Оповещения для контейнеров — кластеры Kubernetes

В этой статье перечислены оповещения системы безопасности, которые можно получить для контейнеров и кластеров Kubernetes из Microsoft Defender для облака и всех включенных планов Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от защищаемых ресурсов, служб и настроенной конфигурации.

Примечание.

Некоторые из недавно добавленных оповещений, созданных Аналитика угроз Microsoft Defender и Microsoft Defender для конечной точки, могут быть незадокументированы.

Узнайте, как реагировать на эти оповещения.

Узнайте, как экспортировать оповещения.

Примечание.

Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.

Оповещения для контейнеров и кластеров Kubernetes

Microsoft Defender для контейнеров генерирует оповещения системы безопасности на уровне кластера и на базовых узлах кластера, отслеживая как уровень управления (сервер API), так и контейнерную рабочую нагрузку. Оповещения системы безопасности уровня управления можно распознать по префиксу K8S_ типа оповещения. Оповещения системы безопасности для рабочей нагрузки среды выполнения в кластерах можно распознать по префиксу K8S.NODE_ типа оповещения. Все оповещения поддерживаются только в Linux, если не указано иное.

Дополнительные сведения и примечания

Предоставленная служба Postgres с конфигурацией проверки подлинности доверия в Kubernetes обнаружена (предварительная версия)

(K8S_ExposedPostgresTrustAuth)

Описание. Анализ конфигурации кластера Kubernetes обнаружил воздействие службы Postgres подсистемой балансировки нагрузки. Служба настроена с помощью метода проверки подлинности доверия, который не требует учетных данных.

Тактика MITRE: InitialAccess

Серьезность: средний

Предоставленная служба Postgres с опасной конфигурацией в Kubernetes обнаружена (предварительная версия)

(K8S_ExposedPostgresBroadIPRange)

Описание. Анализ конфигурации кластера Kubernetes обнаружил уязвимость службы Postgres подсистемой балансировки нагрузки с рискобезопасной конфигурацией. Предоставление службы широкому спектру IP-адресов представляет угрозу безопасности.

Тактика MITRE: InitialAccess

Серьезность: средний

Attempt to create a new Linux namespace from a container detected (Обнаружена попытка создать новое пространство имен Linux из контейнера)

(K8S.NODE_NamespaceCreation) ¹

Описание. Анализ процессов, выполняемых в контейнере в кластере Kubernetes, обнаружил попытку создать новое пространство имен Linux. Это поведение может быть допустимым, но может и указывать на то, что злоумышленник пытается выйти из контейнера на узел. Некоторые эксплойты CVE-2022-0185 используют этот метод.

Тактика MITRE: PrivilegeEscalation

Серьезность: информационная

A history file has been cleared (Файл журнала был удален)

(K8S.NODE_HistoryFileCleared) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил, что файл журнала команд был удален. Злоумышленники могут сделать это, чтобы скрыть свои следы. Операция была выполнена указанной учетной записью пользователя.

Тактика MITRE: DefenseEvasion

Серьезность: средний

Аномальное действие управляемого удостоверения, связанного с Kubernetes (предварительная версия)

(K8S_AbnormalMiActivity)

Описание. Анализ операций Azure Resource Manager обнаружил ненормальное поведение управляемого удостоверения, используемого надстройкой AKS. Выявленное действие не согласуется с действиями связанной надстройки. Это действие может быть допустимым, однако, такое поведение может указывать на то, что удостоверение было получено злоумышленником, возможно, из скомпрометированного контейнера в кластере Kubernetes.

Тактика MITRE: боковое движение

Серьезность: средний

Обнаружена аномальная операция учетной записи службы Kubernetes

(K8S_ServiceAccountRareOperation)

Описание. Анализ журнала аудита Kubernetes обнаружил ненормальное поведение учетной записи службы в кластере Kubernetes. Учетная запись службы использовалась для операции, которая не является обычной для этой учетной записи службы. Это действие может быть допустимым, однако, такое поведение может указывать на то, что учетная запись службы используется для вредоносных целей.

Тактика MITRE: боковое движение, доступ к учетным данным

Серьезность: средний

An uncommon connection attempt detected (Обнаружена нетипичная попытка подключения)

(K8S.NODE_SuspectConnection) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил редкое подключение с использованием протокола socks. В нормальном режиме работы такое происходит очень редко, однако это известный прием злоумышленников, пытающихся обойти средства обнаружения сетевого уровня.

Тактика MITRE: Выполнение, эксфильтрация, эксплуатация

Серьезность: средний

Attempt to stop apt-daily-upgrade.timer service detected (Обнаружена попытка завершения службы таймера apt-daily-upgrade.timer)

(K8S.NODE_TimerServiceDisabled) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил попытку остановить службу apt-daily-upgrade.timer. Было замечено, что злоумышленники останавливают эту службу, чтобы загрузить вредоносные файлы и получить права выполнения для атаки. Такое действие также может возникнуть, если служба обновляется с использованием обычных административных операций.

Тактика MITRE: DefenseEvasion

Серьезность: информационная

Behavior similar to common Linux bots detected (Preview) (Обнаружено поведение, похожее на распространенные программы-роботы Linux (предварительная версия))

(K8S.NODE_CommonBot)

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил выполнение процесса, обычно связанного с общими ботнетами Linux.

Тактика MITRE: Выполнение, коллекция, команда и управление

Серьезность: средний

Command within a container running with high privileges (Команда в контейнере выполняется с высоким уровнем привилегий)

(K8S.NODE_PrivilegedExecutionInContainer) ¹

Описание. Журналы компьютеров указывают, что привилегированная команда выполнялась в контейнере Docker. Привилегированная команда имеет расширенные привилегии на главном компьютере.

Тактика MITRE: PrivilegeEscalation

Серьезность: информационная

Container running in privileged mode (Контейнер работает в привилегированном режиме)

(K8S.NODE_PrivilegedContainerArtifacts) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил выполнение команды Docker, выполняющей привилегированный контейнер. Привилегированный контейнер имеет полный доступ к объекту pod размещения или ресурсу узла. При скомпрометации злоумышленник может использовать привилегированный контейнер для получения доступа к модулу pod или узлу размещения.

Тактика MITRE: PrivilegeEscalation, Выполнение

Серьезность: информационная

Container with a sensitive volume mount detected (Обнаружен контейнер с подключенным конфиденциальным томом)

(K8S_SensitiveMount)

Описание. Анализ журнала аудита Kubernetes обнаружил новый контейнер с подключением конфиденциального тома. Обнаруженный том имеет тип hostPath, который подключает конфиденциальный файл или папку из узла к контейнеру. Если контейнер скомпрометирован, злоумышленник может воспользоваться этим подключением для получения доступа к узлу.

Тактика MITRE: эскалация привилегий

Серьезность: информационная

Обнаружено изменение CoreDNS в Kubernetes

(K8S_CoreDnsModification) ^{2 3}

Описание. Анализ журнала аудита Kubernetes обнаружил изменение конфигурации CoreDNS. Конфигурацию CoreDNS можно изменить, переопределив ее configmap. Хотя это действие может быть законным, если злоумышленники имеют разрешения на изменение конфигурации, они могут изменить поведение DNS-сервера кластера и отравить его.

Тактика MITRE: боковое движение

Серьезность: низкая

Обнаружено создание конфигурации веб-перехватчика допуска

(K8S_AdmissionController) ³

Описание. Анализ журнала аудита Kubernetes обнаружил новую конфигурацию веб-перехватчика приема. Kubernetes имеет два встроенных универсальных контроллера допуска: MutatingAdmissionWebhook и ValidatingAdmissionWebhook. Поведение этих контроллеров допуска определяется веб-перехватчиком допуска, который пользователь развертывает в кластере. Использование таких контроллеров допуска может быть допустимым, но злоумышленники могут использовать такие веб-перехватчики для изменения запросов (в случае с MutatingAdmissionWebhook) или проверки запросов и получения конфиденциальных сведений (в случае с ValidatingAdmissionWebhook).

Тактика MITRE: доступ к учетным данным, сохраняемость

Серьезность: информационная

Detected file download from a known malicious source (Обнаружено скачивание файла из известного вредоносного источника)

(K8S.NODE_SuspectDownload) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил скачивание файла из источника, часто используемого для распространения вредоносных программ.

Тактика MITRE: PrivilegeEscalation, Execution, Exfiltration, Command and Control

Серьезность: средний

Detected suspicious file download (Обнаружено скачивание подозрительного файла)

(K8S.NODE_SuspectDownloadArtifacts) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил подозрительный скачивание удаленного файла.

Тактика MITRE: сохраняемость

Серьезность: информационная

Detected suspicious use of the nohup command (Обнаружено подозрительное использование команды nohup)

(K8S.NODE_SuspectNohup) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил подозрительное использование команды nohup. Было замечено, что злоумышленники запускают команду nohup для выполнения скрытых файлов из временного каталога, чтобы позволить своим исполняемым файлам работать в фоновом режиме. Эта команда редко запускается в скрытых файлах, расположенных во временном каталоге.

Тактика MITRE: Сохраняемость, DefenseEvasion

Серьезность: средний

Detected suspicious use of the useradd command (Обнаружено подозрительное использование команды useradd)

(K8S.NODE_SuspectUserAddition) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил подозрительное использование команды useradd.

Тактика MITRE: сохраняемость

Серьезность: средний

Digital currency mining container detected (Обнаружен контейнер для майнинга цифровых валют)

(K8S_MaliciousContainerImage) ³

Описание. Анализ журнала аудита Kubernetes обнаружил контейнер с изображением, связанным с средством интеллектуального анализа цифровых валют.

Тактика MITRE: Выполнение

Серьезность: высокий уровень

Digital currency mining related behavior detected (Обнаружено поведение, связанное с майнингом цифровых валют)

(K8S.NODE_DigitalCurrencyMining) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил выполнение процесса или команды, обычно связанной с интеллектуальным анализом цифровых валют.

Тактика MITRE: Выполнение

Серьезность: высокий уровень

Обнаружена операция сборки Docker на узле Kubernetes

(K8S.NODE_ImageBuildOnNode) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил операцию сборки образа контейнера на узле Kubernetes. Хотя такое поведение может быть допустимым, злоумышленники могут создавать свои вредоносные образы локально, чтобы избежать обнаружения.

Тактика MITRE: DefenseEvasion

Серьезность: информационная

Exposed Kubeflow dashboard detected (Обнаружена уязвимая панель мониторинга Kubeflow)

(K8S_ExposedKubeflow)

Описание. Анализ журнала аудита Kubernetes обнаружил воздействие Istio Ingress подсистемой балансировки нагрузки в кластере, на котором выполняется Kubeflow. Это действие может открыть доступ к панели мониторинга Kubeflow из Интернета. Если панель мониторинга доступна через Интернет, злоумышленники смогут получить к ней доступ и запустить вредоносные контейнеры или код в кластере. Дополнительные сведения см. в следующей статье: https://aka.ms/exposedkubeflow-blog.

Тактика MITRE: первоначальный доступ

Серьезность: средний

Exposed Kubernetes dashboard detected (Обнаружена доступная панель мониторинга Kubernetes)

(K8S_ExposedDashboard)

Описание. Анализ журнала аудита Kubernetes обнаружил экспозицию панели мониторинга Kubernetes службой LoadBalancer. Доступная панель мониторинга разрешает доступ без проверки подлинности к управлению кластером и представляют угрозу безопасности.

Тактика MITRE: первоначальный доступ

Серьезность: высокий уровень

Exposed Kubernetes service detected (Обнаружена уязвимая служба Kubernetes)

(K8S_ExposedService)

Описание. Анализ журнала аудита Kubernetes обнаружил уязвимость службы подсистемой балансировки нагрузки. Эта служба связана с конфиденциальным приложением, которое позволяет выполнять в кластере важные операции, такие как запуск процессов на узле или создание новых контейнеров. Иногда служба не требует выполнять проверку подлинности. В таком случае предоставление доступа из Интернета представляет угрозу безопасности.

Тактика MITRE: первоначальный доступ

Серьезность: средний

Exposed Redis service in AKS detected (В AKS обнаружена уязвимая служба)

(K8S_ExposedRedis)

Описание. Анализ журнала аудита Kubernetes обнаружил воздействие службы Redis подсистемой балансировки нагрузки. В таком случае предоставление доступа из Интернета представляет угрозу безопасности.

Тактика MITRE: первоначальный доступ

Серьезность: низкая

Indicators associated with DDOS toolkit detected (Обнаружены индикаторы, связанные с набором средств для DDoS атак)

(K8S.NODE_KnownLinuxDDoSToolkit) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил имена файлов, которые являются частью набора средств, связанных с вредоносными программами, способными запускать атаки DDoS, открывать порты и службы и полностью контролировать зараженную систему. Это также может быть допустимым действием.

Тактика MITRE: сохраняемость, боковое перемещение, выполнение, эксплуатация

Серьезность: средний

Обнаружены запросы API Kubernetes с IP-адреса прокси-сервера

(K8S_TI_Proxy) ³

Описание. Анализ журнала аудита Kubernetes обнаружил запросы API к кластеру из IP-адреса, связанного с прокси-службами, например TOR. Хотя такое поведение может быть допустимым, оно часто проявляется в злонамеренных действиях, когда злоумышленники пытаются скрыть свой исходный IP-адрес.

Тактика MITRE: Выполнение

Серьезность: низкая

Удалены события Kubernetes

(K8S_DeleteEvents) ^{2 3}

Описание: Defender для облака обнаружили, что некоторые события Kubernetes удалены. События Kubernetes — это объекты в Kubernetes, содержащие сведения об изменениях в кластере. Злоумышленники могут удалить эти события, чтобы скрыть свои операции в кластере.

Тактика MITRE: Оборона Evasion

Серьезность: низкая

Обнаружено средство тестирования на проникновение Kubernetes

(K8S_PenTestToolsKubeHunter)

Описание. Анализ журнала аудита Kubernetes обнаружил использование средства тестирования на проникновение Kubernetes в кластере AKS. Хотя такое поведение может быть допустимым, злоумышленники могут использовать такие общедоступные средства для вредоносных целей.

Тактика MITRE: Выполнение

Серьезность: низкая

Microsoft Defender для облака тестовое оповещение (не угроза)

(K8S.NODE_EICAR) ¹

Описание. Это тестовое оповещение, созданное Microsoft Defender для облака. Дополнительные действия не требуются.

Тактика MITRE: Выполнение

Серьезность: высокий уровень

New container in the kube-system namespace detected ( Обнаружен новый контейнер в пространстве имен kube-system)

(K8S_KubeSystemContainer) ³

Описание. Анализ журнала аудита Kubernetes обнаружил новый контейнер в пространстве имен kube-system, который не входит в контейнеры, которые обычно выполняются в этом пространстве имен. Пространства имен kube-system не должны содержать пользовательские ресурсы. Злоумышленники могут использовать это пространство имен, чтобы скрыть вредоносные компоненты.

Тактика MITRE: сохраняемость

Серьезность: информационная

New high privileges role detected (Обнаружена новая роль с высоким уровнем привилегий)

(K8S_HighPrivilegesRole) ³

Описание. Анализ журнала аудита Kubernetes обнаружил новую роль с высокими привилегиями. Привязка к роли с высоким уровнем привилегий предоставляет пользователю или группе повышенные привилегии в кластере. Ненужные привилегии могут привести к повышению привилегий в кластере.

Тактика MITRE: сохраняемость

Серьезность: информационная

Possible attack tool detected (Обнаружено возможное средство атаки)

(K8S.NODE_KnownLinuxAttackTool) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил вызов подозрительного средства. Это средство часто связано со злоумышленниками, которые атакуют другие компьютеры.

Тактика MITRE: Выполнение, коллекция, команда и управление, проверка

Серьезность: средний

Обнаружен возможный обратный дор

(K8S.NODE_LinuxBackdoorArtifact) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил подозрительный файл, скачанный и запущенный. Это действие ранее было связано с установкой черного хода.

Тактика MITRE: Сохраняемость, DefenseEvasion, Выполнение, Эксплуатация

Серьезность: средний

Possible command line exploitation attempt (Возможная попытка использования командной строки)

(K8S.NODE_ExploitAttempt) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил возможную попытку эксплуатации в отношении известной уязвимости.

Тактика MITRE: эксплуатация

Серьезность: средний

Possible credential access tool detected (Обнаружено возможное средство доступа к учетным данным)

(K8S.NODE_KnownLinuxCredentialAccessTool) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил, что на контейнере запущено возможное средство доступа к учетным данным, как определено указанным процессом и элементом журнала командной строки. Это средство часто используют злоумышленники, которые пытаются получить доступ к учетным данным.

Тактика MITRE: CredentialAccess

Серьезность: средний

Обнаружено потенциальное скачивание криптомайнера

(K8S.NODE_CryptoCoinMinerDownload) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил загрузку файла, обычно связанного с интеллектуальным анализом цифровых валют.

Тактика MITRE: DefenseEvasion, командный и контроль, эксплуатация

Серьезность: средний

Possible Log Tampering Activity Detected (Обнаружено потенциальное изменение данных журнала)

(K8S.NODE_SystemLogRemoval) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил возможное удаление файлов, отслеживающих действия пользователя во время его работы. Злоумышленники часто пытаются избегать обнаружения и скрывают вредоносные действия, удаляя такие файлы журналов.

Тактика MITRE: DefenseEvasion

Серьезность: средний

Possible password change using crypt-method detected (Обнаружена возможная смена пароля с помощью метода шифрования)

(K8S.NODE_SuspectPasswordChange) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил изменение пароля с помощью метода шифрования. Злоумышленники могут внести это изменение, чтобы сохранить доступ и гарантировать сохраняемость после компрометации.

Тактика MITRE: CredentialAccess

Серьезность: средний

Potential port forwarding to external IP address (Потенциальная переадресация портов на внешний IP-адрес)

(K8S.NODE_SuspectPortForwarding) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил запуск перенаправления портов на внешний IP-адрес.

Тактика MITRE: эксфильтрация, управление и управление

Серьезность: средний

Potential reverse shell detected (Обнаружена потенциальная обратная оболочка)

(K8S.NODE_ReverseShell) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил потенциальную обратную оболочку. Она используется для того, чтобы скомпрометированный компьютер связывался с компьютером, принадлежащим злоумышленнику.

Тактика MITRE: эксфильтрация, эксплуатация

Серьезность: средний

Privileged container detected (Обнаружен привилегированный контейнер)

(K8S_PrivilegedContainer)

Описание. Анализ журнала аудита Kubernetes обнаружил новый привилегированный контейнер. Привилегированный контейнер имеет доступ к ресурсам узла и нарушает изоляцию между контейнерами. В случае компрометации злоумышленник может использовать привилегированный контейнер для получения доступа к узлу.

Тактика MITRE: эскалация привилегий

Серьезность: информационная

Process associated with digital currency mining detected (Обнаружен процесс, связанный с майнингом цифровых валют)

(K8S.NODE_CryptoCoinMinerArtifacts) ¹

Описание. Анализ процессов, выполняемых в контейнере, обнаружил выполнение процесса, обычно связанного с интеллектуальным анализом цифровых валют.

Тактика MITRE: Выполнение, эксплуатация

Серьезность: средний

Process seen accessing the SSH authorized keys file in an unusual way (Обнаружен необычный процесс доступа к файлу санкционированных ключей SSH)

(K8S.NODE_SshKeyAccess) ¹

Описание. Файл SSH authorized_keys был доступ к методу, аналогичному известным кампаниям вредоносных программ. Такой доступ может означать, что злоумышленник пытается получить постоянный доступ к компьютеру.

Тактика MITRE: Неизвестно

Серьезность: информационная

Role binding to the cluster-admin role detected (Обнаружена привязка роли к роли администратора кластера)

(K8S_ClusterAdminBinding)

Описание. Анализ журнала аудита Kubernetes обнаружил новую привязку к роли администратора кластера, которая предоставляет права администратора. Ненужные права администратора могут привести к повышению привилегий в кластере.

Тактика MITRE: сохраняемость

Серьезность: информационная

Security-related process termination detected (Обнаружено завершение процесса, связанное с безопасностью)

(K8S.NODE_SuspectProcessTermination) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил попытку завершить процессы, связанные с мониторингом безопасности контейнера. Злоумышленники часто пытаются завершить такие процессы после компрометации узла, используя заранее определенные скрипты.

Тактика MITRE: сохраняемость

Серьезность: низкая

SSH server is running inside a container (Сервер SSH работает в контейнере)

(K8S.NODE_ContainerSSH) ¹

Описание. Анализ процессов, выполняемых в контейнере, обнаружил сервер SSH, работающий внутри контейнера.

Тактика MITRE: Выполнение

Серьезность: информационная

Suspicious file timestamp modification (Подозрительные изменения отметки времени файла)

(K8S.NODE_TimestampTampering) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил подозрительное изменение метки времени. Злоумышленники часто копируют метки времени из существующих допустимых файлов в новые средства, чтобы избежать обнаружения этих недавно удаленных файлов.

Тактика MITRE: Сохраняемость, DefenseEvasion

Серьезность: низкая

Suspicious request to Kubernetes API (Подозрительный запрос к API Kubernetes)

(K8S.NODE_KubernetesAPI) ¹

Описание. Анализ процессов, выполняемых в контейнере, указывает, что подозрительный запрос был выполнен в API Kubernetes. Запрос был отправлен из контейнера в кластере. Хотя такое поведение может быть допустимым, оно может указывать на то, что в узле выполняется скомпрометированный контейнер.

Тактика MITRE: Боковоеmovement

Серьезность: средний

Suspicious request to the Kubernetes Dashboard (Подозрительный запрос к панели мониторинга Kubernetes)

(K8S.NODE_KubernetesDashboard) ¹

Описание. Анализ процессов, выполняемых в контейнере, указывает, что подозрительный запрос был сделан на панель мониторинга Kubernetes. Запрос был отправлен из контейнера в кластере. Хотя такое поведение может быть допустимым, оно может указывать на то, что в узле выполняется скомпрометированный контейнер.

Тактика MITRE: Боковоеmovement

Серьезность: средний

Potential crypto coin miner started (Потенциальный запуск криптовалютного майнера)

(K8S.NODE_CryptoCoinMinerExecution) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил процесс, запущенный в обычном режиме с интеллектуальным анализом цифровых валют.

Тактика MITRE: Выполнение

Серьезность: средний

Доступ с помощью подозрительного пароля

(K8S.NODE_SuspectPasswordFileAccess) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил подозрительные попытки получить доступ к зашифрованным паролям пользователя.

Тактика MITRE: сохраняемость

Серьезность: информационная

Possible malicious web shell detected (Обнаружена возможная вредоносная веб-оболочка)

(K8S.NODE_Webshell) ¹

Описание. Анализ процессов, выполняемых в контейнере, обнаружил возможную веб-оболочку. Злоумышленники часто загружают веб-оболочку на скомпрометированный ими вычислительный ресурс, чтобы гарантировать сохраняемость и получить возможность дальнейшего несанкционированного использования.

Тактика MITRE: сохраняемость, эксплуатация

Серьезность: средний

Внезапное появление нескольких команд рекогносцировки может указывать на начальное действие после компрометации

(K8S.NODE_ReconnaissanceArtifactsBurst) ¹

Описание. Анализ данных узла или устройства обнаружил выполнение нескольких команд рекогносцировки, связанных с сбором сведений о системе или узле, выполняемых злоумышленниками после первоначального компрометации.

Тактика MITRE: Обнаружение, коллекция

Серьезность: низкая

Подозрительное скачивание и запуск

(K8S.NODE_DownloadAndRunCombo) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил скачанный файл, а затем запускается в той же команде. Это действие не всегда является злонамеренным. Однако это очень распространенный метод, который злоумышленники используют для проникновения вредоносных файлов в компьютеры жертв.

Тактика MITRE: Выполнение, CommandAndControl, Эксплуатация

Серьезность: средний

Обнаружен доступ к файлу kubeconfig агента kubelet

(K8S.NODE_KubeConfigAccess) ¹

Описание. Анализ процессов, выполняемых на узле кластера Kubernetes, обнаружил доступ к файлу kubeconfig на узле. Файл kubeconfig, обычно используемый процессом Kubelet, содержит учетные данные для сервера API кластера Kubernetes. Доступ к этому файлу часто связан с попытками злоумышленников получить доступ к этим учетным данным или со средствами проверки безопасности, которые проверяют доступность файла.

Тактика MITRE: CredentialAccess

Серьезность: средний

Обнаружен доступ к облачной службе метаданных

(K8S.NODE_ImdsCall) ¹

Описание. Анализ процессов, выполняемых в контейнере, обнаружил доступ к облачной службе метаданных для получения маркера удостоверения. Как правило, контейнер не выполняет эту операцию. Хотя такое поведение может быть допустимым, злоумышленники могут использовать этот метод для доступа к облачным ресурсам после получения предварительного доступа к выполняющемуся контейнеру.

Тактика MITRE: CredentialAccess

Серьезность: средний

MITRE Caldera agent detected (Обнаружен агент MITRE Caldera)

(K8S.NODE_MitreCalderaTools) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил подозрительный процесс. Это часто связано с агентом MITRE 54ndc47, который может использоваться злоумышленником для атаки на другие компьютеры.

Тактика MITRE: сохраняемость, privilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, Боковоеmovement, Выполнение, Сбор, эксфильтрация, управление, проверка, эксплуатация

Серьезность: средний

¹. Предварительная версия для кластеров, отличных от AKS: это оповещение обычно доступно для кластеров AKS, но оно находится в предварительной версии для других сред, таких как Azure Arc, EKS и GKE.

². Ограничения на кластеры GKE: GKE использует политику аудита Kubernetes, которая не поддерживает все типы оповещений. В результате это оповещение системы безопасности, основанное на событиях аудита Kubernetes, не поддерживается для кластеров GKE.

^3. Это оповещение поддерживается в узлах и контейнерах Windows.

Примечание.

Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.

Следующие шаги

• Оповещения системы безопасности в Microsoft Defender для облака
• Управление оповещениями системы безопасности и реагирование на них в Microsoft Defender для облака
• Непрерывный экспорт данных Defender для облака