Udostępnij za pośrednictwem


Alerty dotyczące kontenerów — klastry Kubernetes

W tym artykule wymieniono alerty zabezpieczeń, które można uzyskać dla kontenerów i klastrów Kubernetes z Microsoft Defender dla Chmury i wszystkich planów usługi Microsoft Defender, które włączono. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.

Uwaga

Niektóre ostatnio dodane alerty obsługiwane przez usługę Microsoft Defender Threat Intelligence i Ochrona punktu końcowego w usłudze Microsoft Defender mogą być nieudokumentowane.

Dowiedz się, jak reagować na te alerty.

Dowiedz się, jak eksportować alerty.

Uwaga

Alerty z różnych źródeł mogą zająć różne czasy. Na przykład alerty wymagające analizy ruchu sieciowego mogą być wyświetlane dłużej niż alerty związane z podejrzanymi procesami uruchomionymi na maszynach wirtualnych.

Alerty dotyczące kontenerów i klastrów Kubernetes

Usługa Microsoft Defender for Containers udostępnia alerty zabezpieczeń na poziomie klastra i w źródłowych węzłach klastra przez monitorowanie zarówno płaszczyzny sterowania (serwera interfejsu API), jak i samego obciążenia konteneryzowanego. Alerty zabezpieczeń płaszczyzny sterowania można rozpoznać za pomocą prefiksu typu alertu K8S_ . Alerty zabezpieczeń dotyczące obciążenia środowiska uruchomieniowego w klastrach mogą być rozpoznawane przez K8S.NODE_ prefiks typu alertu. Wszystkie alerty są obsługiwane tylko w systemie Linux, chyba że określono inaczej.

Dalsze szczegóły i uwagi

Wykryto uwidocznioną usługę Postgres z konfiguracją uwierzytelniania zaufania na platformie Kubernetes (wersja zapoznawcza)

(K8S_ExposedPostgresTrustAuth)

Opis: Analiza konfiguracji klastra Kubernetes wykryła narażenie usługi Postgres przez moduł równoważenia obciążenia. Usługa jest skonfigurowana przy użyciu metody uwierzytelniania zaufania, która nie wymaga poświadczeń.

Taktyka MITRE: InitialAccess

Ważność: średni rozmiar

Uwidoczniona usługa Postgres z ryzykowną konfiguracją na platformie Kubernetes wykryto (wersja zapoznawcza)

(K8S_ExposedPostgresBroadIPRange)

Opis: Analiza konfiguracji klastra Kubernetes wykryła narażenie usługi Postgres przez moduł równoważenia obciążenia z ryzykowną konfiguracją. Uwidacznianie usługi dla szerokiego zakresu adresów IP stanowi zagrożenie bezpieczeństwa.

Taktyka MITRE: InitialAccess

Ważność: średni rozmiar

Próba utworzenia nowej przestrzeni nazw systemu Linux na podstawie wykrytego kontenera

(K8S. NODE_NamespaceCreation) 1

Opis: Analiza procesów uruchomionych w kontenerze w klastrze Kubernetes wykryła próbę utworzenia nowej przestrzeni nazw systemu Linux. Chociaż takie zachowanie może być uzasadnione, może to oznaczać, że osoba atakująca próbuje uciec z kontenera do węzła. Niektóre luki CVE-2022-0185 wykorzystują tę technikę.

Taktyka MITRE: PrivilegeEscalation

Ważność: informacyjna

Plik historii został wyczyszczone

(K8S. NODE_HistoryFileCleared) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła, że plik dziennika historii poleceń został wyczyszczone. Osoby atakujące mogą to zrobić, aby zakryć swoje ślady. Operacja została wykonana przez określone konto użytkownika.

Taktyka MITRE: DefenseEvasion

Ważność: średni rozmiar

Nietypowe działanie tożsamości zarządzanej skojarzonej z platformą Kubernetes (wersja zapoznawcza)

(K8S_AbnormalMiActivity)

Opis: Analiza operacji usługi Azure Resource Manager wykryła nietypowe zachowanie tożsamości zarządzanej używanej przez dodatek usługi AKS. Wykryte działanie nie jest zgodne z zachowaniem skojarzonego dodatku. Chociaż to działanie może być uzasadnione, takie zachowanie może wskazywać, że tożsamość została uzyskana przez osobę atakującą, prawdopodobnie z naruszonego kontenera w klastrze Kubernetes.

Taktyka MITRE: Ruch boczny

Ważność: średni rozmiar

Wykryto nietypową operację konta usługi Kubernetes

(K8S_ServiceAccountRareOperation)

Opis: Analiza dziennika inspekcji kubernetes wykryła nietypowe zachowanie przez konto usługi w klastrze Kubernetes. Konto usługi zostało użyte na potrzeby operacji, która nie jest powszechna dla tego konta usługi. Chociaż to działanie może być uzasadnione, takie zachowanie może wskazywać, że konto usługi jest używane do złośliwych celów.

Taktyka MITRE: ruch boczny, dostęp poświadczeń

Ważność: średni rozmiar

Wykryto nietypową próbę połączenia

(K8S. NODE_SuspectConnection) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła nietypową próbę połączenia przy użyciu protokołu skarpetek. Jest to bardzo rzadkie w normalnych operacjach, ale znana technika dla osób atakujących próbujących pominąć wykrywanie warstwy sieciowej.

Taktyka MITRE: wykonywanie, eksfiltracja, wykorzystywanie

Ważność: średni rozmiar

Podjęto próbę zatrzymania wykrytej usługi apt-daily-upgrade.timer

(K8S. NODE_TimerServiceDisabled) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła próbę zatrzymania usługi apt-daily-upgrade.timer. Osoby atakujące zaobserwowały zatrzymanie tej usługi w celu pobrania złośliwych plików i przyznania uprawnień do wykonywania ataków. To działanie może również wystąpić, jeśli usługa jest aktualizowana za pomocą normalnych akcji administracyjnych.

Taktyka MITRE: DefenseEvasion

Ważność: informacyjna

Zachowanie podobne do typowych wykrytych botów systemu Linux (wersja zapoznawcza)

(K8S. NODE_CommonBot)

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła wykonywanie procesu zwykle skojarzonego z typowymi botnetami systemu Linux.

Taktyka MITRE: wykonywanie, zbieranie, sterowanie i sterowanie

Ważność: średni rozmiar

Polecenie w kontenerze z wysokimi uprawnieniami

(K8S. NODE_PrivilegedExecutionInContainer) 1

Opis: Dzienniki maszyn wskazują, że uprzywilejowane polecenie zostało uruchomione w kontenerze platformy Docker. Polecenie uprzywilejowane ma rozszerzone uprawnienia na maszynie hosta.

Taktyka MITRE: PrivilegeEscalation

Ważność: informacyjna

Kontener uruchomiony w trybie uprzywilejowanym

(K8S. NODE_PrivilegedContainerArtifacts) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła wykonanie polecenia platformy Docker, które uruchamia uprzywilejowany kontener. Kontener uprzywilejowany ma pełny dostęp do zasobnika hostingu lub zasobu hosta. W przypadku naruszenia zabezpieczeń osoba atakująca może użyć uprzywilejowanego kontenera, aby uzyskać dostęp do zasobnika lub hosta hostingu.

Taktyka MITRE: PrivilegeEscalation, Execution

Ważność: informacyjna

Wykryto kontener z wykrytym poufnym woluminem

(K8S_SensitiveMount)

Opis: Analiza dziennika inspekcji kubernetes wykryła nowy kontener z wrażliwym instalowaniem woluminu. Wykryto wolumin jest typem hostPath, który instaluje poufny plik lub folder z węzła do kontenera. W przypadku naruszenia zabezpieczeń kontenera osoba atakująca może użyć tej instalacji w celu uzyskania dostępu do węzła.

Taktyka MITRE: Eskalacja uprawnień

Ważność: informacyjna

Wykryto modyfikację coreDNS na platformie Kubernetes

(K8S_CoreDnsModification) 2 3

Opis: Analiza dziennika inspekcji platformy Kubernetes wykryła modyfikację konfiguracji coreDNS. Konfigurację coreDNS można zmodyfikować, przesłaniając jej mapę konfiguracji. Chociaż to działanie może być uzasadnione, jeśli osoby atakujące mają uprawnienia do modyfikowania mapy konfiguracji, mogą zmienić zachowanie serwera DNS klastra i go zatruć.

Taktyka MITRE: Ruch boczny

Ważność: Niska

Wykryto tworzenie konfiguracji elementu webhook przyjęcia

(K8S_AdmissionController) 3

Opis: Analiza dziennika inspekcji platformy Kubernetes wykryła nową konfigurację elementu webhook przyjęcia. Platforma Kubernetes ma dwa wbudowane ogólne kontrolery przyjęć: MutatingAdmissionWebhook i ValidatingAdmissionWebhook. Zachowanie tych kontrolerów przyjęć jest określane przez element webhook przyjęcia, który użytkownik wdraża w klastrze. Użycie takich kontrolerów dostępu może być uzasadnione, jednak osoby atakujące mogą używać takich elementów webhook do modyfikowania żądań (w przypadku MutatingAdmissionWebhook) lub sprawdzania żądań i uzyskiwania poufnych informacji (w przypadku walidacjiAdmissionWebhook).

Taktyka MITRE: Dostęp poświadczeń, Trwałość

Ważność: informacyjna

Wykryto pobieranie pliku ze znanego złośliwego źródła

(K8S. NODE_SuspectDownload) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła pobieranie pliku ze źródła często używanego do dystrybucji złośliwego oprogramowania.

Taktyka MITRE: PrivilegeEscalation, Execution, Exfiltration, Command And Control

Ważność: średni rozmiar

Wykryto pobieranie podejrzanych plików

(K8S. NODE_SuspectDownloadArtifacts) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła podejrzane pobieranie pliku zdalnego.

Taktyka MITRE: Trwałość

Ważność: informacyjna

Wykryto podejrzane użycie polecenia nohup

(K8S. NODE_SuspectNohup) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła podejrzane użycie polecenia nohup. Osoby atakujące były postrzegane za pomocą polecenia nohup do uruchamiania ukrytych plików z katalogu tymczasowego w celu umożliwienia uruchamiania plików wykonywalnych w tle. Rzadko zdarza się, aby to polecenie było uruchamiane w ukrytych plikach znajdujących się w katalogu tymczasowym.

Taktyka MITRE: Trwałość, DefenseEvasion

Ważność: średni rozmiar

Wykryto podejrzane użycie polecenia useradd

(K8S. NODE_SuspectUserAddition) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła podejrzane użycie polecenia useradd.

Taktyka MITRE: Trwałość

Ważność: średni rozmiar

Wykryto kontener wyszukiwania walut cyfrowych

(K8S_MaliciousContainerImage) 3

Opis: Analiza dziennika inspekcji kubernetes wykryła kontener, który ma obraz skojarzony z narzędziem do wyszukiwania walut cyfrowych.

Taktyka MITRE: Wykonywanie

Ważność: Wysoka

(K8S. NODE_DigitalCurrencyMining) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła wykonanie procesu lub polecenia zwykle skojarzonego z wyszukiwaniem waluty cyfrowej.

Taktyka MITRE: Wykonywanie

Ważność: Wysoka

Wykryto operację kompilacji platformy Docker w węźle Kubernetes

(K8S. NODE_ImageBuildOnNode) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła operację kompilacji obrazu kontenera w węźle Kubernetes. Chociaż takie zachowanie może być uzasadnione, osoby atakujące mogą lokalnie tworzyć złośliwe obrazy, aby uniknąć wykrywania.

Taktyka MITRE: DefenseEvasion

Ważność: informacyjna

Wykryto ujawniony pulpit nawigacyjny kubeflow

(K8S_ExposedKubeflow)

Opis: Analiza dziennika inspekcji kubernetes wykryła narażenie ruchu przychodzącego Istio przez moduł równoważenia obciążenia w klastrze z uruchomionym rozwiązaniem Kubeflow. Ta akcja może uwidocznić pulpit nawigacyjny platformy Kubeflow w Internecie. Jeśli pulpit nawigacyjny jest uwidoczniony w Internecie, osoby atakujące mogą uzyskać do niego dostęp i uruchomić złośliwe kontenery lub kod w klastrze. Więcej szczegółów można znaleźć w następującym artykule: https://www.microsoft.com/en-us/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/

Taktyka MITRE: dostęp początkowy

Ważność: średni rozmiar

Wykryto ujawniony pulpit nawigacyjny platformy Kubernetes

(K8S_ExposedDashboard)

Opis: Analiza dziennika inspekcji platformy Kubernetes wykryła narażenie pulpitu nawigacyjnego Kubernetes przez usługę LoadBalancer. Uwidoczniony pulpit nawigacyjny umożliwia nieuwierzytelniony dostęp do zarządzania klastrem i stanowi zagrożenie bezpieczeństwa.

Taktyka MITRE: dostęp początkowy

Ważność: Wysoka

Wykryto ujawnioną usługę Kubernetes

(K8S_ExposedService)

Opis: Analiza dziennika inspekcji kubernetes wykryła narażenie usługi przez moduł równoważenia obciążenia. Ta usługa jest powiązana z wrażliwą aplikacją, która umożliwia wykonywanie operacji o dużym wpływie w klastrze, takich jak uruchamianie procesów w węźle lub tworzenie nowych kontenerów. W niektórych przypadkach ta usługa nie wymaga uwierzytelniania. Jeśli usługa nie wymaga uwierzytelniania, uwidacznianie jej w Internecie stanowi zagrożenie bezpieczeństwa.

Taktyka MITRE: dostęp początkowy

Ważność: średni rozmiar

Wykryto ujawnioną usługę Redis w usłudze AKS

(K8S_ExposedRedis)

Opis: Analiza dziennika inspekcji kubernetes wykryła narażenie usługi Redis przez moduł równoważenia obciążenia. Jeśli usługa nie wymaga uwierzytelniania, uwidacznianie jej w Internecie stanowi zagrożenie bezpieczeństwa.

Taktyka MITRE: dostęp początkowy

Ważność: Niska

Wykryto wskaźniki skojarzone z zestawem narzędzi DDOS

(K8S. NODE_KnownLinuxDDoSToolkit) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła nazwy plików, które są częścią zestawu narzędzi skojarzonego ze złośliwym oprogramowaniem, które umożliwia uruchamianie ataków DDoS, otwieranie portów i usług oraz przejęcie pełnej kontroli nad zainfekowanym systemem. Może to być również uzasadnione działanie.

Taktyka MITRE: Trwałość, LateralMovement, Wykonywanie, Wykorzystywanie

Ważność: średni rozmiar

Wykryto żądania interfejsu API K8S z adresu IP serwera proxy

(K8S_TI_Proxy) 3

Opis: Analiza dziennika inspekcji platformy Kubernetes wykryła żądania interfejsu API do klastra z adresu IP skojarzonego z usługami proxy, takimi jak TOR. Chociaż to zachowanie może być uzasadnione, często występuje w złośliwych działaniach, gdy osoby atakujące próbują ukryć źródłowy adres IP.

Taktyka MITRE: Wykonywanie

Ważność: Niska

Usunięto zdarzenia kubernetes

(K8S_DeleteEvents) 2 3

Opis: Defender dla Chmury wykrył, że niektóre zdarzenia kubernetes zostały usunięte. Zdarzenia kubernetes to obiekty na platformie Kubernetes zawierające informacje o zmianach w klastrze. Osoby atakujące mogą usunąć te zdarzenia w celu ukrycia operacji w klastrze.

Taktyka MITRE: Uchylanie się od obrony

Ważność: Niska

Wykryto narzędzie do testowania penetracyjnego platformy Kubernetes

(K8S_PenTestToolsKubeHunter)

Opis: Analiza dziennika inspekcji kubernetes wykryła użycie narzędzia do testowania penetracyjnego Kubernetes w klastrze usługi AKS. Chociaż takie zachowanie może być uzasadnione, osoby atakujące mogą używać takich narzędzi publicznych do złośliwych celów.

Taktyka MITRE: Wykonywanie

Ważność: Niska

Microsoft Defender dla Chmury alert testowy (nie zagrożenie)

(K8S. NODE_EICAR) 1

Opis: Jest to alert testowy wygenerowany przez Microsoft Defender dla Chmury. Nie trzeba wykonywać dalszych akcji.

Taktyka MITRE: Wykonywanie

Ważność: Wysoka

Wykryto nowy kontener w przestrzeni nazw kube-system

(K8S_KubeSystemContainer) 3

Opis: Analiza dziennika inspekcji kubernetes wykryła nowy kontener w przestrzeni nazw kube-system, która nie znajduje się wśród kontenerów, które normalnie działają w tej przestrzeni nazw. Przestrzenie nazw kube-system nie powinny zawierać zasobów użytkownika. Osoby atakujące mogą używać tej przestrzeni nazw do ukrywania złośliwych składników.

Taktyka MITRE: Trwałość

Ważność: informacyjna

Wykryto nową rolę o wysokich uprawnieniach

(K8S_HighPrivilegesRole) 3

Opis: Analiza dziennika inspekcji kubernetes wykryła nową rolę z wysokimi uprawnieniami. Powiązanie z rolą z wysokimi uprawnieniami daje użytkownikowi\grupie wysokie uprawnienia w klastrze. Niepotrzebne uprawnienia mogą powodować eskalację uprawnień w klastrze.

Taktyka MITRE: Trwałość

Ważność: informacyjna

Wykryto możliwe narzędzie do ataku

(K8S. NODE_KnownLinuxAttackTool) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła podejrzane wywołanie narzędzia. To narzędzie jest często kojarzone ze złośliwymi użytkownikami atakującymi innych użytkowników.

Taktyka MITRE: wykonywanie, zbieranie, sterowanie i kontrola, sondowanie

Ważność: średni rozmiar

Wykryto możliwe backdoor

(K8S. NODE_LinuxBackdoorArtifact) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła pobieranie i uruchamianie podejrzanego pliku. To działanie zostało wcześniej skojarzone z instalacją backdoor.

Taktyka MITRE: Trwałość, ObronaEvasion, Wykonywanie, Wyzysk

Ważność: średni rozmiar

Możliwa próba wykorzystania wiersza polecenia

(K8S. NODE_ExploitAttempt) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła możliwą próbę wykorzystania znanej luki w zabezpieczeniach.

Taktyka MITRE: Wyzysk

Ważność: średni rozmiar

Wykryto możliwe narzędzie dostępu do poświadczeń

(K8S. NODE_KnownLinuxCredentialAccessTool) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła, że w kontenerze uruchomiono możliwe znane narzędzie dostępu do poświadczeń, zidentyfikowane przez określony proces i element historii wiersza polecenia. To narzędzie jest często skojarzone z osobami atakującymi próbującymi uzyskać dostęp do poświadczeń.

Taktyka MITRE: CredentialAccess

Ważność: średni rozmiar

Wykryto możliwe pobranie crypto bitcoinminer

(K8S. NODE_CryptoCoinMinerDownload) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła pobieranie pliku zwykle skojarzonego z funkcją wyszukiwania walut cyfrowych.

Taktyka MITRE: DefenseEvasion, Command And Control, Wyzysk

Ważność: średni rozmiar

Wykryto możliwe działanie manipulowania dziennikami

(K8S. NODE_SystemLogRemoval) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła możliwe usunięcie plików śledzących aktywność użytkownika w trakcie jego działania. Osoby atakujące często próbują uniknąć wykrywania i nie pozostawiają śladu złośliwych działań, usuwając takie pliki dziennika.

Taktyka MITRE: DefenseEvasion

Ważność: średni rozmiar

Możliwa zmiana hasła przy użyciu wykrytej metody crypt

(K8S. NODE_SuspectPasswordChange) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła zmianę hasła przy użyciu metody crypt. Osoby atakujące mogą wprowadzić tę zmianę, aby kontynuować dostęp i uzyskać trwałość po naruszeniu zabezpieczeń.

Taktyka MITRE: CredentialAccess

Ważność: średni rozmiar

Potencjalne przekazywanie portów do zewnętrznego adresu IP

(K8S. NODE_SuspectPortForwarding) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła zainicjowanie przekazywania portów do zewnętrznego adresu IP.

Taktyka MITRE: eksfiltracja, sterowanie i kontrola

Ważność: średni rozmiar

Wykryto potencjalną powłokę odwrotną

(K8S. NODE_ReverseShell) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła potencjalną powłokę odwrotną. Są one używane do uzyskania naruszonej maszyny w celu wywołania z powrotem do maszyny, która jest właścicielem osoby atakującej.

Taktyka MITRE: Eksfiltracja, wyzysk

Ważność: średni rozmiar

Wykryto kontener uprzywilejowany

(K8S_PrivilegedContainer)

Opis: Analiza dziennika inspekcji kubernetes wykryła nowy kontener uprzywilejowany. Uprzywilejowany kontener ma dostęp do zasobów węzła i przerywa izolację między kontenerami. W przypadku naruszenia zabezpieczeń osoba atakująca może użyć uprzywilejowanego kontenera, aby uzyskać dostęp do węzła.

Taktyka MITRE: Eskalacja uprawnień

Ważność: informacyjna

Wykryto proces związany z wyszukiwaniem walut cyfrowych

(K8S. NODE_CryptoCoinMinerArtifacts) 1

Opis: Analiza procesów uruchomionych w kontenerze wykryła wykonywanie procesu zwykle skojarzonego z wyszukiwaniem walut cyfrowych.

Taktyka MITRE: Wykonywanie, wykorzystywanie

Ważność: średni rozmiar

Proces uzyskiwania dostępu do pliku kluczy autoryzowanych przez protokół SSH w nietypowy sposób

(K8S. NODE_SshKeyAccess) 1

Opis: dostęp do pliku authorized_keys SSH był uzyskiwany w metodzie podobnej do znanych kampanii złośliwego oprogramowania. Ten dostęp może oznaczać, że aktor próbuje uzyskać trwały dostęp do maszyny.

Taktyka MITRE: Nieznany

Ważność: informacyjna

Wykryto powiązanie roli z rolą administratora klastra

(K8S_ClusterAdminBinding)

Opis: Analiza dziennika inspekcji kubernetes wykryła nowe powiązanie z rolą administratora klastra, która daje uprawnienia administratora. Niepotrzebne uprawnienia administratora mogą spowodować eskalację uprawnień w klastrze.

Taktyka MITRE: Trwałość, PrivilegeEscalation

Ważność: informacyjna

(K8S. NODE_SuspectProcessTermination) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła próbę zakończenia procesów związanych z monitorowaniem zabezpieczeń w kontenerze. Osoby atakujące często próbują zakończyć takie procesy przy użyciu wstępnie zdefiniowanych skryptów po naruszeniu zabezpieczeń.

Taktyka MITRE: Trwałość

Ważność: Niska

Serwer SSH działa wewnątrz kontenera

(K8S. NODE_ContainerSSH) 1

Opis: Analiza procesów uruchomionych w kontenerze wykryła serwer SSH działający wewnątrz kontenera.

Taktyka MITRE: Wykonywanie

Ważność: informacyjna

Modyfikacja podejrzanego znacznika czasu pliku

(K8S. NODE_TimestampTampering) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła podejrzaną modyfikację znacznika czasu. Osoby atakujące często kopiują znaczniki czasu z istniejących legalnych plików do nowych narzędzi, aby uniknąć wykrywania tych nowo porzuconych plików.

Taktyka MITRE: Trwałość, DefenseEvasion

Ważność: Niska

Podejrzane żądanie do interfejsu API platformy Kubernetes

(K8S. NODE_KubernetesAPI) 1

Opis: Analiza procesów uruchomionych w kontenerze wskazuje, że do interfejsu API Kubernetes zostało wykonane podejrzane żądanie. Żądanie zostało wysłane z kontenera w klastrze. Mimo że to zachowanie może być zamierzone, może to oznaczać, że w klastrze działa naruszony kontener.

Taktyka MITRE: LateralMovement

Ważność: średni rozmiar

Podejrzane żądanie do pulpitu nawigacyjnego platformy Kubernetes

(K8S. NODE_KubernetesDashboard) 1

Opis: Analiza procesów uruchomionych w kontenerze wskazuje, że do pulpitu nawigacyjnego kubernetes zostało wykonane podejrzane żądanie. Żądanie zostało wysłane z kontenera w klastrze. Mimo że to zachowanie może być zamierzone, może to oznaczać, że w klastrze działa naruszony kontener.

Taktyka MITRE: LateralMovement

Ważność: średni rozmiar

Potencjalny górnik monet kryptograficznych rozpoczął

(K8S. NODE_CryptoCoinMinerExecution) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła, że proces jest uruchamiany w sposób zwykle skojarzony z wyszukiwaniem walut cyfrowych.

Taktyka MITRE: Wykonywanie

Ważność: średni rozmiar

Podejrzany dostęp do hasła

(K8S. NODE_SuspectPasswordFileAccess) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła podejrzaną próbę uzyskania dostępu do zaszyfrowanych haseł użytkowników.

Taktyka MITRE: Trwałość

Ważność: informacyjna

Wykryto możliwą złośliwą powłokę sieci Web

(K8S. NODE_Webshell) 1

Opis: Analiza procesów uruchomionych w kontenerze wykryła możliwą powłokę internetową. Osoby atakujące często przekazują powłokę internetową do zasobu obliczeniowego, którego bezpieczeństwo zostało naruszone w celu uzyskania trwałości lub dalszego wykorzystania.

Taktyka MITRE: trwałość, wykorzystywanie

Ważność: średni rozmiar

Wybuch wielu poleceń rekonesansu może wskazywać na początkową aktywność po naruszeniu zabezpieczeń

(K8S. NODE_ReconnaissanceArtifactsBurst) 1

Opis: Analiza danych hosta/urządzenia wykryła wykonanie wielu poleceń rekonesansu związanych z gromadzeniem szczegółów systemu lub hosta wykonywanych przez osoby atakujące po początkowym naruszeniu zabezpieczeń.

Taktyka MITRE: Odnajdywanie, Kolekcja

Ważność: Niska

Podejrzane pobieranie, a następnie działanie uruchamiania

(K8S. NODE_DownloadAndRunCombo) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła, że plik jest pobierany, a następnie uruchamiany w tym samym poleceniu. Chociaż nie zawsze jest to złośliwe, jest to bardzo powszechna technika używana przez osoby atakujące do pobierania złośliwych plików na maszyny ofiar.

Taktyka MITRE: Wykonywanie, CommandAndControl, Wyzysk

Ważność: średni rozmiar

Wykryto dostęp do pliku kubelet kubeconfig

(K8S. NODE_KubeConfigAccess) 1

Opis: Analiza procesów uruchomionych w węźle klastra Kubernetes wykryła dostęp do pliku kubeconfig na hoście. Plik kubeconfig, zwykle używany przez proces Kubelet, zawiera poświadczenia serwera interfejsu API klastra Kubernetes. Dostęp do tego pliku jest często skojarzony z osobami atakującymi próbującymi uzyskać dostęp do tych poświadczeń lub za pomocą narzędzi do skanowania zabezpieczeń, które sprawdzają, czy plik jest dostępny.

Taktyka MITRE: CredentialAccess

Ważność: średni rozmiar

Wykryto dostęp do usługi metadanych w chmurze

(K8S. NODE_ImdsCall) 1

Opis: Analiza procesów uruchomionych w kontenerze wykryła dostęp do usługi metadanych w chmurze w celu uzyskania tokenu tożsamości. Kontener zwykle nie wykonuje takiej operacji. Chociaż takie zachowanie może być uzasadnione, osoby atakujące mogą używać tej techniki do uzyskiwania dostępu do zasobów w chmurze po uzyskaniu początkowego dostępu do uruchomionego kontenera.

Taktyka MITRE: CredentialAccess

Ważność: średni rozmiar

Wykryto agenta MITRE Caldera

(K8S. NODE_MitreCalderaTools) 1

Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła podejrzany proces. Jest to często związane z agentem MITRE 54ndc47, który może być używany złośliwie do ataku na inne maszyny.

Taktyka MITRE: Trwałość, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command and Control, Sondowanie, Wykorzystywanie

Ważność: średni rozmiar

1: Wersja zapoznawcza klastrów innych niż AKS: ten alert jest ogólnie dostępny dla klastrów usługi AKS, ale jest w wersji zapoznawczej dla innych środowisk, takich jak Azure Arc, EKS i GKE.

2: Ograniczenia dotyczące klastrów GKE: usługa GKE używa zasad inspekcji platformy Kubernetes, które nie obsługują wszystkich typów alertów. W związku z tym ten alert zabezpieczeń, który jest oparty na zdarzeniach inspekcji platformy Kubernetes, nie jest obsługiwany w przypadku klastrów GKE.

3: Ten alert jest obsługiwany w węzłach/kontenerach systemu Windows.

Uwaga

W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Następne kroki