Eventos Kubeaudit em caça avançada
Os eventos Kubeaudit do Kubernetes (e a auditoria na nuvem do Azure Resource Manager) estão disponíveis em busca avançada no portal do Microsoft Defender.
Você pode triar e investigar incidentes que aconteceram na superfície de ataque do plano de controle do Kubernetes e no Gerenciamento de Recursos do Azure. Você também pode procurar ameaças proativamente usando a caça avançada.
Além disso, você pode criar deteções personalizadas para atividades suspeitas do Resource Manager e do plano de controle do Kubernetes (KubeAudit).
Esta funcionalidade abrange:
Eventos Kubernetes KubeAudit do Azure (Azure Kubernetes Service), Amazon Web Services (Amazon Elastic Kubernetes Service), Google Cloud Platform (Google Kubernetes Engine) e local
Eventos do plano de controle do Gerenciador de Recursos
Para começar, consulte a nova tabela que foi adicionada à guia Esquema na caça avançada chamada CloudAuditEvents.
Casos e cenários de utilização comuns
- Investigue atividades suspeitas do Resource Manager e do plano de controle do Kubernetes (Kubeaudit) na caça avançada XDR
- Crie deteções personalizadas para atividades suspeitas do Resource Manager e do plano de controle do Kubernetes (Kubeaudit)
Pré-requisitos
- Para eventos do Kubernetes: você precisa de pelo menos uma assinatura com um plano do Defender for Containers habilitado
- Para eventos do Azure Resource Manager: você precisa de pelo menos uma assinatura com um plano do Defender for Azure Resource Manager habilitado
Consultas de amostra
Para exibir a implantação de um pod privilegiado, use a seguinte consulta de exemplo:
CloudAuditEvents
| where Timestamp > ago(1d)
| where DataSource == "Azure Kubernetes Service"
| where OperationName == "create"
| where RawEventData.ObjectRef.resource == "pods" and isnull(RawEventData.ObjectRef.subresource)
| where RawEventData.ResponseStatus.code startswith "20"
| extend PodName = RawEventData.RequestObject.metadata.name
| extend PodNamespace = RawEventData.ObjectRef.namespace
| mv-expand Container = RawEventData.RequestObject.spec.containers
| extend ContainerName = Container.name
| where Container.securityContext.privileged == "true"
| extend Username = RawEventData.User.username
| project Timestamp, AzureResourceId , OperationName, IPAddress, UserAgent, PodName, PodNamespace, ContainerName, Username
Para exibir o comando exec no namespace kube-system , use a seguinte consulta de exemplo:
CloudAuditEvents
| where Timestamp > ago(1d)
| where DataSource == "Azure Kubernetes Service"
| where OperationName == "create"
| where RawEventData.ObjectRef.resource == "pods" and RawEventData.ResponseStatus.code == 101
| where RawEventData.ObjectRef.namespace == "kube-system"
| where RawEventData.ObjectRef.subresource == "exec"
| where RawEventData.ResponseStatus.code == 101
| extend RequestURI = tostring(RawEventData.RequestURI)
| extend PodName = tostring(RawEventData.ObjectRef.name)
| extend PodNamespace = tostring(RawEventData.ObjectRef.namespace)
| extend Username = tostring(RawEventData.User.username)
| where PodName !startswith "tunnelfront-" and PodName !startswith "konnectivity-" and PodName !startswith "aks-link"
| extend Commands = extract_all(@"command=([^\&]*)", RequestURI)
| extend ParsedCommand = url_decode(strcat_array(Commands, " "))
| project Timestamp, AzureResourceId , OperationName, IPAddress, UserAgent, PodName, PodNamespace, Username, ParsedCommand
Para identificar a criação da associação de função de administrador de cluster, use a seguinte consulta de exemplo:
CloudAuditEvents
| where Timestamp > ago(1d)
| where OperationName == "create"
| where RawEventData.ObjectRef.resource == "clusterrolebindings"
| where RawEventData.ResponseStatus.code startswith "20"
| where RawEventData.RequestObject.roleRef.name == "cluster-admin"
| mv-expand Subject = RawEventData.RequestObject.subjects
| extend SubjectName = tostring(Subject.name)
| extend SubjectKind = tostring(Subject["kind"])
| extend BindingName = tostring(RawEventData.ObjectRef.name)
| extend ActionTakenBy = tostring(RawEventData.User.username)
| where ActionTakenBy != "acsService" //Remove FP
| project Timestamp, AzureResourceId , OperationName, ActionTakenBy, IPAddress, UserAgent, BindingName, SubjectName, SubjectKind
Conteúdos relacionados
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários