Kapsayıcılar için uyarılar - Kubernetes kümeleri
Bu makalede, Bulut için Microsoft Defender kapsayıcılar ve Kubernetes kümeleri ve etkinleştirdiğiniz Microsoft Defender planları için alabileceğiniz güvenlik uyarıları listelenir. Ortamınızda gösterilen uyarılar, koruduğunuz kaynaklara ve hizmetlere ve özelleştirilmiş yapılandırmanıza bağlıdır.
Not
Microsoft Defender Tehdit Analizi ve Uç Nokta için Microsoft Defender tarafından desteklenen son eklenen uyarılardan bazıları belgelenmemiş olabilir.
Bu uyarılara nasıl yanıt vereceğinizi öğrenin.
Uyarıları dışarı aktarmayı öğrenin.
Not
Farklı kaynaklardan gelen uyarıların görünmesi farklı zaman alabilir. Örneğin, ağ trafiğinin analizini gerektiren uyarıların görünmesi, sanal makinelerde çalışan şüpheli işlemlerle ilgili uyarılardan daha uzun sürebilir.
Kapsayıcılar ve Kubernetes kümeleri için uyarılar
Kapsayıcılar için Microsoft Defender, hem denetim düzlemini (API sunucusu) hem de kapsayıcılı iş yükünü izleyerek küme düzeyinde ve temel küme düğümlerinde güvenlik uyarıları sağlar. Denetim düzlemi güvenlik uyarıları, uyarı türünün bir ön eki K8S_ tarafından tanınabilir. Kümelerdeki çalışma zamanı iş yükü için güvenlik uyarıları, uyarı türünün ön eki tarafından K8S.NODE_ tanınabilir. Aksi belirtilmediği sürece tüm uyarılar yalnızca Linux'ta desteklenir.
Kubernetes'te güven kimlik doğrulaması yapılandırmasıyla kullanıma sunulan Postgres hizmeti algılandı (Önizleme)
(K8S_ExposedPostgresTrustAuth)
Açıklama: Kubernetes küme yapılandırma analizi, bir Postgres hizmetinin yük dengeleyici tarafından açığa çıkarma algılandı. Hizmet, kimlik bilgileri gerektirmeyen güven kimlik doğrulama yöntemiyle yapılandırılır.
MITRE taktikleri: InitialAccess
Önem Derecesi: Orta
Kubernetes'te riskli yapılandırmayla kullanıma sunulan Postgres hizmeti algılandı (Önizleme)
(K8S_ExposedPostgresBroadIPRange)
Açıklama: Kubernetes küme yapılandırma analizi, riskli yapılandırmaya sahip bir yük dengeleyici tarafından Postgres hizmetinin açığa çıkarma durumunu algılamıştı. Hizmetin çok çeşitli IP adreslerine açıklanması güvenlik riski oluşturur.
MITRE taktikleri: InitialAccess
Önem Derecesi: Orta
Algılanan bir kapsayıcıdan yeni bir Linux ad alanı oluşturma girişimi
(K8S. NODE_NamespaceCreation) 1
Açıklama: Kubernetes kümesindeki bir kapsayıcı içinde çalışan işlemlerin analizi, yeni bir Linux ad alanı oluşturma girişimi algılandı. Bu davranış meşru olsa da, bir saldırganın kapsayıcıdan düğüme kaçmaya çalıştığını gösterebilir. Bazı CVE-2022-0185 açıkları bu tekniği kullanır.
MITRE taktikleri: PrivilegeEscalation
Önem Derecesi: Bilgilendiren
Geçmiş dosyası temizlendi
(K8S. NODE_HistoryFileCleared) 1
Açıklama: Bir kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, komut geçmişi günlük dosyasının temizlendiğini algılamıştır. Saldırganlar izlerini kapatmak için bunu yapabilir. İşlem, belirtilen kullanıcı hesabı tarafından gerçekleştirildi.
MITRE taktikleri: DefenseEvasion
Önem Derecesi: Orta
Kubernetes ile ilişkili yönetilen kimliğin anormal etkinliği (Önizleme)
(K8S_AbnormalMiActivity)
Açıklama: Azure Resource Manager işlemlerinin analizi, AKS eklentisi tarafından kullanılan yönetilen kimlikte anormal bir davranış algılandı. Algılanan etkinlik, ilişkili eklentinin davranışıyla tutarlı değil. Bu etkinlik yasal olsa da, bu tür davranışlar kimliğin bir saldırgan tarafından, büyük olasılıkla Kubernetes kümesindeki güvenliği aşılmış bir kapsayıcıdan edinildiğini gösterebilir.
MITRE taktikleri: Yanal Hareket
Önem Derecesi: Orta
Anormal Kubernetes hizmet hesabı işlemi algılandı
(K8S_ServiceAccountRareOperation)
Açıklama: Kubernetes denetim günlüğü analizi, Kubernetes kümenizdeki bir hizmet hesabı tarafından anormal davranış algılandı. Hizmet hesabı, bu hizmet hesabı için yaygın olmayan bir işlem için kullanıldı. Bu etkinlik yasal olsa da, bu tür davranış hizmet hesabının kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: YanAl Hareket, Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Yaygın olmayan bir bağlantı girişimi algılandı
(K8S. NODE_SuspectConnection) 1
Açıklama: Bir kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, çorap protokolü kullanan yaygın olmayan bir bağlantı girişimi algılamıştır. Normal işlemlerde bu çok nadirdir, ancak ağ katmanı algılamalarını atlamayı deneyen saldırganlar için bilinen bir tekniktir.
MITRE taktikleri: Yürütme, Sızdırma, Sömürü
Önem Derecesi: Orta
Algılanan apt-daily-upgrade.timer hizmetini durdurma girişimi
(K8S. NODE_TimerServiceDisabled) 1
Açıklama: Bir kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, apt-daily-upgrade.timer hizmetini durdurma girişimi algılandı. Saldırganların kötü amaçlı dosyaları indirmek ve saldırıları için yürütme ayrıcalıkları vermek için bu hizmeti durdurduğu gözlemlendi. Bu etkinlik, hizmet normal yönetim eylemleri aracılığıyla güncelleştirilirse de gerçekleşebilir.
MITRE taktikleri: DefenseEvasion
Önem Derecesi: Bilgilendiren
Algılanan yaygın Linux botlarına benzer davranış (Önizleme)
(K8S. NODE_CommonBot)
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, normalde yaygın Linux botnet'leriyle ilişkili bir işlemin yürütülmesini algılamıştır.
MITRE taktikleri: Yürütme, Toplama, Komut ve Denetim
Önem Derecesi: Orta
Yüksek ayrıcalıklarla çalışan bir kapsayıcı içindeki komut
(K8S. NODE_PrivilegedExecutionInContainer) 1
Açıklama: Makine günlükleri, docker kapsayıcısında ayrıcalıklı bir komutun çalıştırıldığını gösterir. Ayrıcalıklı bir komutun konak makinesinde genişletilmiş ayrıcalıkları vardır.
MITRE taktikleri: PrivilegeEscalation
Önem Derecesi: Bilgilendiren
Ayrıcalıklı modda çalışan kapsayıcı
(K8S. NODE_PrivilegedContainerArtifacts) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, ayrıcalıklı kapsayıcı çalıştıran bir Docker komutunun yürütülmesini algılamıştır. Ayrıcalıklı kapsayıcı, barındırma podu veya konak kaynağına tam erişime sahiptir. Gizliliği ihlal edilirse, saldırgan barındırma pod'una veya konağına erişim elde etmek için ayrıcalıklı kapsayıcıyı kullanabilir.
MITRE taktikleri: PrivilegeEscalation, Execution
Önem Derecesi: Bilgilendiren
Hassas birim bağlaması algılanan kapsayıcı
(K8S_SensitiveMount)
Açıklama: Kubernetes denetim günlüğü analizi, hassas birim bağlaması olan yeni bir kapsayıcı algılandı. Algılanan birim, düğümden kapsayıcıya hassas bir dosya veya klasör takan bir hostPath türüdür. Kapsayıcının güvenliği aşılırsa, saldırgan düğüme erişim kazanmak için bu bağlamayı kullanabilir.
MITRE taktikleri: Ayrıcalık Yükseltme
Önem Derecesi: Bilgilendiren
Kubernetes'te CoreDNS değişikliği algılandı
Açıklama: Kubernetes denetim günlüğü analizi CoreDNS yapılandırmasında bir değişiklik algılandı. CoreDNS yapılandırması, yapılandırma haritası geçersiz kılınarak değiştirilebilir. Bu etkinlik yasal olsa da, saldırganların yapılandırma haritasını değiştirme izinleri varsa, kümenin DNS sunucusunun davranışını değiştirebilir ve zehirleyebilirler.
MITRE taktikleri: Yanal Hareket
Önem Derecesi: Düşük
Erişim web kancası yapılandırması oluşturma algılandı
(K8S_AdmissionController) 3
Açıklama: Kubernetes denetim günlüğü analizi yeni bir erişim web kancası yapılandırması algılandı. Kubernetes'in iki yerleşik genel erişim denetleyicisi vardır: MutatingAdmissionWebhook ve ValidatingAdmissionWebhook. Bu erişim denetleyicilerinin davranışı, kullanıcının kümeye dağıttığı bir erişim web kancası tarafından belirlenir. Bu tür erişim denetleyicilerinin kullanımı yasal olabilir, ancak saldırganlar istekleri değiştirmek (MutatingAdmissionWebhook durumunda) veya istekleri incelemek ve hassas bilgiler edinmek (ValidatingAdmissionWebhook durumunda) için bu tür web kancalarını kullanabilir.
MITRE taktikleri: Kimlik Bilgisi Erişimi, Kalıcılık
Önem Derecesi: Bilgilendiren
Bilinen kötü amaçlı bir kaynaktan dosya indirme algılandı
(K8S. NODE_SuspectDownload) 1
Açıklama: Kapsayıcı içinde veya doğrudan Kubernetes düğümünde çalışan işlemlerin analizi, kötü amaçlı yazılımları dağıtmak için sık kullanılan bir kaynaktan dosya indirdiğini algılamıştır.
MITRE taktikleri: PrivilegeEscalation, Execution, Exfil, Command And Control
Önem Derecesi: Orta
Şüpheli dosya indirme algılandı
(K8S. NODE_SuspectDownloadArtifacts) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, uzak dosyanın şüpheli bir şekilde indirilmesini algılamıştır.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Bilgilendiren
Nohup komutunun şüpheli kullanımı algılandı
(K8S. NODE_SuspectNohup) 1
Açıklama: Kapsayıcı içinde veya doğrudan Kubernetes düğümünde çalışan işlemlerin analizi, nohup komutunun şüpheli bir kullanımını algılamıştır. Saldırganlar, yürütülebilir dosyalarının arka planda çalışmasına izin vermek üzere geçici bir dizinden gizli dosyaları çalıştırmak için nohup komutunu kullanırken görüldü. Bu komutun geçici bir dizinde bulunan gizli dosyalarda çalıştırılması nadirdir.
MITRE taktikleri: Kalıcılık, DefenseEvasion
Önem Derecesi: Orta
useradd komutunun şüpheli kullanımı algılandı
(K8S. NODE_SuspectUserAddition) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, useradd komutunun şüpheli bir kullanımını algılamıştır.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Orta
Dijital para birimi madenciliği kapsayıcısı algılandı
(K8S_MaliciousContainerImage) 3
Açıklama: Kubernetes denetim günlüğü analizi, dijital para birimi madenciliği aracıyla ilişkilendirilmiş bir görüntüye sahip bir kapsayıcı algılamıştır.
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek
Dijital para birimi madenciliğiyle ilgili davranış algılandı
(K8S. NODE_DigitalCurrencyMining) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, normalde dijital para birimi madenciliğiyle ilişkili bir işlemin veya komutun yürütülmesini algılamıştır.
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek
Kubernetes düğümünde Docker derleme işlemi algılandı
(K8S. NODE_ImageBuildOnNode) 1
Açıklama: Bir kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, Kubernetes düğümündeki bir kapsayıcı görüntüsünün derleme işlemini algılamıştır. Bu davranış yasal olsa da, saldırganlar algılamayı önlemek için kötü amaçlı görüntülerini yerel olarak oluşturabilir.
MITRE taktikleri: DefenseEvasion
Önem Derecesi: Bilgilendiren
Kullanıma sunulan Kubeflow panosu algılandı
(K8S_ExposedKubeflow)
Açıklama: Kubernetes denetim günlüğü analizi, Kubeflow çalıştıran bir kümedeki bir yük dengeleyici tarafından Istio Girişi'nin açığa çıkması algılandı. Bu eylem Kubeflow panosunu İnternet'te kullanıma sunar. Pano İnternet'e açıksa, saldırganlar panoya erişebilir ve kümede kötü amaçlı kapsayıcılar veya kod çalıştırabilir. Aşağıdaki makalede daha fazla ayrıntı bulabilirsiniz: https://www.microsoft.com/en-us/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/
MITRE taktikleri: İlk Erişim
Önem Derecesi: Orta
Kullanıma sunulan Kubernetes panosu algılandı
(K8S_ExposedDashboard)
Açıklama: Kubernetes denetim günlüğü analizi, Bir LoadBalancer hizmeti tarafından Kubernetes Panosunun kullanıma açık olduğunu algılandı. Kullanıma sunulan pano, küme yönetimine kimliği doğrulanmamış erişim sağlar ve bir güvenlik tehdidi oluşturur.
MITRE taktikleri: İlk Erişim
Önem Derecesi: Yüksek
Kullanıma sunulan Kubernetes hizmeti algılandı
(K8S_ExposedService)
Açıklama: Kubernetes denetim günlüğü analizi, bir hizmetin yük dengeleyici tarafından açığa çıkışını algılamıştı. Bu hizmet, düğümde işlemleri çalıştırma veya yeni kapsayıcılar oluşturma gibi kümede yüksek etkiye sahip işlemlere izin veren hassas bir uygulamayla ilgilidir. Bazı durumlarda, bu hizmet kimlik doğrulaması gerektirmez. Hizmet kimlik doğrulaması gerektirmiyorsa, bunu İnternet'e ifşa etmek güvenlik riski oluşturur.
MITRE taktikleri: İlk Erişim
Önem Derecesi: Orta
AKS'de kullanıma sunulan Redis hizmeti algılandı
(K8S_ExposedRedis)
Açıklama: Kubernetes denetim günlüğü analizi bir Redis hizmetinin yük dengeleyici tarafından açığa çıkışını algılamıştı. Hizmet kimlik doğrulaması gerektirmiyorsa, bunu İnternet'e ifşa etmek güvenlik riski oluşturur.
MITRE taktikleri: İlk Erişim
Önem Derecesi: Düşük
DDOS araç seti ile ilişkili göstergeler algılandı
(K8S. NODE_KnownLinuxDDoSToolkit) 1
Açıklama: Bir kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, DDoS saldırılarını başlatabilen, bağlantı noktalarını ve hizmetleri açabilen ve virüs bulaşmış sistem üzerinde tam denetim sahibi olabilecek kötü amaçlı yazılımlarla ilişkili bir araç setinin parçası olan dosya adlarını algılamıştır. Bu yasal bir etkinlik de olabilir.
MITRE taktikleri: Kalıcılık, LateralMovement, Yürütme, Sömürü
Önem Derecesi: Orta
Proxy IP adresinden K8S API istekleri algılandı
(K8S_TI_Proxy) 3
Açıklama: Kubernetes denetim günlüğü analizi, TOR gibi ara sunucu hizmetleriyle ilişkilendirilmiş bir IP adresinden kümenize API istekleri algılandı. Bu davranış meşru olsa da, saldırganlar kaynak IP'lerini gizlemeye çalıştığında genellikle kötü amaçlı etkinliklerde görülür.
MITRE taktikleri: Yürütme
Önem Derecesi: Düşük
Kubernetes olayları silindi
Açıklama: Bulut için Defender bazı Kubernetes olaylarının silindiğini algılamıştır. Kubernetes olayları, Kubernetes'te kümedeki değişiklikler hakkında bilgi içeren nesnelerdir. Saldırganlar, kümedeki işlemlerini gizlemek için bu olayları silebilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Düşük
Kubernetes sızma testi aracı algılandı
(K8S_PenTestToolsKubeHunter)
Açıklama: Kubernetes denetim günlüğü analizi, AKS kümesinde Kubernetes sızma testi aracının kullanımını algılandı. Bu davranış meşru olsa da, saldırganlar bu tür ortak araçları kötü amaçlı amaçlarla kullanabilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Düşük
Bulut için Microsoft Defender test uyarısı (tehdit değil)
(K8S. NODE_EICAR) 1
Açıklama: Bu, Bulut için Microsoft Defender tarafından oluşturulan bir test uyarısıdır. Başka bir şey yapmanız gerekmez.
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek
Kube-system ad alanında yeni kapsayıcı algılandı
(K8S_KubeSystemContainer) 3
Açıklama: Kubernetes denetim günlüğü analizi, kube-system ad alanında normalde bu ad alanında çalışan kapsayıcılar arasında olmayan yeni bir kapsayıcı algılandı. kube-system ad alanları kullanıcı kaynakları içermemelidir. Saldırganlar kötü amaçlı bileşenleri gizlemek için bu ad alanını kullanabilir.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Bilgilendiren
Yeni yüksek ayrıcalık rolü algılandı
(K8S_HighPrivilegesRole) 3
Açıklama: Kubernetes denetim günlüğü analizi yüksek ayrıcalıklara sahip yeni bir rol algılandı. Yüksek ayrıcalıklara sahip bir role bağlama, kullanıcıya\gruba kümede yüksek ayrıcalıklar verir. Gereksiz ayrıcalıklar kümede ayrıcalık yükseltmesine neden olabilir.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Bilgilendiren
Olası saldırı aracı algılandı
(K8S. NODE_KnownLinuxAttackTool) 1
Açıklama: Kapsayıcı içinde veya doğrudan Kubernetes düğümünde çalışan işlemlerin analizi, şüpheli bir araç çağrısı algılamıştır. Bu araç genellikle başkalarına saldıran kötü amaçlı kullanıcılarla ilişkilendirilir.
MITRE taktikleri: Yürütme, Toplama, Komut ve Denetim, Yoklama
Önem Derecesi: Orta
Olası arka kapı algılandı
(K8S. NODE_LinuxBackdoorArtifact) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, şüpheli bir dosyanın indirildiğini ve çalıştırıldığını algılamıştır. Bu etkinlik daha önce bir arka kapı yüklemesiyle ilişkilendirilmiştir.
MITRE taktikleri: Kalıcılık, DefenseEvasion, Yürütme, Sömürü
Önem Derecesi: Orta
Olası komut satırından yararlanma girişimi
(K8S. NODE_ExploitAttempt) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, bilinen bir güvenlik açığına karşı olası bir açıklardan yararlanma girişimi algılamıştır.
MITRE taktikleri: Exploitation
Önem Derecesi: Orta
Olası kimlik bilgisi erişim aracı algılandı
(K8S. NODE_KnownLinuxCredentialAccessTool) 1
Açıklama: Kapsayıcı içinde veya doğrudan bir Kubernetes düğümünde çalışan işlemlerin analizi, belirtilen işlem ve komut satırı geçmişi öğesi tarafından tanımlandığı gibi kapsayıcıda bilinen bir kimlik bilgisi erişim aracının çalıştığını algılamıştır. Bu araç genellikle saldırganların kimlik bilgilerine erişme girişimleriyle ilişkilendirilir.
MITRE taktikleri: CredentialAccess
Önem Derecesi: Orta
Olası Cryptocoinminer indirmesi algılandı
(K8S. NODE_CryptoCoinMinerDownload) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, normalde dijital para birimi madenciliğiyle ilişkili bir dosyanın indirilmesini algılamıştır.
MITRE taktikleri: DefenseEvasion, Command And Control, Exploitation
Önem Derecesi: Orta
Olası Günlük Değiştirme Etkinliği Algılandı
(K8S. NODE_SystemLogRemoval) 1
Açıklama: Kapsayıcı içinde veya doğrudan Kubernetes düğümünde çalışan işlemlerin analizi, işlem sırasında kullanıcının etkinliğini izleyen dosyaların olası bir kaldırılmasını algılamıştır. Saldırganlar genellikle algılamadan kaçınmaya çalışır ve bu tür günlük dosyalarını silerek kötü amaçlı etkinliklere dair hiçbir iz bırakmaz.
MITRE taktikleri: DefenseEvasion
Önem Derecesi: Orta
crypt-method kullanılarak olası parola değişikliği algılandı
(K8S. NODE_SuspectPasswordChange) 1
Açıklama: Bir kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, şifreleme yöntemini kullanarak bir parola değişikliği algılamıştır. Saldırganlar erişime devam etmek ve güvenliğin aşılmasından sonra kalıcılık kazanmak için bu değişikliği yapabilir.
MITRE taktikleri: CredentialAccess
Önem Derecesi: Orta
Dış IP adresine olası bağlantı noktası iletme
(K8S. NODE_SuspectPortForwarding) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, bir dış IP adresine bağlantı noktası iletme işleminin başlatıldığını algılamıştır.
MITRE taktikleri: Sızdırma, Komut ve Denetim
Önem Derecesi: Orta
Olası ters kabuk algılandı
(K8S. NODE_ReverseShell) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, olası bir ters kabuk algılamıştır. Bunlar, güvenliği aşılmış bir makinenin bir saldırganın sahip olduğu bir makineye geri çağrıda bulunması için kullanılır.
MITRE taktikleri: Sızdırma, Sömürü
Önem Derecesi: Orta
Ayrıcalıklı kapsayıcı algılandı
(K8S_PrivilegedContainer)
Açıklama: Kubernetes denetim günlüğü analizi yeni bir ayrıcalıklı kapsayıcı algılandı. Ayrıcalıklı bir kapsayıcı düğümün kaynaklarına erişebilir ve kapsayıcılar arasındaki yalıtımı keser. Gizliliği ihlal edilirse, saldırgan düğüme erişim elde etmek için ayrıcalıklı kapsayıcıyı kullanabilir.
MITRE taktikleri: Ayrıcalık Yükseltme
Önem Derecesi: Bilgilendiren
Dijital para birimi madenciliğiyle ilişkili işlem algılandı
(K8S. NODE_CryptoCoinMinerArtifacts) 1
Açıklama: Kapsayıcı içinde çalışan işlemlerin analizi, normalde dijital para madenciliğiyle ilişkili bir işlemin yürütülmesini algılamıştı.
MITRE taktikleri: Yürütme, Sömürü
Önem Derecesi: Orta
SSH yetkili anahtarlar dosyasına olağan dışı bir şekilde erişilirken görülen işlem
(K8S. NODE_SshKeyAccess) 1
Açıklama: Bilinen kötü amaçlı yazılım kampanyalarına benzer bir yöntemde bir SSH authorized_keys dosyasına erişildi. Bu erişim, bir aktörün makineye kalıcı erişim elde etmeye çalıştığına işaret edebilir.
MITRE taktikleri: Bilinmiyor
Önem Derecesi: Bilgilendiren
Küme yöneticisi rolüne rol bağlama algılandı
(K8S_ClusterAdminBinding)
Açıklama: Kubernetes denetim günlüğü analizi, yönetici ayrıcalıkları veren küme yöneticisi rolüne yeni bir bağlama algılandı. Gereksiz yönetici ayrıcalıkları kümede ayrıcalık yükseltmesine neden olabilir.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Bilgilendiren
Güvenlikle ilgili işlem sonlandırma algılandı
(K8S. NODE_SuspectProcessTermination) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, kapsayıcıdaki güvenlik izlemeyle ilgili işlemleri sonlandırma girişimi algılandı. Saldırganlar genellikle güvenliğin aşılmasından sonra önceden tanımlanmış betikleri kullanarak bu tür işlemleri sonlandırmaya çalışır.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Düşük
SSH sunucusu bir kapsayıcı içinde çalışıyor
(K8S. NODE_ContainerSSH) 1
Açıklama: Kapsayıcı içinde çalışan işlemlerin analizi, kapsayıcı içinde çalışan bir SSH sunucusu algılandı.
MITRE taktikleri: Yürütme
Önem Derecesi: Bilgilendiren
Şüpheli dosya zaman damgası değişikliği
(K8S. NODE_TimestampTampering) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, şüpheli bir zaman damgası değişikliği algılamıştır. Saldırganlar, yeni bırakılan bu dosyaların algılanmasını önlemek için genellikle mevcut geçerli dosyalardan zaman damgalarını yeni araçlara kopyalar.
MITRE taktikleri: Kalıcılık, DefenseEvasion
Önem Derecesi: Düşük
Kubernetes API'sine şüpheli istek
(K8S. NODE_KubernetesAPI) 1
Açıklama: Kapsayıcı içinde çalışan işlemlerin analizi, Kubernetes API'sine şüpheli bir istek yapıldığını gösterir. İstek, kümedeki bir kapsayıcıdan gönderildi. Bu davranış kasıtlı olarak gerçekleştirilse de, kümede güvenliği aşılmış bir kapsayıcının çalıştığını gösterebilir.
MITRE taktikleri: LateralMovement
Önem Derecesi: Orta
Kubernetes Panosuna şüpheli istek
(K8S. NODE_KubernetesDashboard) 1
Açıklama: Kapsayıcı içinde çalışan işlemlerin analizi, Kubernetes Panosu'na şüpheli bir istek yapıldığını gösterir. İstek, kümedeki bir kapsayıcıdan gönderildi. Bu davranış kasıtlı olarak gerçekleştirilse de, kümede güvenliği aşılmış bir kapsayıcının çalıştığını gösterebilir.
MITRE taktikleri: LateralMovement
Önem Derecesi: Orta
Potansiyel kripto para madencileri başlatıldı
(K8S. NODE_CryptoCoinMinerExecution) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, normalde dijital para birimi madenciliğiyle ilişkili bir şekilde başlatılan bir işlem algılamıştır.
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Şüpheli parola erişimi
(K8S. NODE_SuspectPasswordFileAccess) 1
Açıklama: Kapsayıcı içinde veya doğrudan Kubernetes düğümünde çalışan işlemlerin analizi, şifrelenmiş kullanıcı parolalarına erişmeye yönelik şüpheli girişim algılandı.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Bilgilendiren
Olası kötü amaçlı web kabuğu algılandı
(K8S. NODE_Webshell) 1
Açıklama: Kapsayıcı içinde çalışan işlemlerin analizinde olası bir web kabuğu algılandı. Saldırganlar genellikle kalıcılık kazanmak veya daha fazla yararlanma amacıyla güvenliği aşmış oldukları bir işlem kaynağına bir web kabuğu yükler.
MITRE taktikleri: Kalıcılık, Sömürü
Önem Derecesi: Orta
Birden çok keşif komutunun patlaması, güvenlik ihlallerinden sonra ilk etkinliği gösterebilir
(K8S. NODE_ReconnaissanceArtifactsBurst) 1
Açıklama: İlk güvenlik ihlallerinden sonra saldırganlar tarafından gerçekleştirilen sistem veya konak ayrıntılarını toplamayla ilgili birden çok keşif komutunun yürütüldiğini algılayan konak/cihaz verilerinin analizi.
MITRE taktikleri: Bulma, Toplama
Önem Derecesi: Düşük
Şüpheli indirme ve ardından etkinlik çalıştırma
(K8S. NODE_DownloadAndRunCombo) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, bir dosyanın indirildiğini algılamıştır ve ardından aynı komutta çalıştırılır. Bu her zaman kötü amaçlı olmasa da, saldırganların kötü amaçlı dosyaları kurban makinelerine almak için kullandığı çok yaygın bir tekniktir.
MITRE taktikleri: Yürütme, CommandAndControl, Exploitation
Önem Derecesi: Orta
Kubelet kubeconfig dosyasına erişim algılandı
(K8S. NODE_KubeConfigAccess) 1
Açıklama: Kubernetes küme düğümünde çalışan işlemlerin analizi, konak üzerindeki kubeconfig dosyasına erişim algılandı. Normalde Kubelet işlemi tarafından kullanılan kubeconfig dosyası, Kubernetes kümesi API sunucusu için kimlik bilgilerini içerir. Bu dosyaya erişim genellikle bu kimlik bilgilerine erişmeye çalışan saldırganlarla veya dosyanın erişilebilir olup olmadığını denetleyen güvenlik tarama araçlarıyla ilişkilendirilir.
MITRE taktikleri: CredentialAccess
Önem Derecesi: Orta
Bulut meta veri hizmetine erişim algılandı
(K8S. NODE_ImdsCall) 1
Açıklama: Kimlik belirteci almak için bulut meta veri hizmetine erişim algılanan bir kapsayıcı içinde çalışan işlemlerin analizi. Kapsayıcı normalde böyle bir işlem gerçekleştirmez. Bu davranış geçerli olsa da, saldırganlar çalışan bir kapsayıcıya ilk erişim elde ettikten sonra bulut kaynaklarına erişmek için bu tekniği kullanabilir.
MITRE taktikleri: CredentialAccess
Önem Derecesi: Orta
MITRE Caldera aracısı algılandı
(K8S. NODE_MitreCalderaTools) 1
Açıklama: Kapsayıcı içinde veya doğrudan Kubernetes düğümünde çalışan işlemlerin analizi şüpheli bir işlem algılamıştır. Bu genellikle diğer makinelere saldırmak için kötü amaçlı olarak kullanılabilecek MITRE 54ndc47 aracısı ile ilişkilendirilir.
MITRE taktikleri: Kalıcılık, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation
Önem Derecesi: Orta
1: AKS olmayan kümeler için önizleme: Bu uyarı AKS kümeleri için genel olarak kullanılabilir, ancak Azure Arc, EKS ve GKE gibi diğer ortamlar için önizleme aşamasındadır.
2: GKE kümelerindeki sınırlamalar: GKE, tüm uyarı türlerini desteklemeyen bir Kubernetes denetim ilkesi kullanır. Sonuç olarak, Kubernetes denetim olaylarını temel alan bu güvenlik uyarısı GKE kümeleri için desteklenmez.
3: Bu uyarı Windows düğümlerinde/kapsayıcılarında desteklenir.
Not
Önizleme aşamasındaki uyarılar için: Azure Önizleme Ek Koşulları beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.