상 후 액세스를 계속하고 지속성을 확보할 수 있습니다.
MITRE 전술: CredentialAccess
심각도: 보통
외부 IP 주소로 잠재적 포트 전달
(K8S.NODE_SuspectPortForwarding) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과 외부 IP 주소로 포트 전달이 시작되는 것을 감지했습니다.
MITRE 전술: 반출, 명령 및 제어
심각도: 보통
잠재적인 역방향 셸이 검색됨
(K8S.NODE_ReverseShell) 1
설명: 컨테이너 내에서 또는 Kubernetes 노드에서 직접 실행되는 프로세스의 분석에서 잠재적인 역방향 셸을 검색했습니다. 이러한 셸은 손상된 컴퓨터를 공격자가 소유한 컴퓨터로 다시 호출하는 데 사용됩니다.
MITRE 전술: 반출, 착취
심각도: 보통
권한 있는 컨테이너가 검색됨
(K8S_PrivilegedContainer)
설명: Kubernetes 감사 로그 분석에서 새 권한 있는 컨테이너를 검색했습니다. 권한 있는 컨테이너는 노드의 리소스에 액세스할 수 있으며 컨테이너 간의 격리를 중단합니다. 컴퓨터가 손상되면 공격자는 권한 있는 컨테이너를 사용하여 노드에 대한 액세스 권한을 얻을 수 있습니다.
MITRE 전술: 권한 상승
심각도: 정보 제공
디지털 통화 마이닝 관련 프로세스가 감지됨
(K8S.NODE_CryptoCoinMinerArtifacts) 1
설명: 컨테이너 내에서 실행되는 프로세스를 분석한 결과 일반적으로 디지털 통화 마이닝과 연결된 프로세스의 실행이 감지되었습니다.
MITRE 전술: 실행, 악용
심각도: 보통
비정상적인 방법으로 SSH 권한 있는 키 파일에 액세스하는 프로세스
(K8S.NODE_SshKeyAccess) 1
설명: 알려진 맬웨어 캠페인과 유사한 방법으로 SSH authorized_keys 파일에 액세스했습니다. 이 액세스는 작업자가 머신에 대한 영구 액세스를 시도 중임을 의미합니다.
MITRE 전술: 알 수 없음
심각도: 정보 제공
클러스터 관리자 역할에 대한 역할 바인딩이 검색됨
(K8S_ClusterAdminBinding)
설명: Kubernetes 감사 로그 분석에서 관리자 권한을 부여하는 클러스터 관리자 역할에 대한 새 바인딩을 검색했습니다. 불필요한 관리자 권한으로 인해 클러스터에서 권한 상승이 발생할 수 있습니다.
MITRE 전술: 지속성
심각도: 정보 제공
보안 관련 프로세스 종료가 감지됨
(K8S.NODE_SuspectProcessTermination) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과 컨테이너의 보안 모니터링과 관련된 프로세스를 종료하려는 시도가 감지되었습니다. 공격자는 종종 손상 후 미리 정의된 스크립트를 사용하여 이러한 프로세스를 종료하려고 합니다.
MITRE 전술: 지속성
심각도: 낮음
SSH 서버가 컨테이너 내에서 실행되고 있습니다.
(K8S.NODE_ContainerSSH) 1
설명: 컨테이너 내에서 실행되는 프로세스를 분석한 결과 컨테이너 내에서 실행되는 SSH 서버가 감지되었습니다.
MITRE 전술: 실행
심각도: 정보 제공
의심스러운 파일 타임스탬프 수정
(K8S.NODE_TimestampTampering) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스의 분석에서 의심스러운 타임스탬프 수정이 감지되었습니다. 공격자는 새로 삭제된 파일의 감지를 피하기 위해 기존의 합법적인 파일에서 새 도구로 타임스탬프를 복사하는 경우가 많습니다.
MITRE 전술: 지속성, DefenseEvasion
심각도: 낮음
Kubernetes API에 대한 의심스러운 요청
(K8S.NODE_KubernetesAPI) 1
설명: 컨테이너 내에서 실행되는 프로세스의 분석은 Kubernetes API에 대한 의심스러운 요청이 수행되었음을 나타냅니다. 요청이 클러스터의 컨테이너에서 전송되었습니다. 이 동작은 의도적일 수 있지만 손상된 컨테이너가 클러스터에서 실행 중임을 나타낼 수 있습니다.
MITRE 전술: LateralMovement
심각도: 보통
Kubernetes 대시보드에 대한 의심스러운 요청
(K8S.NODE_KubernetesDashboard) 1
설명: 컨테이너 내에서 실행되는 프로세스의 분석은 Kubernetes 대시보드에 의심스러운 요청이 수행되었음을 나타냅니다. 요청이 클러스터의 컨테이너에서 전송되었습니다. 이 동작은 의도적일 수 있지만 손상된 컨테이너가 클러스터에서 실행 중임을 나타낼 수 있습니다.
MITRE 전술: LateralMovement
심각도: 보통
잠재적인 암호화 코인 마이너가 시작됨
(K8S.NODE_CryptoCoinMinerExecution) 1
설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과 일반적으로 디지털 통화 마이닝과 연결된 방식으로 프로세스가 시작되는 것을 감지했습니다.
MITRE 전술: 실행
심각도: 보통
의심스러운 암호 액세스
(K8S.NODE_SuspectPasswordFileAccess) 1
설명: 컨테이너 내에서 또는 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과 암호화된 사용자 암호에 액세스하려는 의심스러운 시도가 감지되었습니다.
MITRE 전술: 지속성
심각도: 정보 제공
악성 웹 셸이 검색되었을 수 있음
(K8S.NODE_Webshell) 1
설명: 컨테이너 내에서 실행되는 프로세스를 분석하여 가능한 웹 셸을 검색했습니다. 공격자는 지속성을 얻거나 추가 악용을 위해 손상된 컴퓨팅 리소스에 웹 셸을 업로드하는 경우가 많습니다.
MITRE 전술: 지속성, 악용
심각도: 보통
여러 정찰 명령의 버스트는 손상 후 초기 활동을 나타낼 수 있음
(K8S.NODE_ReconnaissanceArtifactsBurst) 1
설명: 호스트/디바이스 데이터를 분석하여 초기 손상 후 공격자가 수행한 시스템 또는 호스트 세부 정보 수집과 관련된 여러 정찰 명령의 실행을 감지했습니다.
MITRE 전술: 검색, 수집
심각도: 낮음
의심스러운 다운로드 후 작업 실행
(K8S.NODE_DownloadAndRunCombo) 1
설명: 컨테이너 내에서 또는 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과, 다운로드 중인 파일이 동일한 명령으로 실행되는 것을 발견했습니다. 항상 악의적인 것은 아니지만 공격자가 악성 파일을 피해자 컴퓨터에 가져오는 데 사용하는 매우 일반적인 기술입니다.
MITRE 전술: 실행, CommandAndControl, 악용
심각도: 보통
kubelet kubeconfig 파일에 대한 액세스가 감지됨
(K8S.NODE_KubeConfigAccess) 1
설명: Kubernetes 클러스터 노드에서 실행 중인 프로세스를 분석한 결과 호스트의 kubeconfig 파일에 대한 액세스가 감지되었습니다. Kubelet 프로세스에서 일반적으로 사용되는 kubeconfig 파일에는 Kubernetes 클러스터 API 서버에 대한 자격 증명이 포함되어 있습니다. 이 파일에 대한 액세스는 종종 해당 자격 증명에 액세스하려는 공격자 또는 파일에 액세스할 수 있는지 확인하는 보안 검사 도구와 연결됩니다.
MITRE 전술: CredentialAccess
심각도: 보통
클라우드 메타데이터 서비스에 대한 액세스가 감지됨
(K8S.NODE_ImdsCall) 1
설명: 컨테이너 내에서 실행되는 프로세스 분석에서 ID 토큰을 획득하기 위한 클라우드 메타데이터 서비스에 대한 액세스가 감지되었습니다. 컨테이너는 일반적으로 이러한 작업을 수행하지 않습니다. 이 동작은 합법적일 수 있지만 공격자는 실행 중인 컨테이너에 대한 초기 액세스 권한을 얻은 후 이 기술을 사용하여 클라우드 리소스에 액세스할 수 있습니다.
MITRE 전술: CredentialAccess
심각도: 보통
MITRE Caldera 에이전트가 검색됨
(K8S.NODE_MitreCalderaTools) 1
설명: 컨테이너 내에서 또는 Kubernetes 노드에서 직접 실행되는 프로세스의 분석에서 의심스러운 프로세스를 검색했습니다. 이는 종종 MITRE 54ndc47 에이전트와 연결되며 악의적으로 다른 컴퓨터를 공격하는 데 사용될 수 있습니다.
MITRE 전술: 지속성, PrivilegeEscalation, DefenseEvasion, CredentialAccess, 검색, LateralMovement, Execution, Collection, 반출, 명령 및 제어, 검색, 악용
심각도: 보통
1: AKS가 아닌 클러스터에 대한 미리 보기: 이 경고는 일반적으로 AKS 클러스터에서 사용할 수 있지만 Azure Arc, EKS 및 GKE와 같은 다른 환경에 대해서는 미리 보기로 제공됩니다.
2: GKE 클러스터에 대한 제한 사항: GKE는 모든 경고 유형을 지원하지 않는 Kubernetes 감사 정책을 사용합니다. 따라서 Kubernetes 감사 이벤트를 기반으로 하는 이 보안 경고는 GKE 클러스터에 대해 지원되지 않습니다.
3: 이 경고는 Windows 노드/컨테이너에서 지원됩니다.
참고 항목
미리 보기에 있는 알림의 경우 Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.