Waarschuwingen voor containers - Kubernetes-clusters
In dit artikel vindt u een overzicht van de beveiligingswaarschuwingen voor containers en Kubernetes-clusters van Microsoft Defender voor Cloud en eventuele Microsoft Defender-abonnementen die u hebt ingeschakeld. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.
Notitie
Sommige van de onlangs toegevoegde waarschuwingen mogelijk gemaakt door Microsoft Defender-bedreigingsinformatie en Microsoft Defender voor Eindpunt zijn mogelijk niet-gedocumenteerd.
Meer informatie over hoe u kunt reageren op deze waarschuwingen.
Meer informatie over het exporteren van waarschuwingen.
Notitie
Hoe snel een waarschuwing wordt weergegeven, hangt af van de bron van de waarschuwing. Waarschuwingen waarvoor analyse van netwerkverkeer is vereist, worden bijvoorbeeld later weergegeven dan waarschuwingen met betrekking tot verdachte processen op virtuele machines.
Waarschuwingen voor containers en Kubernetes-clusters
Microsoft Defender for Containers biedt beveiligingswaarschuwingen op clusterniveau en op de onderliggende clusterknooppunten door zowel het besturingsvlak (API-server) als de containerworkload zelf te bewaken. Beveiligingswaarschuwingen voor het besturingsvlak kunnen worden herkend door een voorvoegsel van K8S_
het waarschuwingstype. Beveiligingswaarschuwingen voor runtimeworkloads in de clusters kunnen worden herkend door het K8S.NODE_
voorvoegsel van het waarschuwingstype. Alle waarschuwingen worden alleen ondersteund in Linux, tenzij anders wordt aangegeven.
Extra informatie en opmerkingen
Blootgestelde Postgres-service met configuratie van vertrouwensverificatie in Kubernetes gedetecteerd (preview)
(K8S_ExposedPostgresTrustAuth)
Beschrijving: Kubernetes-clusterconfiguratieanalyse heeft blootstelling van een Postgres-service gedetecteerd door een load balancer. De service is geconfigureerd met de verificatiemethode voor vertrouwen, waarvoor geen referenties zijn vereist.
MITRE-tactieken: InitialAccess
Ernst: gemiddeld
Blootgestelde Postgres-service met riskante configuratie in Kubernetes gedetecteerd (preview)
(K8S_ExposedPostgresBroadIPRange)
Beschrijving: Kubernetes-clusterconfiguratieanalyse heeft blootstelling van een Postgres-service gedetecteerd door een load balancer met een riskante configuratie. Het blootstellen van de service aan een breed scala aan IP-adressen vormt een beveiligingsrisico.
MITRE-tactieken: InitialAccess
Ernst: gemiddeld
Poging om een nieuwe Linux-naamruimte te maken op basis van een gedetecteerde container
(K8S. NODE_NamespaceCreation) 1
Beschrijving: Bij analyse van processen die worden uitgevoerd in een container in een Kubernetes-cluster is een poging gedetecteerd om een nieuwe Linux-naamruimte te maken. Hoewel dit gedrag legitiem kan zijn, kan dit erop wijzen dat een aanvaller probeert te ontsnappen van de container naar het knooppunt. Sommige CVE-2022-0185-exploitaties gebruiken deze techniek.
MITRE-tactieken: PrivilegeEscalation
Ernst: informatie
Een geschiedenisbestand is gewist
(K8S. NODE_HistoryFileCleared) 1
Beschrijving: Analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, heeft gedetecteerd dat het logboekbestand voor de opdrachtgeschiedenis is gewist. Aanvallers kunnen dit doen om hun sporen te bedekken. De bewerking is uitgevoerd door het opgegeven gebruikersaccount.
MITRE-tactiek: DefenseEvasion
Ernst: gemiddeld
Abnormale activiteit van beheerde identiteit die is gekoppeld aan Kubernetes (preview)
(K8S_AbnormalMiActivity)
Beschrijving: Bij analyse van Azure Resource Manager-bewerkingen is een abnormaal gedrag gedetecteerd van een beheerde identiteit die wordt gebruikt door een AKS-invoegtoepassing. De gedetecteerde activiteit is niet consistent met het gedrag van de gekoppelde invoegtoepassing. Hoewel deze activiteit legitiem kan zijn, kan dit gedrag erop wijzen dat de identiteit is verkregen door een aanvaller, mogelijk van een geïnfecteerde container in het Kubernetes-cluster.
MITRE-tactieken: Laterale beweging
Ernst: gemiddeld
Abnormale bewerking voor Kubernetes-serviceaccount gedetecteerd
(K8S_ServiceAccountRareOperation)
Beschrijving: Analyse van het auditlogboek van Kubernetes heeft abnormaal gedrag gedetecteerd door een serviceaccount in uw Kubernetes-cluster. Het serviceaccount is gebruikt voor een bewerking, die niet gebruikelijk is voor dit serviceaccount. Hoewel deze activiteit legitiem kan zijn, kan dit gedrag erop wijzen dat het serviceaccount wordt gebruikt voor schadelijke doeleinden.
MITRE-tactieken: laterale verplaatsing, referentietoegang
Ernst: gemiddeld
Er is een ongebruikelijke verbindingspoging gedetecteerd
(K8S. NODE_SuspectConnection) 1
Beschrijving: Analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, heeft een ongebruikelijke verbindingspoging gedetecteerd met behulp van een sokkenprotocol. Dit is zeer zeldzaam bij normale bewerkingen, maar een bekende techniek voor aanvallers die netwerklaagdetecties proberen te omzeilen.
MITRE-tactieken: Uitvoering, Exfiltratie, Exploitatie
Ernst: gemiddeld
Attempt to stop apt-daily-upgrade.timer service detected (Poging tot stoppen van service apt-daily-upgrade.timer gedetecteerd)
(K8S. NODE_TimerServiceDisabled) 1
Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een poging gedetecteerd om apt-daily-upgrade.timerservice te stoppen. Aanvallers zijn waargenomen dat deze service wordt gestopt om schadelijke bestanden te downloaden en uitvoeringsbevoegdheden te verlenen voor hun aanvallen. Deze activiteit kan ook optreden als de service wordt bijgewerkt via normale beheeracties.
MITRE-tactiek: DefenseEvasion
Ernst: informatie
Gedrag dat vergelijkbaar is met veelvoorkomende Linux-bots gedetecteerd (preview)
(K8S. NODE_CommonBot)
Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is gedetecteerd dat een proces wordt uitgevoerd dat normaal gesproken is gekoppeld aan algemene Linux-botnets.
MITRE-tactieken: uitvoering, verzameling, opdracht en beheer
Ernst: gemiddeld
Opdracht binnen een container die wordt uitgevoerd met hoge bevoegdheden
(K8S. NODE_PrivilegedExecutionInContainer) 1
Beschrijving: Machinelogboeken geven aan dat een bevoegde opdracht is uitgevoerd in een Docker-container. Een geprivilegieerde opdracht heeft uitgebreide bevoegdheden op de hostcomputer.
MITRE-tactieken: PrivilegeEscalation
Ernst: informatie
Container die wordt uitgevoerd in de modus Met bevoegdheden
(K8S. NODE_PrivilegedContainerArtifacts) 1
Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is de uitvoering gedetecteerd van een Docker-opdracht waarop een bevoegde container wordt uitgevoerd. De bevoegde container heeft volledige toegang tot de hostpod of hostresource. Als er inbreuk is opgevallen, kan een aanvaller de bevoegde container gebruiken om toegang te krijgen tot de hostingpod of host.
MITRE-tactieken: PrivilegeEscalation, Execution
Ernst: informatie
Container with a sensitive volume mount detected (Container met koppeling van gevoelig volume gedetecteerd)
(K8S_SensitiveMount)
Beschrijving: Kubernetes-auditlogboekanalyse heeft een nieuwe container met een gevoelige volumekoppeling gedetecteerd. Het volume dat is gedetecteerd, is een hostPath-type dat een gevoelig bestand of een gevoelige map koppelt van het knooppunt aan de container. Als de container wordt aangetast, kan de aanvaller deze koppeling gebruiken om toegang te krijgen tot het knooppunt.
MITRE-tactieken: Escalatie van bevoegdheden
Ernst: informatie
CoreDNS-wijziging in Kubernetes gedetecteerd
Beschrijving: Analyse van het auditlogboek van Kubernetes heeft een wijziging van de CoreDNS-configuratie gedetecteerd. De configuratie van CoreDNS kan worden gewijzigd door de configuratiemap te overschrijven. Hoewel deze activiteit legitiem kan zijn, kunnen aanvallers gemachtigd zijn om de configuratiemap te wijzigen, kunnen ze het gedrag van de DNS-server van het cluster wijzigen en deze vergiftigen.
MITRE-tactieken: Laterale beweging
Ernst: Laag
Er is een toegangswebhookconfiguratie gedetecteerd
(K8S_AdmissionController) 3
Beschrijving: Kubernetes-auditlogboekanalyse heeft een nieuwe webhookconfiguratie voor toegang gedetecteerd. Kubernetes heeft twee ingebouwde algemene toegangscontrollers: MutatingAdmissionWebhook en ValidatingAdmissionWebhook. Het gedrag van deze toegangscontrollers wordt bepaald door een toegangswebhook die de gebruiker in het cluster implementeert. Het gebruik van dergelijke toegangscontrollers kan legitiem zijn, maar aanvallers kunnen dergelijke webhooks gebruiken voor het wijzigen van de aanvragen (in het geval van MutatingAdmissionWebhook) of het inspecteren van de aanvragen en het verkrijgen van gevoelige informatie (in het geval van ValidatingAdmissionWebhook).
MITRE-tactieken: Referentietoegang, Persistentie
Ernst: informatie
Detected file download from a known malicious source (Download van bestand gedetecteerd van een bekende bron van schadelijke software)
(K8S. NODE_SuspectDownload) 1
Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een download van een bestand gedetecteerd van een bron die vaak wordt gebruikt om malware te distribueren.
MITRE-tactiek: PrivilegeEscalation, Execution, Exfiltratie, Command and Control
Ernst: gemiddeld
Detected suspicious file download (Downloaden van verdacht bestand gedetecteerd)
(K8S. NODE_SuspectDownloadArtifacts) 1
Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een verdachte download van een extern bestand gedetecteerd.
MITRE-tactieken: Persistentie
Ernst: informatie
Detected suspicious use of the nohup command (Verdacht gebruik van de opdracht nohup gedetecteerd)
(K8S. NODE_SuspectNohup) 1
Beschrijving: Analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, heeft een verdacht gebruik van de nohup-opdracht gedetecteerd. Aanvallers zijn gezien met behulp van de opdracht nohup om verborgen bestanden uit een tijdelijke map uit te voeren, zodat hun uitvoerbare bestanden op de achtergrond kunnen worden uitgevoerd. Het is zelden dat deze opdracht wordt uitgevoerd op verborgen bestanden die zich in een tijdelijke map bevinden.
MITRE-tactieken: Persistentie, DefenseEvasion
Ernst: gemiddeld
Detected suspicious use of the useradd command (Verdacht gebruik van de opdracht useradd gedetecteerd)
(K8S. NODE_SuspectUserAddition) 1
Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een verdacht gebruik van de useradd-opdracht gedetecteerd.
MITRE-tactieken: Persistentie
Ernst: gemiddeld
Digital currency mining container detected (Container voor mining van digitale valuta gedetecteerd)
(K8S_MaliciousContainerImage) 3
Beschrijving: Analyse van het auditlogboek van Kubernetes heeft een container gedetecteerd met een installatiekopieën die zijn gekoppeld aan een hulpprogramma voor digitale valutaanalyse.
MITRE-tactiek: uitvoering
Ernst: Hoog
Digital currency mining related behavior detected (Gedrag gedetecteerd dat is gerelateerd aan mining van digitale valuta)
(K8S. NODE_DigitalCurrencyMining) 1
Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een uitvoering van een proces of opdracht gedetecteerd die normaal gesproken is gekoppeld aan digitale valutaanalyse.
MITRE-tactiek: uitvoering
Ernst: Hoog
Docker-buildbewerking gedetecteerd op een Kubernetes-knooppunt
(K8S. NODE_ImageBuildOnNode) 1
Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een buildbewerking van een containerinstallatiekopieën op een Kubernetes-knooppunt gedetecteerd. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers hun schadelijke installatiekopieën lokaal bouwen om detectie te voorkomen.
MITRE-tactiek: DefenseEvasion
Ernst: informatie
Exposed Kubeflow dashboard detected (Weergegeven Kubeflow-dashboard gedetecteerd)
(K8S_ExposedKubeflow)
Beschrijving: De Kubernetes-auditlogboekanalyse heeft de blootstelling van het Istio-inkomend verkeer gedetecteerd door een load balancer in een cluster waarop Kubeflow wordt uitgevoerd. Door deze actie kan het Kubeflow-dashboard worden weergegeven op internet. Als het dashboard wordt blootgesteld aan internet, kunnen aanvallers er toegang toe krijgen en schadelijke containers of code op het cluster uitvoeren. Meer informatie vindt u in het volgende artikel: https://aka.ms/exposedkubeflow-blog
MITRE-tactieken: Initiële toegang
Ernst: gemiddeld
Exposed Kubernetes dashboard detected (Weergegeven Kubernetes-dashboard gedetecteerd)
(K8S_ExposedDashboard)
Beschrijving: Analyse van het auditlogboek van Kubernetes heeft de blootstelling van het Kubernetes-dashboard door een LoadBalancer-service gedetecteerd. Het weergegeven dashboard biedt een niet-geverifieerde toegang tot het clusterbeheer en vormt een beveiligingsrisico.
MITRE-tactieken: Initiële toegang
Ernst: Hoog
Exposed Kubernetes service detected (Weergegeven Kubernetes-service gedetecteerd)
(K8S_ExposedService)
Beschrijving: De Analyse van het Auditlogboek van Kubernetes heeft de blootstelling van een service door een load balancer gedetecteerd. Deze service is gerelateerd aan een gevoelige toepassing die bewerkingen met grote gevolgen in het cluster toestaat, zoals het uitvoeren van processen op het knooppunt of het maken van nieuwe containers. In sommige gevallen is voor deze service geen verificatie vereist. Als de service geen verificatie vereist, vormt het blootstellen aan internet een beveiligingsrisico.
MITRE-tactieken: Initiële toegang
Ernst: gemiddeld
Exposed Redis service in AKS detected (Weergegeven Redis-service in AKS gedetecteerd)
(K8S_ExposedRedis)
Beschrijving: De Kubernetes-auditlogboekanalyse heeft blootstelling van een Redis-service gedetecteerd door een load balancer. Als de service geen verificatie vereist, vormt het blootstellen aan internet een beveiligingsrisico.
MITRE-tactieken: Initiële toegang
Ernst: Laag
Indicators associated with DDOS toolkit detected (Indicatoren die zijn gekoppeld aan DDOS-toolkit gedetecteerd)
(K8S. NODE_KnownLinuxDDoSToolkit) 1
Beschrijving: Analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, heeft bestandsnamen gedetecteerd die deel uitmaken van een toolkit die is gekoppeld aan malware die DDoS-aanvallen kan starten, poorten en services kan openen en volledige controle over het geïnfecteerde systeem kan overnemen. Dit kan overigens ook een legitieme activiteit zijn.
MITRE-tactieken: Persistentie, LateralMovement, Uitvoering, Exploitatie
Ernst: gemiddeld
K8S-API-aanvragen van proxy-IP-adres gedetecteerd
(K8S_TI_Proxy) 3
Beschrijving: Kubernetes-auditlogboekanalyse heeft API-aanvragen naar uw cluster gedetecteerd vanaf een IP-adres dat is gekoppeld aan proxyservices, zoals TOR. Hoewel dit gedrag legitiem kan zijn, wordt dit vaak gezien in schadelijke activiteiten, wanneer aanvallers proberen hun bron-IP te verbergen.
MITRE-tactiek: uitvoering
Ernst: Laag
Kubernetes-gebeurtenissen verwijderd
Beschrijving: Defender voor Cloud gedetecteerd dat sommige Kubernetes-gebeurtenissen zijn verwijderd. Kubernetes-gebeurtenissen zijn objecten in Kubernetes die informatie bevatten over wijzigingen in het cluster. Aanvallers kunnen deze gebeurtenissen verwijderen om hun bewerkingen in het cluster te verbergen.
MITRE-tactieken: Verdedigingsontduiking
Ernst: Laag
Kubernetes-hulpprogramma voor penetratietests gedetecteerd
(K8S_PenTestToolsKubeHunter)
Beschrijving: Kubernetes-auditlogboekanalyse heeft het gebruik van het Kubernetes-hulpprogramma voor penetratietests in het AKS-cluster gedetecteerd. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers dergelijke openbare hulpprogramma's gebruiken voor schadelijke doeleinden.
MITRE-tactiek: uitvoering
Ernst: Laag
Microsoft Defender voor Cloud testwaarschuwing (geen bedreiging)
(K8S. NODE_EICAR) 1
Beschrijving: Dit is een testwaarschuwing die wordt gegenereerd door Microsoft Defender voor Cloud. U hoeft geen verdere actie te ondernemen.
MITRE-tactiek: uitvoering
Ernst: Hoog
New container in the kube-system namespace detected (Nieuwe container in naamruimte kube-system gedetecteerd)
(K8S_KubeSystemContainer) 3
Beschrijving: Kubernetes-auditlogboekanalyse heeft een nieuwe container gedetecteerd in de kube-system-naamruimte die zich niet bevindt onder de containers die normaal gesproken in deze naamruimte worden uitgevoerd. De naamruimte kube-system mag geen gebruikersresources bevatten. Aanvallers kunnen deze naamruimte gebruiken om schadelijke onderdelen te verbergen.
MITRE-tactieken: Persistentie
Ernst: informatie
New high privileges role detected (Nieuwe rol met hoge bevoegdheden gedetecteerd)
(K8S_HighPrivilegesRole) 3
Beschrijving: Analyse van kubernetes-auditlogboek heeft een nieuwe rol met hoge bevoegdheden gedetecteerd. Een binding met een rol met hoge bevoegdheden geeft de gebruiker/groep hoge bevoegdheden in het cluster. Onnodige bevoegdheden kunnen leiden tot escalatie van bevoegdheden in het cluster.
MITRE-tactieken: Persistentie
Ernst: informatie
Possible attack tool detected (Mogelijk programma voor aanvallen gedetecteerd)
(K8S. NODE_KnownLinuxAttackTool) 1
Beschrijving: Analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, heeft een verdachte aanroep van hulpprogramma's gedetecteerd. Dit hulpprogramma is vaak gekoppeld aan kwaadwillende gebruikers die anderen aanvallen.
MITRE-tactieken: uitvoering, verzameling, opdracht en controle, testen
Ernst: gemiddeld
Mogelijke achterdeur gedetecteerd
(K8S. NODE_LinuxBackdoorArtifact) 1
Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is vastgesteld dat er een verdacht bestand wordt gedownload en uitgevoerd. Deze activiteit is eerder gekoppeld aan de installatie van een achterdeur.
MITRE-tactieken: Persistentie, DefenseEvasion, Uitvoering, Exploitatie
Ernst: gemiddeld
Mogelijke poging tot exploitatie van opdrachtregels
(K8S. NODE_ExploitAttempt) 1
Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een mogelijke exploitatiepoging gedetecteerd op basis van een bekend beveiligingsprobleem.
MITRE-tactieken: Exploitatie
Ernst: gemiddeld
Possible credential access tool detected (Mogelijk programma voor verkrijgen van toegang tot referenties gedetecteerd)
(K8S. NODE_KnownLinuxCredentialAccessTool) 1
Beschrijving: Analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, heeft gedetecteerd dat een mogelijk bekend hulpprogramma voor toegang tot referenties werd uitgevoerd op de container, zoals geïdentificeerd door het opgegeven proces- en opdrachtregelgeschiedenisitem. Dit programma is vaak gekoppeld aan een aanvaller die toegang probeert te krijgen tot referenties.
MITRE-tactieken: CredentialAccess
Ernst: gemiddeld
Mogelijke Cryptocoinminer-download gedetecteerd
(K8S. NODE_CryptoCoinMinerDownload) 1
Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is het downloaden van een bestand gedetecteerd dat normaal gesproken is gekoppeld aan digitale valutaanalyse.
MITRE tactiek: DefenseEvasion, Command and Control, Exploitation
Ernst: gemiddeld
Possible Log Tampering Activity Detected (Mogelijke manipulatie van logboek gedetecteerd)
(K8S. NODE_SystemLogRemoval) 1
Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een mogelijke verwijdering gedetecteerd van bestanden die de activiteit van de gebruiker bijhoudt tijdens de uitvoering ervan. Aanvallers proberen vaak detectie te omzeilen en laten geen sporen achter van schadelijke activiteiten door dergelijke logboekbestanden te verwijderen.
MITRE-tactiek: DefenseEvasion
Ernst: gemiddeld
Mogelijke wachtwoordwijziging met behulp van de crypt-methode gedetecteerd
(K8S. NODE_SuspectPasswordChange) 1
Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een wachtwoordwijziging gedetecteerd met behulp van de crypt-methode. Aanvallers kunnen deze wijziging aanbrengen om door te gaan met toegang en persistentie te krijgen na inbreuk.
MITRE-tactieken: CredentialAccess
Ernst: gemiddeld
Potential port forwarding to external IP address (Mogelijke poortomleiding naar extern IP-adres)
(K8S. NODE_SuspectPortForwarding) 1
Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een start van port forwarding naar een extern IP-adres gedetecteerd.
MITRE-tactieken: Exfiltratie, Opdracht en Beheer
Ernst: gemiddeld
Potential reverse shell detected (Mogelijke reverse shell gedetecteerd)
(K8S. NODE_ReverseShell) 1
Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een mogelijke omgekeerde shell gedetecteerd. Deze worden gebruikt om een geïnfecteerde computer te laten terugbellen naar een computer die het eigendom is van de aanvaller.
MITRE-tactieken: Exfiltratie, Exploitatie
Ernst: gemiddeld
Privileged container detected (Geprivilegieerde container gedetecteerd)
(K8S_PrivilegedContainer)
Beschrijving: Analyse van het auditlogboek van Kubernetes heeft een nieuwe geprivilegieerde container gedetecteerd. Een geprivilegieerde container heeft toegang tot de resources van het knooppunt en verbreekt de isolatie tussen containers. Als er sprake is van een aanval, kan een aanvaller de geprivilegieerde container gebruiken om toegang te krijgen tot het knooppunt.
MITRE-tactieken: Escalatie van bevoegdheden
Ernst: informatie
Process associated with digital currency mining detected (Proces dat is gekoppeld aan mining van digitale valuta gedetecteerd)
(K8S. NODE_CryptoCoinMinerArtifacts) 1
Beschrijving: Bij analyse van processen die in een container worden uitgevoerd, is de uitvoering van een proces gedetecteerd dat normaal gesproken is gekoppeld aan digitale valutaanalyse.
MITRE-tactieken: Uitvoering, Exploitatie
Ernst: gemiddeld
Process seen accessing the SSH authorized keys file in an unusual way (Proces heeft op een ongebruikelijke manier toegang tot bestand met SSH-geautoriseerde sleutels)
(K8S. NODE_SshKeyAccess) 1
Beschrijving: Er is een SSH-authorized_keys-bestand geopend in een methode die vergelijkbaar is met bekende malwarecampagnes. Deze toegang kan betekenen dat een actor permanente toegang probeert te krijgen tot een computer.
MITRE-tactieken: Onbekend
Ernst: informatie
Role binding to the cluster-admin role detected (Rolbinding met de rol van clusterbeheerder gedetecteerd)
(K8S_ClusterAdminBinding)
Beschrijving: Kubernetes-auditlogboekanalyse heeft een nieuwe binding gedetecteerd met de rol clusterbeheerder die beheerdersbevoegdheden geeft. Onnodige beheerdersbevoegdheden kunnen leiden tot escalatie van bevoegdheden in het cluster.
MITRE-tactieken: Persistentie
Ernst: informatie
Security-related process termination detected (Beëindiging van proces gerelateerd aan beveiliging gedetecteerd)
(K8S. NODE_SuspectProcessTermination) 1
Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een poging gedetecteerd om processen met betrekking tot beveiligingsbewaking in de container te beëindigen. Aanvallers proberen dergelijke processen vaak na geslaagde infectie te beëindigen met behulp van vooraf gedefinieerde scripts.
MITRE-tactieken: Persistentie
Ernst: Laag
SSH server is running inside a container (SSH-server wordt uitgevoerd in een container)
(K8S. NODE_ContainerSSH) 1
Beschrijving: Analyse van processen die worden uitgevoerd in een container, heeft een SSH-server gedetecteerd die in de container wordt uitgevoerd.
MITRE-tactiek: uitvoering
Ernst: informatie
Suspicious file timestamp modification (Verdachte wijziging van tijdstempel van bestand)
(K8S. NODE_TimestampTampering) 1
Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een verdachte tijdstempelwijziging gedetecteerd. Aanvallers kopiëren vaak tijdstempels van bestaande legitieme bestanden naar nieuwe hulpprogramma's om detectie van deze nieuw verwijderde bestanden te voorkomen.
MITRE-tactieken: Persistentie, DefenseEvasion
Ernst: Laag
Suspicious request to Kubernetes API (Verdachte aanvraag voor Kubernetes-API)
(K8S. NODE_KubernetesAPI) 1
Beschrijving: Analyse van processen die in een container worden uitgevoerd, geeft aan dat er een verdachte aanvraag is ingediend bij de Kubernetes-API. De aanvraag is verzonden vanuit een container in het cluster. Hoewel dit gedrag opzettelijk kan zijn, kan dit erop wijzen dat een geïnfecteerde container wordt uitgevoerd in het cluster.
MITRE-tactieken: LateralMovement
Ernst: gemiddeld
Suspicious request to the Kubernetes Dashboard (Verdachte aanvraag naar Kubernetes-dashboard)
(K8S. NODE_KubernetesDashboard) 1
Beschrijving: Analyse van processen die in een container worden uitgevoerd, geeft aan dat er een verdachte aanvraag is ingediend bij het Kubernetes-dashboard. De aanvraag is verzonden vanuit een container in het cluster. Hoewel dit gedrag opzettelijk kan zijn, kan dit erop wijzen dat een geïnfecteerde container wordt uitgevoerd in het cluster.
MITRE-tactieken: LateralMovement
Ernst: gemiddeld
Potentiële cryptomunt mijnwerker is gestart
(K8S. NODE_CryptoCoinMinerExecution) 1
Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is vastgesteld dat een proces wordt gestart op een manier die normaal gesproken is gekoppeld aan digitale valutaanalyse.
MITRE-tactiek: uitvoering
Ernst: gemiddeld
Suspicious password access (Verdachte wachtwoordtoegang)
(K8S. NODE_SuspectPasswordFileAccess) 1
Beschrijving: Analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, heeft verdachte pogingen gedetecteerd om toegang te krijgen tot versleutelde gebruikerswachtwoorden.
MITRE-tactieken: Persistentie
Ernst: informatie
Possible malicious web shell detected (Mogelijk schadelijke webshell gedetecteerd)
(K8S. NODE_Webshell) 1
Beschrijving: Analyse van processen die in een container worden uitgevoerd, heeft een mogelijke webshell gedetecteerd. Aanvallers uploaden vaak een webshell naar een rekenresource die ze hebben gecompromitteerd om persistentie te krijgen of voor verdere exploitatie.
MITRE-tactieken: Persistentie, Exploitatie
Ernst: gemiddeld
Burst van meerdere reconnaissance-opdrachten kan duiden op de eerste activiteit na inbreuk
(K8S. NODE_ReconnaissanceArtifactsBurst) 1
Beschrijving: Analyse van host-/apparaatgegevens heeft gedetecteerd dat de uitvoering van meerdere reconnaissance-opdrachten met betrekking tot het verzamelen van systeem- of hostgegevens die door aanvallers zijn uitgevoerd na initiële inbreuk.
MITRE-tactieken: Detectie, Verzameling
Ernst: Laag
Verdachte download en uitvoeringsactiviteit
(K8S. NODE_DownloadAndRunCombo) 1
Beschrijving: Bij analyse van processen die in een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is vastgesteld dat een bestand wordt gedownload en vervolgens wordt uitgevoerd in dezelfde opdracht. Hoewel dit niet altijd schadelijk is, is dit een veelgebruikte techniek die aanvallers gebruiken om schadelijke bestanden op slachtoffermachines te krijgen.
MITRE-tactieken: Uitvoering, CommandAndControl, Exploitatie
Ernst: gemiddeld
Toegang tot kubelet kubeconfig-bestand gedetecteerd
(K8S. NODE_KubeConfigAccess) 1
Beschrijving: Analyse van processen die worden uitgevoerd op een Kubernetes-clusterknooppunt gedetecteerde toegang tot kubeconfig-bestand op de host. Het kubeconfig-bestand, normaal gesproken gebruikt door het Kubelet-proces, bevat referenties voor de Kubernetes-cluster-API-server. Toegang tot dit bestand is vaak gekoppeld aan aanvallers die toegang proberen te krijgen tot deze referenties, of met hulpprogramma's voor beveiligingsscans die controleren of het bestand toegankelijk is.
MITRE-tactieken: CredentialAccess
Ernst: gemiddeld
Toegang tot cloudmetagegevensservice gedetecteerd
(K8S. NODE_ImdsCall) 1
Beschrijving: Analyse van processen die in een container worden uitgevoerd, heeft toegang tot de cloudmetagegevensservice gedetecteerd voor het verkrijgen van een identiteitstoken. Deze bewerking wordt normaal gesproken niet uitgevoerd door de container. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers deze techniek gebruiken om toegang te krijgen tot cloudresources nadat ze de eerste toegang hebben tot een actieve container.
MITRE-tactieken: CredentialAccess
Ernst: gemiddeld
MITRE Caldera agent detected (MITRE Caldera-agent gedetecteerd)
(K8S. NODE_MitreCalderaTools) 1
Beschrijving: Analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, heeft een verdacht proces gedetecteerd. Dit is vaak gekoppeld aan de MITRE 54ndc47-agent, die schadelijk kan worden gebruikt om andere machines aan te vallen.
MITRE-tactieken: Persistentie, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltratie, Command and Control, Probing, Exploitation
Ernst: gemiddeld
1: Preview voor niet-AKS-clusters: deze waarschuwing is algemeen beschikbaar voor AKS-clusters, maar is in preview voor andere omgevingen, zoals Azure Arc, EKS en GKE.
2: Beperkingen voor GKE-clusters: GKE maakt gebruik van een Kubernetes-controlebeleid dat niet alle waarschuwingstypen ondersteunt. Als gevolg hiervan wordt deze beveiligingswaarschuwing, die is gebaseerd op Kubernetes-auditgebeurtenissen, niet ondersteund voor GKE-clusters.
3: Deze waarschuwing wordt ondersteund op Windows-knooppunten/-containers.
Notitie
Voor waarschuwingen die in preview zijn: de aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.
Volgende stappen
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar:Feedback verzenden en bekijken voor