Waarschuwingen voor containers - Kubernetes-clusters

In dit artikel vindt u een overzicht van de beveiligingswaarschuwingen voor containers en Kubernetes-clusters van Microsoft Defender voor Cloud en eventuele Microsoft Defender-abonnementen die u hebt ingeschakeld. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.

Notitie

Sommige van de onlangs toegevoegde waarschuwingen mogelijk gemaakt door Microsoft Defender-bedreigingsinformatie en Microsoft Defender voor Eindpunt zijn mogelijk niet-gedocumenteerd.

Meer informatie over hoe u kunt reageren op deze waarschuwingen.

Meer informatie over het exporteren van waarschuwingen.

Notitie

Hoe snel een waarschuwing wordt weergegeven, hangt af van de bron van de waarschuwing. Waarschuwingen waarvoor analyse van netwerkverkeer is vereist, worden bijvoorbeeld later weergegeven dan waarschuwingen met betrekking tot verdachte processen op virtuele machines.

Waarschuwingen voor containers en Kubernetes-clusters

Microsoft Defender for Containers biedt beveiligingswaarschuwingen op clusterniveau en op de onderliggende clusterknooppunten door zowel het besturingsvlak (API-server) als de containerworkload zelf te bewaken. Beveiligingswaarschuwingen voor het besturingsvlak kunnen worden herkend door een voorvoegsel van K8S_ het waarschuwingstype. Beveiligingswaarschuwingen voor runtimeworkloads in de clusters kunnen worden herkend door het K8S.NODE_ voorvoegsel van het waarschuwingstype. Alle waarschuwingen worden alleen ondersteund in Linux, tenzij anders wordt aangegeven.

Extra informatie en opmerkingen

Blootgestelde Postgres-service met configuratie van vertrouwensverificatie in Kubernetes gedetecteerd (preview)

(K8S_ExposedPostgresTrustAuth)

Beschrijving: Kubernetes-clusterconfiguratieanalyse heeft blootstelling van een Postgres-service gedetecteerd door een load balancer. De service is geconfigureerd met de verificatiemethode voor vertrouwen, waarvoor geen referenties zijn vereist.

MITRE-tactieken: InitialAccess

Ernst: gemiddeld

Blootgestelde Postgres-service met riskante configuratie in Kubernetes gedetecteerd (preview)

(K8S_ExposedPostgresBroadIPRange)

Beschrijving: Kubernetes-clusterconfiguratieanalyse heeft blootstelling van een Postgres-service gedetecteerd door een load balancer met een riskante configuratie. Het blootstellen van de service aan een breed scala aan IP-adressen vormt een beveiligingsrisico.

MITRE-tactieken: InitialAccess

Ernst: gemiddeld

Poging om een nieuwe Linux-naamruimte te maken op basis van een gedetecteerde container

(K8S. NODE_NamespaceCreation) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd in een container in een Kubernetes-cluster is een poging gedetecteerd om een nieuwe Linux-naamruimte te maken. Hoewel dit gedrag legitiem kan zijn, kan dit erop wijzen dat een aanvaller probeert te ontsnappen van de container naar het knooppunt. Sommige CVE-2022-0185-exploitaties gebruiken deze techniek.

MITRE-tactieken: PrivilegeEscalation

Ernst: informatie

Een geschiedenisbestand is gewist

(K8S. NODE_HistoryFileCleared) ¹

Beschrijving: Analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, heeft gedetecteerd dat het logboekbestand voor de opdrachtgeschiedenis is gewist. Aanvallers kunnen dit doen om hun sporen te bedekken. De bewerking is uitgevoerd door het opgegeven gebruikersaccount.

MITRE-tactiek: DefenseEvasion

Ernst: gemiddeld

Abnormale activiteit van beheerde identiteit die is gekoppeld aan Kubernetes (preview)

(K8S_AbnormalMiActivity)

Beschrijving: Bij analyse van Azure Resource Manager-bewerkingen is een abnormaal gedrag gedetecteerd van een beheerde identiteit die wordt gebruikt door een AKS-invoegtoepassing. De gedetecteerde activiteit is niet consistent met het gedrag van de gekoppelde invoegtoepassing. Hoewel deze activiteit legitiem kan zijn, kan dit gedrag erop wijzen dat de identiteit is verkregen door een aanvaller, mogelijk van een geïnfecteerde container in het Kubernetes-cluster.

MITRE-tactieken: Laterale beweging

Ernst: gemiddeld

Abnormale bewerking voor Kubernetes-serviceaccount gedetecteerd

(K8S_ServiceAccountRareOperation)

Beschrijving: Analyse van het auditlogboek van Kubernetes heeft abnormaal gedrag gedetecteerd door een serviceaccount in uw Kubernetes-cluster. Het serviceaccount is gebruikt voor een bewerking, die niet gebruikelijk is voor dit serviceaccount. Hoewel deze activiteit legitiem kan zijn, kan dit gedrag erop wijzen dat het serviceaccount wordt gebruikt voor schadelijke doeleinden.

MITRE-tactieken: laterale verplaatsing, referentietoegang

Ernst: gemiddeld

Er is een ongebruikelijke verbindingspoging gedetecteerd

(K8S. NODE_SuspectConnection) ¹

Beschrijving: Analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, heeft een ongebruikelijke verbindingspoging gedetecteerd met behulp van een sokkenprotocol. Dit is zeer zeldzaam bij normale bewerkingen, maar een bekende techniek voor aanvallers die netwerklaagdetecties proberen te omzeilen.

MITRE-tactieken: Uitvoering, Exfiltratie, Exploitatie

Ernst: gemiddeld

Attempt to stop apt-daily-upgrade.timer service detected (Poging tot stoppen van service apt-daily-upgrade.timer gedetecteerd)

(K8S. NODE_TimerServiceDisabled) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een poging gedetecteerd om apt-daily-upgrade.timerservice te stoppen. Aanvallers zijn waargenomen dat deze service wordt gestopt om schadelijke bestanden te downloaden en uitvoeringsbevoegdheden te verlenen voor hun aanvallen. Deze activiteit kan ook optreden als de service wordt bijgewerkt via normale beheeracties.

MITRE-tactiek: DefenseEvasion

Ernst: informatie

Gedrag dat vergelijkbaar is met veelvoorkomende Linux-bots gedetecteerd (preview)

(K8S. NODE_CommonBot)

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is gedetecteerd dat een proces wordt uitgevoerd dat normaal gesproken is gekoppeld aan algemene Linux-botnets.

MITRE-tactieken: uitvoering, verzameling, opdracht en beheer

Ernst: gemiddeld

Opdracht binnen een container die wordt uitgevoerd met hoge bevoegdheden

(K8S. NODE_PrivilegedExecutionInContainer) ¹

Beschrijving: Machinelogboeken geven aan dat een bevoegde opdracht is uitgevoerd in een Docker-container. Een geprivilegieerde opdracht heeft uitgebreide bevoegdheden op de hostcomputer.

MITRE-tactieken: PrivilegeEscalation

Ernst: informatie

Container die wordt uitgevoerd in de modus Met bevoegdheden

(K8S. NODE_PrivilegedContainerArtifacts) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is de uitvoering gedetecteerd van een Docker-opdracht waarop een bevoegde container wordt uitgevoerd. De bevoegde container heeft volledige toegang tot de hostpod of hostresource. Als er inbreuk is opgevallen, kan een aanvaller de bevoegde container gebruiken om toegang te krijgen tot de hostingpod of host.

MITRE-tactieken: PrivilegeEscalation, Execution

Ernst: informatie

Container with a sensitive volume mount detected (Container met koppeling van gevoelig volume gedetecteerd)

(K8S_SensitiveMount)

Beschrijving: Kubernetes-auditlogboekanalyse heeft een nieuwe container met een gevoelige volumekoppeling gedetecteerd. Het volume dat is gedetecteerd, is een hostPath-type dat een gevoelig bestand of een gevoelige map koppelt van het knooppunt aan de container. Als de container wordt aangetast, kan de aanvaller deze koppeling gebruiken om toegang te krijgen tot het knooppunt.

MITRE-tactieken: Escalatie van bevoegdheden

Ernst: informatie

CoreDNS-wijziging in Kubernetes gedetecteerd

(K8S_CoreDnsModification) ^{2 3}

Beschrijving: Analyse van het auditlogboek van Kubernetes heeft een wijziging van de CoreDNS-configuratie gedetecteerd. De configuratie van CoreDNS kan worden gewijzigd door de configuratiemap te overschrijven. Hoewel deze activiteit legitiem kan zijn, kunnen aanvallers gemachtigd zijn om de configuratiemap te wijzigen, kunnen ze het gedrag van de DNS-server van het cluster wijzigen en deze vergiftigen.

MITRE-tactieken: Laterale beweging

Ernst: Laag

Er is een toegangswebhookconfiguratie gedetecteerd

(K8S_AdmissionController) ³

Beschrijving: Kubernetes-auditlogboekanalyse heeft een nieuwe webhookconfiguratie voor toegang gedetecteerd. Kubernetes heeft twee ingebouwde algemene toegangscontrollers: MutatingAdmissionWebhook en ValidatingAdmissionWebhook. Het gedrag van deze toegangscontrollers wordt bepaald door een toegangswebhook die de gebruiker in het cluster implementeert. Het gebruik van dergelijke toegangscontrollers kan legitiem zijn, maar aanvallers kunnen dergelijke webhooks gebruiken voor het wijzigen van de aanvragen (in het geval van MutatingAdmissionWebhook) of het inspecteren van de aanvragen en het verkrijgen van gevoelige informatie (in het geval van ValidatingAdmissionWebhook).

MITRE-tactieken: Referentietoegang, Persistentie

Ernst: informatie

Detected file download from a known malicious source (Download van bestand gedetecteerd van een bekende bron van schadelijke software)

(K8S. NODE_SuspectDownload) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een download van een bestand gedetecteerd van een bron die vaak wordt gebruikt om malware te distribueren.

MITRE-tactiek: PrivilegeEscalation, Execution, Exfiltratie, Command and Control

Ernst: gemiddeld

Detected suspicious file download (Downloaden van verdacht bestand gedetecteerd)

(K8S. NODE_SuspectDownloadArtifacts) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een verdachte download van een extern bestand gedetecteerd.

MITRE-tactieken: Persistentie

Ernst: informatie

Detected suspicious use of the nohup command (Verdacht gebruik van de opdracht nohup gedetecteerd)

(K8S. NODE_SuspectNohup) ¹

Beschrijving: Analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, heeft een verdacht gebruik van de nohup-opdracht gedetecteerd. Aanvallers zijn gezien met behulp van de opdracht nohup om verborgen bestanden uit een tijdelijke map uit te voeren, zodat hun uitvoerbare bestanden op de achtergrond kunnen worden uitgevoerd. Het is zelden dat deze opdracht wordt uitgevoerd op verborgen bestanden die zich in een tijdelijke map bevinden.

MITRE-tactieken: Persistentie, DefenseEvasion

Ernst: gemiddeld

Detected suspicious use of the useradd command (Verdacht gebruik van de opdracht useradd gedetecteerd)

(K8S. NODE_SuspectUserAddition) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een verdacht gebruik van de useradd-opdracht gedetecteerd.

MITRE-tactieken: Persistentie

Ernst: gemiddeld

Digital currency mining container detected (Container voor mining van digitale valuta gedetecteerd)

(K8S_MaliciousContainerImage) ³

Beschrijving: Analyse van het auditlogboek van Kubernetes heeft een container gedetecteerd met een installatiekopieën die zijn gekoppeld aan een hulpprogramma voor digitale valutaanalyse.

MITRE-tactiek: uitvoering

Ernst: Hoog

Digital currency mining related behavior detected (Gedrag gedetecteerd dat is gerelateerd aan mining van digitale valuta)

(K8S. NODE_DigitalCurrencyMining) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een uitvoering van een proces of opdracht gedetecteerd die normaal gesproken is gekoppeld aan digitale valutaanalyse.

MITRE-tactiek: uitvoering

Ernst: Hoog

Docker-buildbewerking gedetecteerd op een Kubernetes-knooppunt

(K8S. NODE_ImageBuildOnNode) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een buildbewerking van een containerinstallatiekopieën op een Kubernetes-knooppunt gedetecteerd. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers hun schadelijke installatiekopieën lokaal bouwen om detectie te voorkomen.

MITRE-tactiek: DefenseEvasion

Ernst: informatie

Exposed Kubeflow dashboard detected (Weergegeven Kubeflow-dashboard gedetecteerd)

(K8S_ExposedKubeflow)

Beschrijving: De Kubernetes-auditlogboekanalyse heeft de blootstelling van het Istio-inkomend verkeer gedetecteerd door een load balancer in een cluster waarop Kubeflow wordt uitgevoerd. Door deze actie kan het Kubeflow-dashboard worden weergegeven op internet. Als het dashboard wordt blootgesteld aan internet, kunnen aanvallers er toegang toe krijgen en schadelijke containers of code op het cluster uitvoeren. Meer informatie vindt u in het volgende artikel: https://aka.ms/exposedkubeflow-blog

MITRE-tactieken: Initiële toegang

Ernst: gemiddeld

Exposed Kubernetes dashboard detected (Weergegeven Kubernetes-dashboard gedetecteerd)

(K8S_ExposedDashboard)

Beschrijving: Analyse van het auditlogboek van Kubernetes heeft de blootstelling van het Kubernetes-dashboard door een LoadBalancer-service gedetecteerd. Het weergegeven dashboard biedt een niet-geverifieerde toegang tot het clusterbeheer en vormt een beveiligingsrisico.

MITRE-tactieken: Initiële toegang

Ernst: Hoog

Exposed Kubernetes service detected (Weergegeven Kubernetes-service gedetecteerd)

(K8S_ExposedService)

Beschrijving: De Analyse van het Auditlogboek van Kubernetes heeft de blootstelling van een service door een load balancer gedetecteerd. Deze service is gerelateerd aan een gevoelige toepassing die bewerkingen met grote gevolgen in het cluster toestaat, zoals het uitvoeren van processen op het knooppunt of het maken van nieuwe containers. In sommige gevallen is voor deze service geen verificatie vereist. Als de service geen verificatie vereist, vormt het blootstellen aan internet een beveiligingsrisico.

MITRE-tactieken: Initiële toegang

Ernst: gemiddeld

Exposed Redis service in AKS detected (Weergegeven Redis-service in AKS gedetecteerd)

(K8S_ExposedRedis)

Beschrijving: De Kubernetes-auditlogboekanalyse heeft blootstelling van een Redis-service gedetecteerd door een load balancer. Als de service geen verificatie vereist, vormt het blootstellen aan internet een beveiligingsrisico.

MITRE-tactieken: Initiële toegang

Ernst: Laag

Indicators associated with DDOS toolkit detected (Indicatoren die zijn gekoppeld aan DDOS-toolkit gedetecteerd)

(K8S. NODE_KnownLinuxDDoSToolkit) ¹

Beschrijving: Analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, heeft bestandsnamen gedetecteerd die deel uitmaken van een toolkit die is gekoppeld aan malware die DDoS-aanvallen kan starten, poorten en services kan openen en volledige controle over het geïnfecteerde systeem kan overnemen. Dit kan overigens ook een legitieme activiteit zijn.

MITRE-tactieken: Persistentie, LateralMovement, Uitvoering, Exploitatie

Ernst: gemiddeld

K8S-API-aanvragen van proxy-IP-adres gedetecteerd

(K8S_TI_Proxy) ³

Beschrijving: Kubernetes-auditlogboekanalyse heeft API-aanvragen naar uw cluster gedetecteerd vanaf een IP-adres dat is gekoppeld aan proxyservices, zoals TOR. Hoewel dit gedrag legitiem kan zijn, wordt dit vaak gezien in schadelijke activiteiten, wanneer aanvallers proberen hun bron-IP te verbergen.

MITRE-tactiek: uitvoering

Ernst: Laag

Kubernetes-gebeurtenissen verwijderd

(K8S_DeleteEvents) ^{2 3}

Beschrijving: Defender voor Cloud gedetecteerd dat sommige Kubernetes-gebeurtenissen zijn verwijderd. Kubernetes-gebeurtenissen zijn objecten in Kubernetes die informatie bevatten over wijzigingen in het cluster. Aanvallers kunnen deze gebeurtenissen verwijderen om hun bewerkingen in het cluster te verbergen.

MITRE-tactieken: Verdedigingsontduiking

Ernst: Laag

Kubernetes-hulpprogramma voor penetratietests gedetecteerd

(K8S_PenTestToolsKubeHunter)

Beschrijving: Kubernetes-auditlogboekanalyse heeft het gebruik van het Kubernetes-hulpprogramma voor penetratietests in het AKS-cluster gedetecteerd. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers dergelijke openbare hulpprogramma's gebruiken voor schadelijke doeleinden.

MITRE-tactiek: uitvoering

Ernst: Laag

Microsoft Defender voor Cloud testwaarschuwing (geen bedreiging)

(K8S. NODE_EICAR) ¹

Beschrijving: Dit is een testwaarschuwing die wordt gegenereerd door Microsoft Defender voor Cloud. U hoeft geen verdere actie te ondernemen.

MITRE-tactiek: uitvoering

Ernst: Hoog

New container in the kube-system namespace detected (Nieuwe container in naamruimte kube-system gedetecteerd)

(K8S_KubeSystemContainer) ³

Beschrijving: Kubernetes-auditlogboekanalyse heeft een nieuwe container gedetecteerd in de kube-system-naamruimte die zich niet bevindt onder de containers die normaal gesproken in deze naamruimte worden uitgevoerd. De naamruimte kube-system mag geen gebruikersresources bevatten. Aanvallers kunnen deze naamruimte gebruiken om schadelijke onderdelen te verbergen.

MITRE-tactieken: Persistentie

Ernst: informatie

New high privileges role detected (Nieuwe rol met hoge bevoegdheden gedetecteerd)

(K8S_HighPrivilegesRole) ³

Beschrijving: Analyse van kubernetes-auditlogboek heeft een nieuwe rol met hoge bevoegdheden gedetecteerd. Een binding met een rol met hoge bevoegdheden geeft de gebruiker/groep hoge bevoegdheden in het cluster. Onnodige bevoegdheden kunnen leiden tot escalatie van bevoegdheden in het cluster.

MITRE-tactieken: Persistentie

Ernst: informatie

Possible attack tool detected (Mogelijk programma voor aanvallen gedetecteerd)

(K8S. NODE_KnownLinuxAttackTool) ¹

Beschrijving: Analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, heeft een verdachte aanroep van hulpprogramma's gedetecteerd. Dit hulpprogramma is vaak gekoppeld aan kwaadwillende gebruikers die anderen aanvallen.

MITRE-tactieken: uitvoering, verzameling, opdracht en controle, testen

Ernst: gemiddeld

Mogelijke achterdeur gedetecteerd

(K8S. NODE_LinuxBackdoorArtifact) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is vastgesteld dat er een verdacht bestand wordt gedownload en uitgevoerd. Deze activiteit is eerder gekoppeld aan de installatie van een achterdeur.

MITRE-tactieken: Persistentie, DefenseEvasion, Uitvoering, Exploitatie

Ernst: gemiddeld

Mogelijke poging tot exploitatie van opdrachtregels

(K8S. NODE_ExploitAttempt) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een mogelijke exploitatiepoging gedetecteerd op basis van een bekend beveiligingsprobleem.

MITRE-tactieken: Exploitatie

Ernst: gemiddeld

Possible credential access tool detected (Mogelijk programma voor verkrijgen van toegang tot referenties gedetecteerd)

(K8S. NODE_KnownLinuxCredentialAccessTool) ¹

Beschrijving: Analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, heeft gedetecteerd dat een mogelijk bekend hulpprogramma voor toegang tot referenties werd uitgevoerd op de container, zoals geïdentificeerd door het opgegeven proces- en opdrachtregelgeschiedenisitem. Dit programma is vaak gekoppeld aan een aanvaller die toegang probeert te krijgen tot referenties.

MITRE-tactieken: CredentialAccess

Ernst: gemiddeld

Mogelijke Cryptocoinminer-download gedetecteerd

(K8S. NODE_CryptoCoinMinerDownload) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is het downloaden van een bestand gedetecteerd dat normaal gesproken is gekoppeld aan digitale valutaanalyse.

MITRE tactiek: DefenseEvasion, Command and Control, Exploitation

Ernst: gemiddeld

Possible Log Tampering Activity Detected (Mogelijke manipulatie van logboek gedetecteerd)

(K8S. NODE_SystemLogRemoval) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een mogelijke verwijdering gedetecteerd van bestanden die de activiteit van de gebruiker bijhoudt tijdens de uitvoering ervan. Aanvallers proberen vaak detectie te omzeilen en laten geen sporen achter van schadelijke activiteiten door dergelijke logboekbestanden te verwijderen.

MITRE-tactiek: DefenseEvasion

Ernst: gemiddeld

Mogelijke wachtwoordwijziging met behulp van de crypt-methode gedetecteerd

(K8S. NODE_SuspectPasswordChange) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een wachtwoordwijziging gedetecteerd met behulp van de crypt-methode. Aanvallers kunnen deze wijziging aanbrengen om door te gaan met toegang en persistentie te krijgen na inbreuk.

MITRE-tactieken: CredentialAccess

Ernst: gemiddeld

Potential port forwarding to external IP address (Mogelijke poortomleiding naar extern IP-adres)

(K8S. NODE_SuspectPortForwarding) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een start van port forwarding naar een extern IP-adres gedetecteerd.

MITRE-tactieken: Exfiltratie, Opdracht en Beheer

Ernst: gemiddeld

Potential reverse shell detected (Mogelijke reverse shell gedetecteerd)

(K8S. NODE_ReverseShell) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een mogelijke omgekeerde shell gedetecteerd. Deze worden gebruikt om een geïnfecteerde computer te laten terugbellen naar een computer die het eigendom is van de aanvaller.

MITRE-tactieken: Exfiltratie, Exploitatie

Ernst: gemiddeld

Privileged container detected (Geprivilegieerde container gedetecteerd)

(K8S_PrivilegedContainer)

Beschrijving: Analyse van het auditlogboek van Kubernetes heeft een nieuwe geprivilegieerde container gedetecteerd. Een geprivilegieerde container heeft toegang tot de resources van het knooppunt en verbreekt de isolatie tussen containers. Als er sprake is van een aanval, kan een aanvaller de geprivilegieerde container gebruiken om toegang te krijgen tot het knooppunt.

MITRE-tactieken: Escalatie van bevoegdheden

Ernst: informatie

Process associated with digital currency mining detected (Proces dat is gekoppeld aan mining van digitale valuta gedetecteerd)

(K8S. NODE_CryptoCoinMinerArtifacts) ¹

Beschrijving: Bij analyse van processen die in een container worden uitgevoerd, is de uitvoering van een proces gedetecteerd dat normaal gesproken is gekoppeld aan digitale valutaanalyse.

MITRE-tactieken: Uitvoering, Exploitatie

Ernst: gemiddeld

Process seen accessing the SSH authorized keys file in an unusual way (Proces heeft op een ongebruikelijke manier toegang tot bestand met SSH-geautoriseerde sleutels)

(K8S. NODE_SshKeyAccess) ¹

Beschrijving: Er is een SSH-authorized_keys-bestand geopend in een methode die vergelijkbaar is met bekende malwarecampagnes. Deze toegang kan betekenen dat een actor permanente toegang probeert te krijgen tot een computer.

MITRE-tactieken: Onbekend

Ernst: informatie

Role binding to the cluster-admin role detected (Rolbinding met de rol van clusterbeheerder gedetecteerd)

(K8S_ClusterAdminBinding)

Beschrijving: Kubernetes-auditlogboekanalyse heeft een nieuwe binding gedetecteerd met de rol clusterbeheerder die beheerdersbevoegdheden geeft. Onnodige beheerdersbevoegdheden kunnen leiden tot escalatie van bevoegdheden in het cluster.

MITRE-tactieken: Persistentie

Ernst: informatie

Security-related process termination detected (Beëindiging van proces gerelateerd aan beveiliging gedetecteerd)

(K8S. NODE_SuspectProcessTermination) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een poging gedetecteerd om processen met betrekking tot beveiligingsbewaking in de container te beëindigen. Aanvallers proberen dergelijke processen vaak na geslaagde infectie te beëindigen met behulp van vooraf gedefinieerde scripts.

MITRE-tactieken: Persistentie

Ernst: Laag

SSH server is running inside a container (SSH-server wordt uitgevoerd in een container)

(K8S. NODE_ContainerSSH) ¹

Beschrijving: Analyse van processen die worden uitgevoerd in een container, heeft een SSH-server gedetecteerd die in de container wordt uitgevoerd.

MITRE-tactiek: uitvoering

Ernst: informatie

Suspicious file timestamp modification (Verdachte wijziging van tijdstempel van bestand)

(K8S. NODE_TimestampTampering) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een verdachte tijdstempelwijziging gedetecteerd. Aanvallers kopiëren vaak tijdstempels van bestaande legitieme bestanden naar nieuwe hulpprogramma's om detectie van deze nieuw verwijderde bestanden te voorkomen.

MITRE-tactieken: Persistentie, DefenseEvasion

Ernst: Laag

Suspicious request to Kubernetes API (Verdachte aanvraag voor Kubernetes-API)

(K8S. NODE_KubernetesAPI) ¹

Beschrijving: Analyse van processen die in een container worden uitgevoerd, geeft aan dat er een verdachte aanvraag is ingediend bij de Kubernetes-API. De aanvraag is verzonden vanuit een container in het cluster. Hoewel dit gedrag opzettelijk kan zijn, kan dit erop wijzen dat een geïnfecteerde container wordt uitgevoerd in het cluster.

MITRE-tactieken: LateralMovement

Ernst: gemiddeld

Suspicious request to the Kubernetes Dashboard (Verdachte aanvraag naar Kubernetes-dashboard)

(K8S. NODE_KubernetesDashboard) ¹

Beschrijving: Analyse van processen die in een container worden uitgevoerd, geeft aan dat er een verdachte aanvraag is ingediend bij het Kubernetes-dashboard. De aanvraag is verzonden vanuit een container in het cluster. Hoewel dit gedrag opzettelijk kan zijn, kan dit erop wijzen dat een geïnfecteerde container wordt uitgevoerd in het cluster.

MITRE-tactieken: LateralMovement

Ernst: gemiddeld

Potentiële cryptomunt mijnwerker is gestart

(K8S. NODE_CryptoCoinMinerExecution) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is vastgesteld dat een proces wordt gestart op een manier die normaal gesproken is gekoppeld aan digitale valutaanalyse.

MITRE-tactiek: uitvoering

Ernst: gemiddeld

Suspicious password access (Verdachte wachtwoordtoegang)

(K8S. NODE_SuspectPasswordFileAccess) ¹

Beschrijving: Analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, heeft verdachte pogingen gedetecteerd om toegang te krijgen tot versleutelde gebruikerswachtwoorden.

MITRE-tactieken: Persistentie

Ernst: informatie

Possible malicious web shell detected (Mogelijk schadelijke webshell gedetecteerd)

(K8S. NODE_Webshell) ¹

Beschrijving: Analyse van processen die in een container worden uitgevoerd, heeft een mogelijke webshell gedetecteerd. Aanvallers uploaden vaak een webshell naar een rekenresource die ze hebben gecompromitteerd om persistentie te krijgen of voor verdere exploitatie.

MITRE-tactieken: Persistentie, Exploitatie

Ernst: gemiddeld

Burst van meerdere reconnaissance-opdrachten kan duiden op de eerste activiteit na inbreuk

(K8S. NODE_ReconnaissanceArtifactsBurst) ¹

Beschrijving: Analyse van host-/apparaatgegevens heeft gedetecteerd dat de uitvoering van meerdere reconnaissance-opdrachten met betrekking tot het verzamelen van systeem- of hostgegevens die door aanvallers zijn uitgevoerd na initiële inbreuk.

MITRE-tactieken: Detectie, Verzameling

Ernst: Laag

Verdachte download en uitvoeringsactiviteit

(K8S. NODE_DownloadAndRunCombo) ¹

Beschrijving: Bij analyse van processen die in een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is vastgesteld dat een bestand wordt gedownload en vervolgens wordt uitgevoerd in dezelfde opdracht. Hoewel dit niet altijd schadelijk is, is dit een veelgebruikte techniek die aanvallers gebruiken om schadelijke bestanden op slachtoffermachines te krijgen.

MITRE-tactieken: Uitvoering, CommandAndControl, Exploitatie

Ernst: gemiddeld

Toegang tot kubelet kubeconfig-bestand gedetecteerd

(K8S. NODE_KubeConfigAccess) ¹

Beschrijving: Analyse van processen die worden uitgevoerd op een Kubernetes-clusterknooppunt gedetecteerde toegang tot kubeconfig-bestand op de host. Het kubeconfig-bestand, normaal gesproken gebruikt door het Kubelet-proces, bevat referenties voor de Kubernetes-cluster-API-server. Toegang tot dit bestand is vaak gekoppeld aan aanvallers die toegang proberen te krijgen tot deze referenties, of met hulpprogramma's voor beveiligingsscans die controleren of het bestand toegankelijk is.

MITRE-tactieken: CredentialAccess

Ernst: gemiddeld

Toegang tot cloudmetagegevensservice gedetecteerd

(K8S. NODE_ImdsCall) ¹

Beschrijving: Analyse van processen die in een container worden uitgevoerd, heeft toegang tot de cloudmetagegevensservice gedetecteerd voor het verkrijgen van een identiteitstoken. Deze bewerking wordt normaal gesproken niet uitgevoerd door de container. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers deze techniek gebruiken om toegang te krijgen tot cloudresources nadat ze de eerste toegang hebben tot een actieve container.

MITRE-tactieken: CredentialAccess

Ernst: gemiddeld

MITRE Caldera agent detected (MITRE Caldera-agent gedetecteerd)

(K8S. NODE_MitreCalderaTools) ¹

Beschrijving: Analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, heeft een verdacht proces gedetecteerd. Dit is vaak gekoppeld aan de MITRE 54ndc47-agent, die schadelijk kan worden gebruikt om andere machines aan te vallen.

MITRE-tactieken: Persistentie, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltratie, Command and Control, Probing, Exploitation

Ernst: gemiddeld

¹: Preview voor niet-AKS-clusters: deze waarschuwing is algemeen beschikbaar voor AKS-clusters, maar is in preview voor andere omgevingen, zoals Azure Arc, EKS en GKE.

²: Beperkingen voor GKE-clusters: GKE maakt gebruik van een Kubernetes-controlebeleid dat niet alle waarschuwingstypen ondersteunt. Als gevolg hiervan wordt deze beveiligingswaarschuwing, die is gebaseerd op Kubernetes-auditgebeurtenissen, niet ondersteund voor GKE-clusters.

³: Deze waarschuwing wordt ondersteund op Windows-knooppunten/-containers.

Notitie

Voor waarschuwingen die in preview zijn: de aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.

Volgende stappen

• Beveiligingswaarschuwingen in Microsoft Defender voor Cloud
• Beheer en reageer op beveiligingswaarschuwingen in Microsoft Defender for Cloud
• Continu Defender voor Cloud gegevens exporteren