Alertas para contêineres - clusters Kubernetes
Este artigo lista os alertas de segurança que você pode receber para contêineres e clusters Kubernetes do Microsoft Defender for Cloud e quaisquer planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.
Nota
Alguns dos alertas adicionados recentemente com o Microsoft Defender Threat Intelligence e o Microsoft Defender for Endpoint podem não estar documentados.
Saiba como responder a esses alertas.
Nota
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para aparecer. Por exemplo, alertas que exigem análise do tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas para contêineres e clusters Kubernetes
O Microsoft Defender for Containers fornece alertas de segurança no nível do cluster e nos nós de cluster subjacentes monitorando o plano de controle (servidor de API) e a própria carga de trabalho em contêiner. Os alertas de segurança do plano de controle podem ser reconhecidos por um prefixo do K8S_ tipo de alerta. Os alertas de segurança para carga de trabalho em tempo de execução nos clusters podem ser reconhecidos pelo prefixo K8S.NODE_ do tipo de alerta. Todos os alertas são suportados apenas no Linux, salvo indicação em contrário.
Serviço Postgres exposto com configuração de autenticação de confiança no Kubernetes detetada (Visualização)
(K8S_ExposedPostgresTrustAuth)
Descrição: A análise de configuração de cluster do Kubernetes detetou a exposição de um serviço Postgres por um balanceador de carga. O serviço é configurado com o método de autenticação de confiança, que não requer credenciais.
Táticas MITRE: InitialAccess
Gravidade: Média
Serviço Postgres exposto com configuração arriscada no Kubernetes detetada (Visualização)
(K8S_ExposedPostgresBroadIPRange)
Descrição: A análise de configuração de cluster do Kubernetes detetou a exposição de um serviço Postgres por um balanceador de carga com uma configuração arriscada. Expor o serviço a uma ampla gama de endereços IP representa um risco de segurança.
Táticas MITRE: InitialAccess
Gravidade: Média
Tentativa de criar um novo namespace Linux a partir de um contêiner detetado
(K8S. NODE_NamespaceCreation) 1
Descrição: A análise de processos em execução dentro de um contêiner no cluster Kubernetes detetou uma tentativa de criar um novo namespace Linux. Embora esse comportamento possa ser legítimo, ele pode indicar que um invasor tenta escapar do contêiner para o nó. Algumas explorações CVE-2022-0185 usam essa técnica.
Táticas MITRE: PrivilegeEscalation
Gravidade: Informativo
Um arquivo de histórico foi limpo
(K8S. NODE_HistoryFileCleared) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou que o arquivo de log do histórico de comandos foi limpo. Os atacantes podem fazer isso para cobrir seus rastros. A operação foi executada pela conta de usuário especificada.
Táticas MITRE: DefesaEvasão
Gravidade: Média
Atividade anormal da identidade gerenciada associada ao Kubernetes (Visualização)
(K8S_AbnormalMiActivity)
Descrição: A análise das operações do Azure Resource Manager detetou um comportamento anormal de uma identidade gerenciada usada por um addon AKS. A atividade detetada não é consistente com o comportamento do addon associado. Embora essa atividade possa ser legítima, esse comportamento pode indicar que a identidade foi obtida por um invasor, possivelmente de um contêiner comprometido no cluster do Kubernetes.
Táticas MITRE: Movimento Lateral
Gravidade: Média
Operação anormal da conta de serviço Kubernetes detetada
(K8S_ServiceAccountRareOperation)
Descrição: A análise do log de auditoria do Kubernetes detetou um comportamento anormal por uma conta de serviço no cluster do Kubernetes. A conta de serviço foi usada para uma operação, o que não é comum para essa conta de serviço. Embora essa atividade possa ser legítima, esse comportamento pode indicar que a conta de serviço está sendo usada para fins mal-intencionados.
Táticas MITRE: Movimento Lateral, Acesso a Credenciais
Gravidade: Média
Uma tentativa de conexão incomum detetada
(K8S. NODE_SuspectConnection) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou uma tentativa de conexão incomum utilizando um protocolo socks. Isso é muito raro em operações normais, mas uma técnica conhecida para invasores que tentam ignorar as deteções da camada de rede.
Táticas MITRE: Execução, Exfiltração, Exploração
Gravidade: Média
Tentativa de parar o serviço apt-daily-upgrade.timer detetado
(K8S. NODE_TimerServiceDisabled) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detetou uma tentativa de parar o serviço apt-daily-upgrade.timer. Os atacantes têm sido observados parando este serviço para baixar arquivos maliciosos e conceder privilégios de execução para seus ataques. Esta atividade também pode acontecer se o serviço for atualizado através de ações administrativas normais.
Táticas MITRE: DefesaEvasão
Gravidade: Informativo
Comportamento semelhante aos bots comuns do Linux detetados (Visualização)
(K8S. NODE_CommonBot)
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detetou a execução de um processo normalmente associado a botnets Linux comuns.
Táticas MITRE: Execução, Coleta, Comando e Controle
Gravidade: Média
Comando dentro de um contêiner em execução com altos privilégios
(K8S. NODE_PrivilegedExecutionInContainer) 1
Descrição: Os logs da máquina indicam que um comando privilegiado foi executado em um contêiner do Docker. Um comando privilegiado tem privilégios estendidos na máquina host.
Táticas MITRE: PrivilegeEscalation
Gravidade: Informativo
Contêiner em execução no modo privilegiado
(K8S. NODE_PrivilegedContainerArtifacts) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou a execução de um comando do Docker que está executando um contêiner privilegiado. O contêiner privilegiado tem acesso total ao pod de hospedagem ou recurso de host. Se comprometido, um invasor pode usar o contêiner privilegiado para obter acesso ao pod ou host de hospedagem.
Táticas MITRE: PrivilegeEscalation, Execução
Gravidade: Informativo
Recipiente com uma montagem de volume sensível detetada
(K8S_SensitiveMount)
Descrição: A análise de log de auditoria do Kubernetes detetou um novo contêiner com uma montagem de volume sensível. O volume detetado é um tipo hostPath que monta um arquivo ou pasta confidencial do nó para o contêiner. Se o contêiner for comprometido, o invasor poderá usar essa montagem para obter acesso ao nó.
Táticas MITRE: Escalonamento de privilégios
Gravidade: Informativo
Modificação CoreDNS no Kubernetes detetada
(K8S_CoreDnsModification) 2 3
Descrição: A análise do log de auditoria do Kubernetes detetou uma modificação da configuração CoreDNS. A configuração do CoreDNS pode ser modificada substituindo seu configmap. Embora essa atividade possa ser legítima, se os invasores tiverem permissões para modificar o configmap, eles poderão alterar o comportamento do servidor DNS do cluster e envenená-lo.
Táticas MITRE: Movimento Lateral
Gravidade: Baixa
Criação de configuração de webhook de admissão detetada
(K8S_AdmissionController) 3
Descrição: A análise do log de auditoria do Kubernetes detetou uma nova configuração de webhook de admissão. O Kubernetes tem dois controladores de admissão genéricos integrados: MutatingAdmissionWebhook e ValidatingAdmissionWebhook. O comportamento desses controladores de admissão é determinado por um webhook de admissão que o usuário implanta no cluster. O uso de tais controladores de admissão pode ser legítimo, no entanto, os invasores podem usar esses webhooks para modificar as solicitações (no caso de MutatingAdmissionWebhook) ou inspecionar as solicitações e obter informações confidenciais (no caso de ValidatingAdmissionWebhook).
Táticas MITRE: Acesso a credenciais, persistência
Gravidade: Informativo
Download de arquivo detetado de uma fonte maliciosa conhecida
(K8S. NODE_SuspectDownload) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou um download de um arquivo de uma fonte frequentemente usada para distribuir malware.
Táticas MITRE: PrivilegeEscalation, Execution, Exfiltration, Command And Control
Gravidade: Média
Descarregamento de ficheiros suspeitos detetado
(K8S. NODE_SuspectDownloadArtifacts) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou um download suspeito de um arquivo remoto.
Táticas MITRE: Persistência
Gravidade: Informativo
Detetado uso suspeito do comando nohup
(K8S. NODE_SuspectNohup) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou um uso suspeito do comando nohup. Os atacantes foram vistos usando o comando nohup para executar arquivos ocultos de um diretório temporário para permitir que seus executáveis sejam executados em segundo plano. É raro ver esse comando ser executado em arquivos ocultos localizados em um diretório temporário.
Táticas MITRE: Persistência, DefesaEvasão
Gravidade: Média
Detetado o uso suspeito do comando useradd
(K8S. NODE_SuspectUserAddition) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou um uso suspeito do comando useradd.
Táticas MITRE: Persistência
Gravidade: Média
Contêiner de mineração de moeda digital detetado
(K8S_MaliciousContainerImage) 3
Descrição: A análise de log de auditoria do Kubernetes detetou um contêiner que tem uma imagem associada a uma ferramenta de mineração de moeda digital.
Táticas MITRE: Execução
Gravidade: Alta
Comportamento relacionado à mineração de moeda digital detetado
(K8S. NODE_DigitalCurrencyMining) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou uma execução de um processo ou comando normalmente associado à mineração de moeda digital.
Táticas MITRE: Execução
Gravidade: Alta
Operação de compilação do Docker detetada em um nó do Kubernetes
(K8S. NODE_ImageBuildOnNode) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou uma operação de compilação de uma imagem de contêiner em um nó do Kubernetes. Embora esse comportamento possa ser legítimo, os invasores podem criar suas imagens maliciosas localmente para evitar a deteção.
Táticas MITRE: DefesaEvasão
Gravidade: Informativo
Painel do Kubeflow exposto detetado
(K8S_ExposedKubeflow)
Descrição: A análise do log de auditoria do Kubernetes detetou a exposição do Istio Ingress por um balanceador de carga em um cluster que executa o Kubeflow. Essa ação pode expor o painel do Kubeflow à Internet. Se o painel estiver exposto à Internet, os invasores poderão acessá-lo e executar contêineres ou códigos mal-intencionados no cluster. Encontre mais detalhes no seguinte artigo: https://www.microsoft.com/en-us/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/
Táticas MITRE: Acesso Inicial
Gravidade: Média
Painel do Kubernetes exposto detetado
(K8S_ExposedDashboard)
Descrição: A análise do log de auditoria do Kubernetes detetou a exposição do Painel do Kubernetes por um serviço LoadBalancer. O painel exposto permite um acesso não autenticado ao gerenciamento de cluster e representa uma ameaça à segurança.
Táticas MITRE: Acesso Inicial
Gravidade: Alta
Serviço Kubernetes exposto detetado
(K8S_ExposedService)
Descrição: A análise do log de auditoria do Kubernetes detetou a exposição de um serviço por um balanceador de carga. Esse serviço está relacionado a um aplicativo confidencial que permite operações de alto impacto no cluster, como a execução de processos no nó ou a criação de novos contêineres. Em alguns casos, este serviço não requer autenticação. Se o serviço não exigir autenticação, expô-lo à Internet representa um risco de segurança.
Táticas MITRE: Acesso Inicial
Gravidade: Média
Serviço Redis exposto no AKS detetado
(K8S_ExposedRedis)
Descrição: A análise de log de auditoria do Kubernetes detetou a exposição de um serviço Redis por um balanceador de carga. Se o serviço não exigir autenticação, expô-lo à Internet representa um risco de segurança.
Táticas MITRE: Acesso Inicial
Gravidade: Baixa
Indicadores associados ao kit de ferramentas DDOS detetados
(K8S. NODE_KnownLinuxDDoSToolkit) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou nomes de arquivos que fazem parte de um kit de ferramentas associado a malware capaz de lançar ataques DDoS, abrir portas e serviços e assumir controle total sobre o sistema infetado. Esta também poderia ser uma atividade legítima.
Táticas MITRE: Persistência, Movimento Lateral, Execução, Exploração
Gravidade: Média
Solicitações de API K8S do endereço IP do proxy detetado
(K8S_TI_Proxy) 3
Descrição: A análise de log de auditoria do Kubernetes detetou solicitações de API para seu cluster a partir de um endereço IP associado a serviços de proxy, como TOR. Embora esse comportamento possa ser legítimo, ele é frequentemente visto em atividades maliciosas, quando os invasores tentam ocultar seu IP de origem.
Táticas MITRE: Execução
Gravidade: Baixa
Eventos do Kubernetes excluídos
(K8S_DeleteEvents) 2 3
Descrição: O Defender for Cloud detetou que alguns eventos do Kubernetes foram excluídos. Os eventos do Kubernetes são objetos no Kubernetes que contêm informações sobre alterações no cluster. Os invasores podem excluir esses eventos para ocultar suas operações no cluster.
Táticas MITRE: Evasão de Defesa
Gravidade: Baixa
Ferramenta de teste de penetração do Kubernetes detetada
(K8S_PenTestToolsKubeHunter)
Descrição: A análise do log de auditoria do Kubernetes detetou o uso da ferramenta de teste de penetração do Kubernetes no cluster AKS. Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins maliciosos.
Táticas MITRE: Execução
Gravidade: Baixa
Alerta de teste do Microsoft Defender for Cloud (não é uma ameaça)
(K8S. NODE_EICAR) 1
Descrição: Este é um alerta de teste gerado pelo Microsoft Defender for Cloud. Não é necessária mais nenhuma ação.
Táticas MITRE: Execução
Gravidade: Alta
Novo contêiner no namespace kube-system detetado
(K8S_KubeSystemContainer) 3
Descrição: A análise do log de auditoria do Kubernetes detetou um novo contêiner no namespace kube-system que não está entre os contêineres que normalmente são executados nesse namespace. Os namespaces kube-system não devem conter recursos do usuário. Os invasores podem usar esse namespace para ocultar componentes mal-intencionados.
Táticas MITRE: Persistência
Gravidade: Informativo
Nova função de altos privilégios detetada
(K8S_HighPrivilegesRole) 3
Descrição: A análise do log de auditoria do Kubernetes detetou uma nova função com altos privilégios. Uma associação a uma função com altos privilégios dá ao usuário\grupo altos privilégios no cluster. Privilégios desnecessários podem causar escalonamento de privilégios no cluster.
Táticas MITRE: Persistência
Gravidade: Informativo
Possível ferramenta de ataque detetada
(K8S. NODE_KnownLinuxAttackTool) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou uma chamada de ferramenta suspeita. Esta ferramenta é frequentemente associada a utilizadores mal-intencionados que atacam outros.
Táticas MITRE: Execução, Coleta, Comando e Controle, Sondagem
Gravidade: Média
Possível backdoor detetado
(K8S. NODE_LinuxBackdoorArtifact) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou um arquivo suspeito sendo baixado e executado. Esta atividade já foi associada à instalação de um backdoor.
Táticas MITRE: Persistência, DefesaEvasão, Execução, Exploração
Gravidade: Média
Possível tentativa de exploração da linha de comando
(K8S. NODE_ExploitAttempt) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes detetou uma possível tentativa de exploração contra uma vulnerabilidade conhecida.
Táticas MITRE: Exploração
Gravidade: Média
Possível ferramenta de acesso a credenciais detetada
(K8S. NODE_KnownLinuxCredentialAccessTool) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou que uma possível ferramenta de acesso a credenciais conhecida estava em execução no contêiner, conforme identificado pelo processo especificado e pelo item de histórico de linha de comando. Essa ferramenta é frequentemente associada a tentativas de invasores de acessar credenciais.
Táticas MITRE: CredentialAccess
Gravidade: Média
Possível download de Cryptocoinminer detetado
(K8S. NODE_CryptoCoinMinerDownload) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou o download de um arquivo normalmente associado à mineração de moeda digital.
Táticas MITRE: Evasão de Defesa, Comando e Controle, Exploração
Gravidade: Média
Possível atividade de violação de log detetada
(K8S. NODE_SystemLogRemoval) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou uma possível remoção de arquivos que rastreiam a atividade do usuário durante o curso de sua operação. Os atacantes geralmente tentam escapar da deteção e não deixam vestígios de atividades maliciosas excluindo esses arquivos de log.
Táticas MITRE: DefesaEvasão
Gravidade: Média
Possível alteração de senha usando o método crypt detetado
(K8S. NODE_SuspectPasswordChange) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou uma alteração de senha usando o método crypt. Os invasores podem fazer essa alteração para continuar o acesso e ganhar persistência após o comprometimento.
Táticas MITRE: CredentialAccess
Gravidade: Média
Potencial encaminhamento de porta para endereço IP externo
(K8S. NODE_SuspectPortForwarding) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detetou um início de encaminhamento de porta para um endereço IP externo.
Táticas MITRE: Exfiltração, Comando e Controle
Gravidade: Média
Potencial shell reverso detetado
(K8S. NODE_ReverseShell) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou um potencial shell reverso. Eles são usados para fazer com que uma máquina comprometida chame de volta para uma máquina que um invasor possui.
Táticas MITRE: Exfiltração, Exploração
Gravidade: Média
Contêiner privilegiado detetado
(K8S_PrivilegedContainer)
Descrição: A análise do log de auditoria do Kubernetes detetou um novo contêiner privilegiado. Um contêiner privilegiado tem acesso aos recursos do nó e quebra o isolamento entre contêineres. Se comprometido, um invasor pode usar o contêiner privilegiado para obter acesso ao nó.
Táticas MITRE: Escalonamento de privilégios
Gravidade: Informativo
Processo associado à mineração de moeda digital detetado
(K8S. NODE_CryptoCoinMinerArtifacts) 1
Descrição: A análise de processos em execução dentro de um contêiner detetou a execução de um processo normalmente associado à mineração de moeda digital.
Táticas MITRE: Execução, Exploração
Gravidade: Média
Processo visto acessando o arquivo de chaves autorizadas SSH de uma maneira incomum
(K8S. NODE_SshKeyAccess) 1
Descrição: Um ficheiro authorized_keys SSH foi acedido num método semelhante a campanhas de malware conhecidas. Esse acesso pode significar que um ator está tentando obter acesso persistente a uma máquina.
Táticas MITRE: Desconhecido
Gravidade: Informativo
Ligação de função à função de administrador de cluster detetada
(K8S_ClusterAdminBinding)
Descrição: A análise do log de auditoria do Kubernetes detetou uma nova associação à função de administrador de cluster que concede privilégios de administrador. Privilégios de administrador desnecessários podem causar escalonamento de privilégios no cluster.
Táticas MITRE: Persistência, PrivilegeEscalation
Gravidade: Informativo
Encerramento de processo relacionado à segurança detetado
(K8S. NODE_SuspectProcessTermination) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detetou uma tentativa de encerrar processos relacionados ao monitoramento de segurança no contêiner. Os invasores geralmente tentam encerrar esses processos usando scripts predefinidos pós-comprometimento.
Táticas MITRE: Persistência
Gravidade: Baixa
O servidor SSH está sendo executado dentro de um contêiner
(K8S. NODE_ContainerSSH) 1
Descrição: A análise de processos em execução dentro de um contêiner detetou um servidor SSH em execução dentro do contêiner.
Táticas MITRE: Execução
Gravidade: Informativo
Modificação suspeita do carimbo de data/hora do arquivo
(K8S. NODE_TimestampTampering) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou uma modificação suspeita de carimbo de data/hora. Os atacantes geralmente copiam carimbos de data/hora de arquivos legítimos existentes para novas ferramentas para evitar a deteção desses arquivos recém-descartados.
Táticas MITRE: Persistência, DefesaEvasão
Gravidade: Baixa
Solicitação suspeita para a API do Kubernetes
(K8S. NODE_KubernetesAPI) 1
Descrição: A análise de processos em execução dentro de um contêiner indica que uma solicitação suspeita foi feita à API do Kubernetes. A solicitação foi enviada de um contêiner no cluster. Embora esse comportamento possa ser intencional, ele pode indicar que um contêiner comprometido está sendo executado no cluster.
Táticas MITRE: LateralMovement
Gravidade: Média
Solicitação suspeita para o Painel do Kubernetes
(K8S. NODE_KubernetesDashboard) 1
Descrição: A análise dos processos em execução dentro de um contêiner indica que uma solicitação suspeita foi feita ao Painel do Kubernetes. A solicitação foi enviada de um contêiner no cluster. Embora esse comportamento possa ser intencional, ele pode indicar que um contêiner comprometido está sendo executado no cluster.
Táticas MITRE: LateralMovement
Gravidade: Média
Potencial minerador de criptomoedas começou
(K8S. NODE_CryptoCoinMinerExecution) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou um processo sendo iniciado de uma forma normalmente associada à mineração de moeda digital.
Táticas MITRE: Execução
Gravidade: Média
Acesso suspeito à palavra-passe
(K8S. NODE_SuspectPasswordFileAccess) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou tentativas suspeitas de acessar senhas de usuário criptografadas.
Táticas MITRE: Persistência
Gravidade: Informativo
Possível shell da web malicioso detetado
(K8S. NODE_Webshell) 1
Descrição: A análise de processos em execução dentro de um contêiner detetou um possível web shell. Os atacantes geralmente carregam um web shell para um recurso de computação que comprometeram para ganhar persistência ou para exploração adicional.
Táticas MITRE: Persistência, Exploração
Gravidade: Média
A explosão de vários comandos de reconhecimento pode indicar a atividade inicial após o comprometimento
(K8S. NODE_ReconnaissanceArtifactsBurst) 1
Descrição: A análise dos dados do host/dispositivo detetou a execução de vários comandos de reconhecimento relacionados à coleta de detalhes do sistema ou host realizada por invasores após o comprometimento inicial.
Táticas MITRE: Discovery, Collection
Gravidade: Baixa
Download suspeito e execute a atividade
(K8S. NODE_DownloadAndRunCombo) 1
Descrição: Análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detetou um arquivo sendo baixado e executado no mesmo comando. Embora isso nem sempre seja malicioso, essa é uma técnica muito comum que os invasores usam para colocar arquivos maliciosos nas máquinas das vítimas.
Táticas MITRE: Execução, ComandoAndControl, Exploração
Gravidade: Média
Acesso ao arquivo kubelet kubeconfig detetado
(K8S. NODE_KubeConfigAccess) 1
Descrição: A análise de processos em execução em um nó de cluster do Kubernetes detetou acesso ao arquivo kubeconfig no host. O arquivo kubeconfig, normalmente usado pelo processo Kubelet, contém credenciais para o servidor de API de cluster do Kubernetes. O acesso a esse arquivo é frequentemente associado a invasores que tentam acessar essas credenciais ou a ferramentas de verificação de segurança que verificam se o arquivo está acessível.
Táticas MITRE: CredentialAccess
Gravidade: Média
Acesso ao serviço de metadados na nuvem detetado
(K8S. NODE_ImdsCall) 1
Descrição: Análise de processos em execução dentro de um contêiner detetado acesso ao serviço de metadados em nuvem para aquisição de token de identidade. O contêiner normalmente não executa essa operação. Embora esse comportamento possa ser legítimo, os invasores podem usar essa técnica para acessar recursos de nuvem depois de obter acesso inicial a um contêiner em execução.
Táticas MITRE: CredentialAccess
Gravidade: Média
MITRE Caldera agente detetado
(K8S. NODE_MitreCalderaTools) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou um processo suspeito. Isto é frequentemente associado ao agente MITRE 54ndc47, que pode ser usado maliciosamente para atacar outras máquinas.
Táticas MITRE: Persistência, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation
Gravidade: Média
1: Pré-visualização para clusters não AKS: este alerta está geralmente disponível para clusters AKS, mas está em pré-visualização para outros ambientes, como Azure Arc, EKS e GKE.
2: Limitações em clusters GKE: O GKE usa uma política de auditoria do Kubernetes que não suporta todos os tipos de alerta. Como resultado, esse alerta de segurança, que se baseia em eventos de auditoria do Kubernetes, não é suportado para clusters GKE.
3: Este alerta é suportado em nós/contentores do Windows.
Nota
Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.