Aviseringar för containrar – Kubernetes-kluster
Den här artikeln innehåller säkerhetsaviseringar som du kan få för containrar och Kubernetes-kluster från Microsoft Defender för molnet och alla Microsoft Defender-planer som du har aktiverat. De aviseringar som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.
Kommentar
Några av de nyligen tillagda aviseringarna som drivs av Microsoft Defender Hotinformation och Microsoft Defender för Endpoint kan vara odokumenterade.
Lär dig hur du svarar på dessa aviseringar.
Lär dig hur du exporterar aviseringar.
Kommentar
Aviseringar från olika källor kan ta olika tid att visas. Aviseringar som kräver analys av nätverkstrafik kan till exempel ta längre tid att visas än aviseringar relaterade till misstänkta processer som körs på virtuella datorer.
Aviseringar för containrar och Kubernetes-kluster
Microsoft Defender för containrar tillhandahåller säkerhetsaviseringar på klusternivå och på de underliggande klusternoderna genom att övervaka både kontrollplanet (API-servern) och själva den containerbaserade arbetsbelastningen. Säkerhetsaviseringar för kontrollplan kan identifieras med ett prefix av aviseringstypen K8S_ . Säkerhetsaviseringar för körningsarbetsbelastning i klustren kan identifieras av prefixet K8S.NODE_ för aviseringstypen. Alla aviseringar stöds endast på Linux, om inget annat anges.
Mer information och anteckningar
Exponerad Postgres-tjänst med förtroendeautentiseringskonfiguration i Kubernetes identifierad (förhandsversion)
(K8S_ExposedPostgresTrustAuth)
Beskrivning: Kubernetes klusterkonfigurationsanalys identifierade exponering av en Postgres-tjänst av en lastbalanserare. Tjänsten är konfigurerad med autentiseringsmetod för förtroende, vilket inte kräver autentiseringsuppgifter.
MITRE-taktik: InitialAccess
Allvarlighetsgrad: Medel
Exponerad Postgres-tjänst med riskfylld konfiguration i Kubernetes identifierad (förhandsversion)
(K8S_ExposedPostgresBroadIPRange)
Beskrivning: Kubernetes klusterkonfigurationsanalys identifierade exponeringen av en Postgres-tjänst av en lastbalanserare med en riskfylld konfiguration. Att exponera tjänsten för ett stort antal IP-adresser utgör en säkerhetsrisk.
MITRE-taktik: InitialAccess
Allvarlighetsgrad: Medel
Försök att skapa ett nytt Linux-namnområde från en container som identifierats
(K8S. NODE_NamespaceCreation) 1
Beskrivning: Analys av processer som körs i en container i Kubernetes-klustret upptäckte ett försök att skapa ett nytt Linux-namnområde. Även om det här beteendet kan vara legitimt kan det tyda på att en angripare försöker fly från containern till noden. Vissa CVE-2022-0185-utnyttjanden använder den här tekniken.
MITRE-taktik: PrivilegeEscalation
Allvarlighetsgrad: Information
En historikfil har rensats
(K8S. NODE_HistoryFileCleared) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har upptäckt att loggfilen för kommandohistorik har rensats. Angripare kan göra detta för att dölja sina spår. Åtgärden utfördes av det angivna användarkontot.
MITRE-taktik: DefenseEvasion
Allvarlighetsgrad: Medel
Onormal aktivitet för hanterad identitet som är associerad med Kubernetes (förhandsversion)
(K8S_AbnormalMiActivity)
Beskrivning: Analys av Azure Resource Manager-åtgärder identifierade ett onormalt beteende för en hanterad identitet som används av ett AKS-tillägg. Den identifierade aktiviteten överensstämmer inte med beteendet för det associerade tillägget. Även om den här aktiviteten kan vara legitim kan ett sådant beteende tyda på att identiteten har vunnits av en angripare, eventuellt från en komprometterad container i Kubernetes-klustret.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Medel
Onormal kubernetes-tjänstkontoåtgärd har identifierats
(K8S_ServiceAccountRareOperation)
Beskrivning: Kubernetes granskningslogganalys identifierade onormalt beteende av ett tjänstkonto i kubernetes-klustret. Tjänstkontot användes för en åtgärd, vilket inte är vanligt för det här tjänstkontot. Även om den här aktiviteten kan vara legitim kan ett sådant beteende tyda på att tjänstkontot används i skadliga syften.
MITRE-taktik: Lateral rörelse, åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Ett ovanligt anslutningsförsök har identifierats
(K8S. NODE_SuspectConnection) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har upptäckt ett ovanligt anslutningsförsök med hjälp av ett socks-protokoll. Detta är mycket sällsynt i normala åtgärder, men en känd teknik för angripare som försöker kringgå identifieringar på nätverksnivå.
MITRE-taktik: Utförande, exfiltrering, utnyttjande
Allvarlighetsgrad: Medel
Försök att stoppa tjänsten apt-daily-upgrade.timer har identifierats
(K8S. NODE_TimerServiceDisabled) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har upptäckt ett försök att stoppa tjänsten apt-daily-upgrade.timer. Angripare har observerats stoppa den här tjänsten för att ladda ned skadliga filer och bevilja körningsprivilegier för sina attacker. Den här aktiviteten kan också inträffa om tjänsten uppdateras via normala administrativa åtgärder.
MITRE-taktik: DefenseEvasion
Allvarlighetsgrad: Information
Beteende som liknar vanliga Linux-robotar som identifierats (förhandsversion)
(K8S. NODE_CommonBot)
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat körningen av en process som normalt är associerad med vanliga Linux-botnät.
MITRE-taktik: Körning, samling, kommando och kontroll
Allvarlighetsgrad: Medel
Kommando i en container som körs med hög behörighet
(K8S. NODE_PrivilegedExecutionInContainer) 1
Beskrivning: Datorloggar anger att ett privilegierat kommando kördes i en Docker-container. Ett privilegierat kommando har utökade privilegier på värddatorn.
MITRE-taktik: PrivilegeEscalation
Allvarlighetsgrad: Information
Container som körs i privilegierat läge
(K8S. NODE_PrivilegedContainerArtifacts) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat körningen av ett Docker-kommando som kör en privilegierad container. Den privilegierade containern har fullständig åtkomst till värdpodden eller värdresursen. Om det komprometteras kan en angripare använda den privilegierade containern för att få åtkomst till värdpodden eller värden.
MITRE-taktik: PrivilegeEscalation, Execution
Allvarlighetsgrad: Information
Container med en känslig volymmontering identifierad
(K8S_SensitiveMount)
Beskrivning: Kubernetes granskningslogganalys identifierade en ny container med en känslig volymmontering. Volymen som identifierades är en hostPath-typ som monterar en känslig fil eller mapp från noden till containern. Om containern komprometteras kan angriparen använda den här monteringen för att få åtkomst till noden.
MITRE-taktik: Privilegieeskalering
Allvarlighetsgrad: Information
CoreDNS-ändring i Kubernetes har identifierats
Beskrivning: Kubernetes granskningslogganalys identifierade en ändring av CoreDNS-konfigurationen. Konfigurationen av CoreDNS kan ändras genom att åsidosätta dess konfigurationskarta. Den här aktiviteten kan vara legitim, men om angripare har behörighet att ändra konfigurationskartan kan de ändra beteendet för klustrets DNS-server och förgifta den.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Låg
Skapande av webhookskonfiguration för antagning har identifierats
(K8S_AdmissionController) 3
Beskrivning: Kubernetes granskningslogganalys identifierade en ny webhook-konfiguration för antagning. Kubernetes har två inbyggda generiska antagningskontrollanter: MutatingAdmissionWebhook och ValidatingAdmissionWebhook. Beteendet för dessa antagningskontrollanter bestäms av en webhook för antagning som användaren distribuerar till klustret. Användningen av sådana antagningskontrollanter kan vara legitim, men angripare kan använda sådana webhooks för att ändra begäranden (i händelse av mutatingAdmissionWebhook) eller inspektera begäranden och få känslig information (i händelse av ValidatingAdmissionWebhook).
MITRE-taktik: Åtkomst till autentiseringsuppgifter, beständighet
Allvarlighetsgrad: Information
Filnedladdning från en känd skadlig källa har identifierats
(K8S. NODE_SuspectDownload) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en nedladdning av en fil från en källa som ofta används för att distribuera skadlig kod.
MITRE-taktik: PrivilegeEscalation, Execution, Exfiltration, Command and Control
Allvarlighetsgrad: Medel
Misstänkt filnedladdning har identifierats
(K8S. NODE_SuspectDownloadArtifacts) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt nedladdning av en fjärrfil.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Information
Misstänkt användning av nohup-kommandot har identifierats
(K8S. NODE_SuspectNohup) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt användning av nohup-kommandot. Angripare har setts använda kommandot nohup för att köra dolda filer från en tillfällig katalog så att deras körbara filer kan köras i bakgrunden. Det är ovanligt att det här kommandot körs på dolda filer som finns i en tillfällig katalog.
MITRE-taktik: Beständighet, DefenseEvasion
Allvarlighetsgrad: Medel
Misstänkt användning av useradd-kommandot har identifierats
(K8S. NODE_SuspectUserAddition) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt användning av useradd-kommandot.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Medel
Digital valutautvinningscontainer identifierad
(K8S_MaliciousContainerImage) 3
Beskrivning: Kubernetes granskningslogganalys identifierade en container som har en avbildning associerad med ett verktyg för utvinning av digital valuta.
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Digitalt valutautvinningsrelaterat beteende har identifierats
(K8S. NODE_DigitalCurrencyMining) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har identifierat en körning av en process eller ett kommando som normalt är associerat med utvinning av digital valuta.
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Docker-byggåtgärd identifierad på en Kubernetes-nod
(K8S. NODE_ImageBuildOnNode) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en byggåtgärd av en containeravbildning på en Kubernetes-nod. Även om det här beteendet kan vara legitimt kan angripare skapa sina skadliga avbildningar lokalt för att undvika identifiering.
MITRE-taktik: DefenseEvasion
Allvarlighetsgrad: Information
Exponerad Kubeflow-instrumentpanel har identifierats
(K8S_ExposedKubeflow)
Beskrivning: Kubernetes granskningslogganalys identifierade exponering av Istio-ingressen av en lastbalanserare i ett kluster som kör Kubeflow. Den här åtgärden kan exponera Kubeflow-instrumentpanelen för Internet. Om instrumentpanelen exponeras för Internet kan angripare komma åt den och köra skadliga containrar eller kod i klustret. Mer information finns i följande artikel: https://www.microsoft.com/en-us/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Exponerad Kubernetes-instrumentpanel har identifierats
(K8S_ExposedDashboard)
Beskrivning: Kubernetes granskningslogganalys identifierade exponering av Kubernetes-instrumentpanelen av en LoadBalancer-tjänst. Den exponerade instrumentpanelen ger en oautentiserad åtkomst till klusterhanteringen och utgör ett säkerhetshot.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Hög
Exponerad Kubernetes-tjänst har identifierats
(K8S_ExposedService)
Beskrivning: Kubernetes granskningslogganalys identifierade en tjänsts exponering av en lastbalanserare. Den här tjänsten är relaterad till ett känsligt program som tillåter åtgärder med hög påverkan i klustret, till exempel att köra processer på noden eller skapa nya containrar. I vissa fall kräver den här tjänsten inte autentisering. Om tjänsten inte kräver autentisering utgör det en säkerhetsrisk att exponera den för Internet.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Redis-tjänsten i AKS har identifierats
(K8S_ExposedRedis)
Beskrivning: Kubernetes granskningslogganalys identifierade exponering av en Redis-tjänst av en lastbalanserare. Om tjänsten inte kräver autentisering utgör det en säkerhetsrisk att exponera den för Internet.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Låg
Indikatorer som är associerade med DDOS-verktyg har identifierats
(K8S. NODE_KnownLinuxDDoSToolkit) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har identifierat filnamn som ingår i en verktygslåda som är associerad med skadlig kod som kan starta DDoS-attacker, öppna portar och tjänster och ta full kontroll över det infekterade systemet. Detta kan också vara legitim verksamhet.
MITRE-taktik: Persistence, LateralMovement, Execution, Exploitation
Allvarlighetsgrad: Medel
K8S API-begäranden från proxy-IP-adress har identifierats
(K8S_TI_Proxy) 3
Beskrivning: Kubernetes granskningslogganalys identifierade API-begäranden till klustret från en IP-adress som är associerad med proxytjänster, till exempel TOR. Även om det här beteendet kan vara legitimt, visas det ofta i skadliga aktiviteter när angripare försöker dölja sin käll-IP.
MITRE-taktik: Körning
Allvarlighetsgrad: Låg
Kubernetes-händelser har tagits bort
Beskrivning: Defender för molnet upptäckt att vissa Kubernetes-händelser har tagits bort. Kubernetes-händelser är objekt i Kubernetes som innehåller information om ändringar i klustret. Angripare kan ta bort dessa händelser för att dölja sina åtgärder i klustret.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Låg
Testverktyget för Kubernetes-intrång har identifierats
(K8S_PenTestToolsKubeHunter)
Beskrivning: Kubernetes granskningslogganalys upptäckte användning av Kubernetes penetrationstestverktyg i AKS-klustret. Även om det här beteendet kan vara legitimt kan angripare använda sådana offentliga verktyg i skadliga syften.
MITRE-taktik: Körning
Allvarlighetsgrad: Låg
Microsoft Defender för molnet testavisering (inte ett hot)
(K8S. NODE_EICAR) 1
Beskrivning: Det här är en testavisering som genereras av Microsoft Defender för molnet. Ingen ytterligare åtgärd krävs.
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Ny container i kube-system-namnområdet har identifierats
(K8S_KubeSystemContainer) 3
Beskrivning: Kubernetes granskningslogganalys identifierade en ny container i kube-system-namnområdet som inte finns bland de containrar som normalt körs i det här namnområdet. Kube-system-namnrymderna får inte innehålla användarresurser. Angripare kan använda det här namnområdet för att dölja skadliga komponenter.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Information
Ny roll med höga privilegier har identifierats
(K8S_HighPrivilegesRole) 3
Beskrivning: Kubernetes granskningslogganalys identifierade en ny roll med hög behörighet. En bindning till en roll med hög behörighet ger användaren/gruppen höga behörigheter i klustret. Onödiga privilegier kan orsaka behörighetseskalering i klustret.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Information
Möjligt attackverktyg har identifierats
(K8S. NODE_KnownLinuxAttackTool) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat ett misstänkt verktygsanrop. Det här verktyget är ofta associerat med skadliga användare som attackerar andra.
MITRE-taktik: Körning, samling, kommando och kontroll, avsökning
Allvarlighetsgrad: Medel
Möjlig bakdörr har identifierats
(K8S. NODE_LinuxBackdoorArtifact) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har identifierat en misstänkt fil som laddas ned och körs. Den här aktiviteten har tidigare associerats med installation av en bakdörr.
MITRE-taktik: Persistence, DefenseEvasion, Execution, Exploitation
Allvarlighetsgrad: Medel
Möjligt försök att utnyttja kommandoraden
(K8S. NODE_ExploitAttempt) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat ett möjligt utnyttjandeförsök mot en känd säkerhetsrisk.
MITRE-taktik: Utnyttjande
Allvarlighetsgrad: Medel
Möjligt åtkomstverktyg för autentiseringsuppgifter har identifierats
(K8S. NODE_KnownLinuxCredentialAccessTool) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har upptäckt att ett möjligt känt åtkomstverktyg för autentiseringsuppgifter kördes i containern, vilket identifierades av det angivna objektet för process- och kommandoradshistorik. Det här verktyget är ofta associerat med attackerare som försöker komma åt autentiseringsuppgifter.
MITRE-taktik: CredentialAccess
Allvarlighetsgrad: Medel
Möjlig nedladdning av Cryptocoinminer har identifierats
(K8S. NODE_CryptoCoinMinerDownload) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat nedladdning av en fil som normalt är associerad med utvinning av digital valuta.
MITRE-taktik: DefenseEvasion, kommando och kontroll, utnyttjande
Allvarlighetsgrad: Medel
Möjlig loggmanipuleringsaktivitet har identifierats
(K8S. NODE_SystemLogRemoval) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har identifierat en möjlig borttagning av filer som spårar användarens aktivitet under åtgärden. Angripare försöker ofta undvika identifiering och lämnar inga spår av skadliga aktiviteter genom att ta bort sådana loggfiler.
MITRE-taktik: DefenseEvasion
Allvarlighetsgrad: Medel
Möjlig lösenordsändring med hjälp av crypt-method har identifierats
(K8S. NODE_SuspectPasswordChange) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en lösenordsändring med hjälp av kryptan. Angripare kan göra den här ändringen för att fortsätta åtkomsten och få beständighet efter att ha komprometterats.
MITRE-taktik: CredentialAccess
Allvarlighetsgrad: Medel
Potentiell portvidarebefordring till extern IP-adress
(K8S. NODE_SuspectPortForwarding) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en initiering av portvidarebefordring till en extern IP-adress.
MITRE-taktik: Exfiltrering, kommando och kontroll
Allvarlighetsgrad: Medel
Potentiellt omvändt gränssnitt har identifierats
(K8S. NODE_ReverseShell) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat ett potentiellt omvändt gränssnitt. Dessa används för att få en komprometterad dator att anropa tillbaka till en dator som en angripare äger.
MITRE-taktik: Exfiltrering, exploatering
Allvarlighetsgrad: Medel
Privilegierad container har identifierats
(K8S_PrivilegedContainer)
Beskrivning: Kubernetes granskningslogganalys identifierade en ny privilegierad container. En privilegierad container har åtkomst till nodens resurser och bryter isoleringen mellan containrar. Om den komprometteras kan en angripare använda den privilegierade containern för att få åtkomst till noden.
MITRE-taktik: Privilegieeskalering
Allvarlighetsgrad: Information
Process som är associerad med utvinning av digital valuta har identifierats
(K8S. NODE_CryptoCoinMinerArtifacts) 1
Beskrivning: Analys av processer som körs i en container har identifierat körningen av en process som normalt är associerad med utvinning av digital valuta.
MITRE-taktik: Utförande, utnyttjande
Allvarlighetsgrad: Medel
Processen har visats komma åt den SSH-auktoriserade nyckelfilen på ett ovanligt sätt
(K8S. NODE_SshKeyAccess) 1
Beskrivning: En SSH-authorized_keys fil användes i en metod som liknar kända kampanjer för skadlig kod. Den här åtkomsten kan innebära att en aktör försöker få beständig åtkomst till en dator.
MITRE-taktik: Okänd
Allvarlighetsgrad: Information
Rollbindning till klusteradministratörsrollen har identifierats
(K8S_ClusterAdminBinding)
Beskrivning: Kubernetes granskningslogganalys identifierade en ny bindning till rollen klusteradministratör som ger administratörsbehörighet. Onödiga administratörsbehörigheter kan orsaka behörighetseskalering i klustret.
MITRE-taktik: Beständighet, PrivilegeEscalation
Allvarlighetsgrad: Information
Säkerhetsrelaterad processavslut har identifierats
(K8S. NODE_SuspectProcessTermination) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat ett försök att avsluta processer som rör säkerhetsövervakning på containern. Angripare försöker ofta avsluta sådana processer med fördefinierade skript efter kompromissen.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Låg
SSH-servern körs i en container
(K8S. NODE_ContainerSSH) 1
Beskrivning: Analys av processer som körs i en container har identifierat en SSH-server som körs i containern.
MITRE-taktik: Körning
Allvarlighetsgrad: Information
Misstänkt filtidsstämpeländring
(K8S. NODE_TimestampTampering) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt tidsstämpeländring. Angripare kopierar ofta tidsstämplar från befintliga legitima filer till nya verktyg för att undvika identifiering av de nyligen borttagna filerna.
MITRE-taktik: Beständighet, DefenseEvasion
Allvarlighetsgrad: Låg
Misstänkt begäran till Kubernetes API
(K8S. NODE_KubernetesAPI) 1
Beskrivning: Analys av processer som körs i en container anger att en misstänkt begäran gjordes till Kubernetes-API:et. Begäran skickades från en container i klustret. Även om det här beteendet kan vara avsiktligt kan det tyda på att en komprometterad container körs i klustret.
MITRE-taktik: LateralMovement
Allvarlighetsgrad: Medel
Misstänkt begäran till Kubernetes-instrumentpanelen
(K8S. NODE_KubernetesDashboard) 1
Beskrivning: Analys av processer som körs i en container indikerar att en misstänkt begäran gjordes till Kubernetes-instrumentpanelen. Begäran skickades från en container i klustret. Även om det här beteendet kan vara avsiktligt kan det tyda på att en komprometterad container körs i klustret.
MITRE-taktik: LateralMovement
Allvarlighetsgrad: Medel
Potentiell kryptomyntgrävare startad
(K8S. NODE_CryptoCoinMinerExecution) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en process som startas på ett sätt som normalt är associerat med utvinning av digital valuta.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Misstänkt lösenordsåtkomst
(K8S. NODE_SuspectPasswordFileAccess) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har upptäckt misstänkt försök att komma åt krypterade användarlösenord.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Information
Möjligt skadligt webbgränssnitt har identifierats
(K8S. NODE_Webshell) 1
Beskrivning: Analys av processer som körs i en container har identifierat ett möjligt webbgränssnitt. Angripare laddar ofta upp ett webbgränssnitt till en beräkningsresurs som de har komprometterat för att få beständighet eller för ytterligare utnyttjande.
MITRE-taktik: Beständighet, exploatering
Allvarlighetsgrad: Medel
Burst av flera rekognoseringskommandon kan indikera inledande aktivitet efter kompromiss
(K8S. NODE_ReconnaissanceArtifactsBurst) 1
Beskrivning: Analys av värd-/enhetsdata upptäckte körning av flera rekognoseringskommandon relaterade till insamling av system- eller värdinformation som utförts av angripare efter den första kompromissen.
MITRE-taktik: Identifiering, samling
Allvarlighetsgrad: Låg
Misstänkt nedladdning kör sedan aktivitet
(K8S. NODE_DownloadAndRunCombo) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har identifierat en fil som laddas ned och körs sedan i samma kommando. Även om detta inte alltid är skadligt är detta en mycket vanlig teknik som angripare använder för att få skadliga filer till offerdatorer.
MITRE-taktik: Execution, CommandAndControl, Exploitation
Allvarlighetsgrad: Medel
Åtkomst till kubelet kubeconfig-fil har identifierats
(K8S. NODE_KubeConfigAccess) 1
Beskrivning: Analys av processer som körs på en Kubernetes-klusternod identifierade åtkomst till kubeconfig-filen på värden. Kubeconfig-filen, som normalt används av Kubelet-processen, innehåller autentiseringsuppgifter för Kubernetes-klustrets API-server. Åtkomst till den här filen är ofta associerad med angripare som försöker komma åt dessa autentiseringsuppgifter eller med säkerhetsgenomsökningsverktyg som kontrollerar om filen är tillgänglig.
MITRE-taktik: CredentialAccess
Allvarlighetsgrad: Medel
Åtkomst till molnmetadatatjänsten har identifierats
(K8S. NODE_ImdsCall) 1
Beskrivning: Analys av processer som körs i en container har identifierat åtkomst till molnmetadatatjänsten för att hämta identitetstoken. Containern utför normalt inte en sådan åtgärd. Även om det här beteendet kan vara legitimt kan angripare använda den här tekniken för att komma åt molnresurser när de har fått inledande åtkomst till en container som körs.
MITRE-taktik: CredentialAccess
Allvarlighetsgrad: Medel
MITRE Caldera-agenten har identifierats
(K8S. NODE_MitreCalderaTools) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt process. Detta är ofta associerat med MITRE 54ndc47-agenten, som kan användas skadligt för att attackera andra datorer.
MITRE-taktik: Persistence, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command and Control, Probing, Exploitation
Allvarlighetsgrad: Medel
1: Förhandsversion för icke-AKS-kluster: Den här aviseringen är allmänt tillgänglig för AKS-kluster, men den är i förhandsversion för andra miljöer, till exempel Azure Arc, EKS och GKE.
2: Begränsningar för GKE-kluster: GKE använder en Kubernetes-granskningsprincip som inte stöder alla aviseringstyper. Därför stöds inte den här säkerhetsaviseringen, som baseras på Kubernetes-granskningshändelser, för GKE-kluster.
3: Den här aviseringen stöds på Windows-noder/containrar.
Kommentar
För aviseringar som är i förhandsversion: Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.