你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

容器警报 - Kubernetes 群集

本文列出了可以从 Microsoft Defender for Cloud 获取的容器和 Kubernetes 群集以及启用的任何Microsoft Defender 计划的安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。

注意

一些最近添加的由 Microsoft Defender 威胁智能 和 Microsoft Defender for Endpoint 提供支持的警报可能未记录。

了解如何响应这些警报。

了解如何导出警报。

注意

来自不同源的警报可能在不同的时间后出现。 例如，需要分析网络流量的警报的出现时间，可能比虚拟机上运行的可疑进程的相关警报要晚一些。

容器和 Kubernetes 群集的警报

Microsoft Defender for Containers 通过监视控制平面（API 服务器）和容器化工作负载本身，在群集级别和基础群集节点上提供安全警报。 可以通过警报类型的 K8S_ 前缀识别控制平面安全警报。 可以通过警报类型的 K8S.NODE_ 前缀识别群集中运行时工作负载的安全警报。 除非另有说明，否则所有警报仅在 Linux 上受支持。

更多详细信息和说明

在 Kubernetes 中检测到公开了具有信任身份验证配置的 Postgres 服务（预览版）

(K8S_ExposedPostgresTrustAuth)

说明：Kubernetes 群集配置分析检测到负载均衡器公开 Postgres 服务。 该服务配置了不需要凭据的信任身份验证方法。

MITRE 策略：InitialAccess

严重性：中等

在 Kubernetes 中检测到公开了具有风险配置的 Postgres 服务（预览版）

(K8S_ExposedPostgresBroadIPRange)

说明：Kubernetes 群集配置分析检测到负载均衡器暴露有风险配置的 Postgres 服务。 向多种 IP 地址公开服务会带来安全风险。

MITRE 策略：InitialAccess

严重性：中等

检测到有人尝试从容器创建新的 Linux 命名空间

(K8S.NODE_NamespaceCreation) ¹

说明：分析 Kubernetes 群集中容器中运行的进程检测到尝试创建新的 Linux 命名空间。 虽然此行为可能是合法的，但它可能表明攻击者尝试从容器转义到节点。 某些 CVE-2022-0185 漏洞会利用此方法。

MITRE 策略：PrivilegeEscalation

严重性：信息性

历史记录文件已被清除

(K8S.NODE_HistoryFileCleared) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到命令历史记录日志文件已被清除。 攻击者可能会执行此操作来覆盖其轨迹。 该操作已由指定用户帐户执行。

MITRE 策略：DefenseEvasion

严重性：中等

与 Kubernetes 关联的托管标识的异常活动（预览版）

(K8S_AbnormalMiActivity)

说明：Azure 资源管理器操作的分析检测到 AKS 加载项使用的托管标识异常行为。 检测到的活动与相关插件的行为不一致。 尽管此活动可能是合法的，但此类行为可能表明该标识是由攻击者授予的，且可能源自 Kubernetes 群集中某个遭到入侵的容器。

MITRE 策略：横向移动

严重性：中等

检测到异常的 Kubernetes 服务帐户操作

(K8S_ServiceAccountRareOperation)

说明：Kubernetes 审核日志分析检测到 Kubernetes 群集中的服务帐户异常行为。 服务帐户用于执行了对此服务帐户不常见的操作。 尽管此活动可能是合法的，但此类行为可能表明该服务帐户正用于恶意用途。

MITRE 策略：横向移动、凭据访问

严重性：中等

检测到异常连接尝试

(K8S.NODE_SuspectConnection) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到使用 socks 协议的不常见连接尝试。 这在正常操作中非常罕见，但对于尝试绕过网络层检测的攻击者而言，这是一种已知方法。

MITRE 策略：执行、外泄、利用

严重性：中等

检测到试图停止 apt-daily-upgrade.timer 服务

(K8S.NODE_TimerServiceDisabled) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到尝试停止 apt-daily-upgrade.timer 服务。 我们观察到攻击者会停止此服务，以下载恶意文件并授予执行特权以达到其攻击目的。 如果通过正常的管理操作更新该服务，也会出现此活动。

MITRE 策略：DefenseEvasion

严重性：信息性

检测到与常见的 Linux 机器人类似的行为(预览)

(K8S.NODE_CommonBot)

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到通常与常见 Linux 僵尸网络关联的进程执行。

MITRE 策略：执行、收集、命令和控制

严重性：中等

使用高特权在容器中运行的命令

(K8S.NODE_PrivilegedExecutionInContainer) ¹

说明：计算机日志指示特权命令在 Docker 容器中运行。 特权命令在主机上具有扩展特权。

MITRE 策略：PrivilegeEscalation

严重性：信息性

在特权模式下运行的容器

(K8S.NODE_PrivilegedContainerArtifacts) ¹

说明：分析在容器中或直接在 Kubernetes 节点上运行的进程，检测到运行特权容器的 Docker 命令的执行。 特权容器对托管 Pod 或主机资源具有完全访问权限。 如果遭到入侵，攻击者可能会使用特权容器来访问托管 Pod 或主机。

MITRE 策略：PrivilegeEscalation、Execution

严重性：信息性

检测到存在敏感卷装载活动的容器

(K8S_SensitiveMount)

说明：Kubernetes 审核日志分析检测到具有敏感卷装载的新容器。 检测到的卷属于 hostPath 类型，其会将敏感文件或者文件夹从节点装载到容器。 如果容器已遭入侵，则攻击者可以通过此装载活动获取对节点的访问权限。

MITRE 策略：特权升级

严重性：信息性

检测到 Kubernetes 中发生 CoreDNS 修改

（K8S_CoreDnsModification） ^{2 3}

说明：Kubernetes 审核日志分析检测到对 CoreDNS 配置的修改。 可以通过重写 CoreDNS 的 configmap 来修改其配置。 此活动可能是合法的，不过，如果攻击者有权修改 configmap，则他们可以更改群集 DNS 服务器的行为，并使其感染病毒。

MITRE 策略：横向移动

严重性：低

检测到创建了许可 webhook 配置

(K8S_AdmissionController) ³

说明：Kubernetes 审核日志分析检测到新的允许 Webhook 配置。 Kubernetes 有两个内置的通用许可控制器：MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook。 这些许可控制器的行为由用户部署到群集的许可 webhook 确定。 此类许可控制器的使用可能是合法的，但攻击者可以使用此类 webhook 来修改请求（使用 MutatingAdmissionWebhook 时）或检查请求并获取敏感信息（使用 ValidatingAdmissionWebhook 时）。

MITRE 策略：凭据访问、持久性

严重性：信息性

检测到来自已知恶意来源的文件下载

(K8S.NODE_SuspectDownload) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到从经常用于分发恶意软件的源下载文件。

MITRE 策略：PrivilegeEscalation、Execution、Exfiltration、Command and Control

严重性：中等

检测到可疑的文件下载

(K8S.NODE_SuspectDownloadArtifacts) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到远程文件的可疑下载。

MITRE 策略：持久性

严重性：信息性

检测到对 nohup 命令的可疑使用

(K8S.NODE_SuspectNohup) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到对 nohup 命令的可疑使用。 攻击者被发现使用 nohup 命令从临时目录运行隐藏文件，以允许其可执行文件在后台运行。 对临时目录中的隐藏文件运行此命令较为罕见。

MITRE 策略：持久性、防御评估

严重性：中等

检测到对 useradd 命令的可疑使用

(K8S.NODE_SuspectUserAddition) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到对 useradd 命令的可疑使用。

MITRE 策略：持久性

严重性：中等

检测到数字货币挖掘容器

(K8S_MaliciousContainerImage) ³

说明：Kubernetes 审核日志分析检测到具有与数字资产挖掘工具关联的映像的容器。

MITRE 策略：执行

严重性：高

检测到数字货币挖掘相关行为

(K8S.NODE_DigitalCurrencyMining) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到执行通常与数字资产挖掘关联的进程或命令。

MITRE 策略：执行

严重性：高

在 Kubernetes 节点上检测到 Docker 生成操作

(K8S.NODE_ImageBuildOnNode) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到 Kubernetes 节点上容器映像的生成操作。 此行为可能是合法的，不过，攻击者可能会在本地生成恶意映像以避开检测。

MITRE 策略：DefenseEvasion

严重性：信息性

检测到公开的 Kubeflow 仪表板

(K8S_ExposedKubeflow)

说明：Kubernetes 审核日志分析检测到运行 Kubeflow 的群集中的负载均衡器暴露了 Istio 入口。 此操作可能会向 Internet 公开 Kubeflow 仪表板。 如果向 Internet 公开了该仪表板，则攻击者可以访问该仪表板，并在群集上运行恶意容器或代码。 可在以下文章中找到更多详细信息： https://aka.ms/exposedkubeflow-blog

MITRE 策略：初始访问

严重性：中等

检测到公开的 Kubernetes 仪表板

(K8S_ExposedDashboard)

说明：Kubernetes 审核日志分析检测到 LoadBalancer 服务暴露了 Kubernetes 仪表板。 公开的仪表板允许对群集管理进行未经身份验证的访问，这会带来安全威胁。

MITRE 策略：初始访问

严重性：高

检测到公开的 Kubernetes 服务

(K8S_ExposedService)

说明：Kubernetes 审核日志分析检测到负载均衡器暴露服务。 此服务与一个敏感应用程序相关，该应用程序允许在群集中执行影响较大的操作，如在节点上运行进程或创建新的容器。 在某些情况下，此服务不需要身份验证。 如果该服务不需要身份验证，则向 Internet 公开该服务会带来安全风险。

MITRE 策略：初始访问

严重性：中等

检测到 AKS 中存在公开的 Redis 服务

(K8S_ExposedRedis)

说明：Kubernetes 审核日志分析检测到负载均衡器暴露了 Redis 服务。 如果该服务不需要身份验证，则向 Internet 公开该服务会带来安全风险。

MITRE 策略：初始访问

严重性：低

检测到与 DDOS 工具包关联的指标

(K8S.NODE_KnownLinuxDDoSToolkit) ¹

说明：分析在容器中或直接在 Kubernetes 节点上运行的进程，检测到与能够启动 DDoS 攻击、打开端口和服务以及完全控制受感染系统的恶意软件关联的工具包的文件名。 这也可能是合法活动。

MITRE 策略：持久性、横向移动、执行、利用

严重性：中等

检测到来自代理 IP 地址的 K8S API 请求

(K8S_TI_Proxy) ³

说明：Kubernetes 审核日志分析检测到从与代理服务（如 TOR）关联的 IP 地址向群集发出的 API 请求。 虽然这种行为可能是合法的，但经常出现在恶意活动中，不过攻击者会试图隐藏其源 IP。

MITRE 策略：执行

严重性：低

删除了 Kubernetes 事件

（K8S_DeleteEvents） ^{2 3}

说明：Defender for Cloud 检测到某些 Kubernetes 事件已删除。 Kubernetes 事件是 Kubernetes 中的对象，其中包含有关群集中发生的更改的信息。 攻击者可能会删除这些事件，以隐藏他们在群集中执行的操作。

MITRE 策略：防御逃避

严重性：低

检测到 Kubernetes 渗透测试工具

(K8S_PenTestToolsKubeHunter)

说明：Kubernetes 审核日志分析检测到 AKS 群集中 Kubernetes 渗透测试工具的使用情况。 此行为可能是合法的，不过，攻击者可能会出于恶意使用此类公用工具。

MITRE 策略：执行

严重性：低

Microsoft Defender for Cloud 测试警报（不是威胁）

(K8S.NODE_EICAR) ¹

说明：这是由 Microsoft Defender for Cloud 生成的测试警报。 无需执行其他操作。

MITRE 策略：执行

严重性：高

在 kube-system 命名空间中检测到新容器

(K8S_KubeSystemContainer) ³

说明：Kubernetes 审核日志分析检测到 kube-system 命名空间中的新容器，该容器不在通常在此命名空间中运行的容器中。 Kube-system 命名空间不应包含用户资源。 攻击者可以使用此命名空间来隐藏恶意组件。

MITRE 策略：持久性

严重性：信息性

检测到新的高特权角色

(K8S_HighPrivilegesRole) ³

说明：Kubernetes 审核日志分析检测到具有高特权的新角色。 绑定到高特权角色将为群集中的用户/组授予较高的特权。 不必要的特权可能导致群集中出现特权提升。

MITRE 策略：持久性

严重性：信息性

检测到可能存在攻击工具

(K8S.NODE_KnownLinuxAttackTool) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到可疑的工具调用。 此工具通常与恶意用户攻击其他计算机的行为关联。

MITRE 策略：执行、收集、命令和控制、探测

严重性：中等

检测到可能存在后门程序

(K8S.NODE_LinuxBackdoorArtifact) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到正在下载并运行可疑文件。 此活动之前与后门安装关联。

MITRE 策略：持久性、防御评估、执行、利用

严重性：中等

可能有人试图利用命令行

(K8S.NODE_ExploitAttempt) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到可能针对已知漏洞的利用尝试。

MITRE 策略：利用

严重性：中等

检测到可能存在凭据访问工具

(K8S.NODE_KnownLinuxCredentialAccessTool) ¹

说明：分析在容器中或直接在 Kubernetes 节点上运行的进程，检测到容器上运行了一个可能的已知凭据访问工具，由指定的进程和命令行历史记录项标识。 此工具通常与尝试访问凭据的攻击者关联。

MITRE 策略：CredentialAccess

严重性：中等

检测到潜在 Cryptocoinminer 下载

(K8S.NODE_CryptoCoinMinerDownload) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到下载通常与数字签名挖掘关联的文件。

MITRE 策略：DefenseEvasion、Command And Control、Exploitation

严重性：中等

检测到可能的日志篡改活动

(K8S.NODE_SystemLogRemoval) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到在操作过程中跟踪用户活动的文件可能删除。 攻击者通常会通过删除此类日志文件来避开检测以及清除恶意活动的痕迹。

MITRE 策略：DefenseEvasion

严重性：中等

检测到可能有人使用 crypt 方法更改密码

(K8S.NODE_SuspectPasswordChange) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，已使用 crypt 方法检测到密码更改。 攻击者可能会为了继续访问并在入侵后实现持久性而进行此更改。

MITRE 策略：CredentialAccess

严重性：中等

对外部 IP 地址的潜在端口转发活动

(K8S.NODE_SuspectPortForwarding) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到端口转发到外部 IP 地址的启动。

MITRE 策略：外泄、命令和控制

严重性：中等

检测到潜在的反向 shell

(K8S.NODE_ReverseShell) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到潜在的反向 shell。 它们用于让遭到入侵的计算机回调到攻击者拥有的计算机中。

MITRE 策略：外泄、剥削

严重性：中等

检测到特权容器

(K8S_PrivilegedContainer)

说明：Kubernetes 审核日志分析检测到新的特权容器。 特权容器可以访问节点的资源，并打破容器之间的隔离。 如果遭到入侵，攻击者可以使用特权容器获取对节点的访问权限。

MITRE 策略：特权升级

严重性：信息性

检测到与数字货币挖掘关联的进程

(K8S.NODE_CryptoCoinMinerArtifacts) ¹

说明：分析容器中运行的进程检测到执行通常与数字签名挖掘关联的进程。

MITRE 策略：执行、利用

严重性：中等

检测到进程以异常方式访问 SSH 授权密钥文件

(K8S.NODE_SshKeyAccess) ¹

说明：在类似于已知恶意软件活动的方法中访问了 SSH authorized_keys 文件。 此访问可能指示行动者正在尝试获取对计算机的持久访问权限。

MITRE 策略：未知

严重性：信息性

检测到对群集管理员角色的角色绑定

(K8S_ClusterAdminBinding)

说明：Kubernetes 审核日志分析检测到对群集管理员角色的新绑定，该角色提供管理员权限。 不必要的管理员特权可能导致群集中出现特权提升。

MITRE 策略：持久性

严重性：信息性

检测到与安全性相关的进程终止

(K8S.NODE_SuspectProcessTermination) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到尝试终止与容器上的安全监视相关的进程。 攻击者通常会在入侵后尝试使用预定义的脚本来终止此类进程。

MITRE 策略：持久性

严重性：低

SSH 服务器在容器中运行

(K8S.NODE_ContainerSSH) ¹

说明：分析容器中运行的进程检测到容器中运行的 SSH 服务器。

MITRE 策略：执行

严重性：信息性

可疑的文件时间戳修改操作

(K8S.NODE_TimestampTampering) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到可疑的时间戳修改。 攻击者通常将时间戳从现有的合法文件复制到新工具，以绕开对这些新放置的文件的检测。

MITRE 策略：持久性、防御评估

严重性：低

对 Kubernetes API 的可疑请求

(K8S.NODE_KubernetesAPI) ¹

说明：分析容器中运行的进程表示对 Kubernetes API 发出了可疑请求。 请求从群集中的容器发送。 虽然此行为可能是故意的，但它可能指示群集中运行的某个容器遭到入侵。

MITRE 策略：横向移动

严重性：中等

对 Kubernetes 仪表板的可疑请求

(K8S.NODE_KubernetesDashboard) ¹

说明：分析容器中运行的进程表示对 Kubernetes 仪表板发出了可疑请求。 请求从群集中的容器发送。 虽然此行为可能是故意的，但它可能指示群集中运行的某个容器遭到入侵。

MITRE 策略：横向移动

严重性：中等

可能启动了加密硬币挖矿机

(K8S.NODE_CryptoCoinMinerExecution) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到以通常与数字资产挖掘关联的方式启动进程。

MITRE 策略：执行

严重性：中等

可疑的密码访问

(K8S.NODE_SuspectPasswordFileAccess) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到可疑尝试访问加密的用户密码。

MITRE 策略：持久性

严重性：信息性

检测到可能存在恶意的 Web shell

(K8S.NODE_Webshell) ¹

说明：分析容器中运行的进程检测到可能的 Web shell。 攻击者通常会将 Web shell 上传到他们已入侵的计算资源以实现持久性，或进一步加以利用。

MITRE 策略：持久性、开发

严重性：中等

突发的多个侦查命令可能指示入侵后的初始活动

(K8S.NODE_ReconnaissanceArtifactsBurst) ¹

说明：分析主机/设备数据，检测到执行与收集系统或攻击者在初始入侵后执行的主机/设备详细信息相关的多个侦察命令。

MITRE 策略：发现、集合

严重性：低

可疑的下载，然后是“运行”活动

(K8S.NODE_DownloadAndRunCombo) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到正在下载的文件，然后在同一命令中运行。 虽然这并不总是恶意的，但这是攻击者用来将恶意文件获取到受害者计算机上的一种非常常见的技术。

MITRE 策略：执行、CommandAndControl、攻击

严重性：中等

检测到对 kubelet kubeconfig 文件的访问

(K8S.NODE_KubeConfigAccess) ¹

说明：分析 Kubernetes 群集节点上运行的进程检测到对主机上 kubeconfig 文件的访问权限。 kubeconfig 文件（通常由 Kubelet 进程使用）包含 Kubernetes 群集 API 服务器的凭据。 对此文件的访问通常与攻击者尝试访问这些凭据相关联，或者与安全扫描工具相关联，这些工具会检查该文件是否可访问。

MITRE 策略：CredentialAccess

严重性：中等

检测到对云元数据服务的访问

(K8S.NODE_ImdsCall) ¹

说明：分析容器中运行的进程，检测到访问云元数据服务以获取标识令牌。 容器通常不执行此类操作。 虽然此行为可能是合法的，但攻击者可能会在获得对正在运行的容器的初始访问权限后使用此方法访问云资源。

MITRE 策略：CredentialAccess

严重性：中等

检测到 MITRE Caldera 代理

(K8S.NODE_MitreCalderaTools) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到可疑进程。 这通常与 MITRE 54ndc47 代理相关联，该代理可用于恶意攻击其他计算机。

MITRE 策略：持久性、PrivilegeEscalation、DefenseEvasion、CredentialAccess、Discovery、LateralMovement、Execution、Collection、Exfiltration、Command And Control、Probing、Exploitation

严重性：中等

¹：非 AKS 群集预览：此警报已正式提供给 AKS 群集，但对于其他环境（如 Azure Arc、EKS 和 GKE）为预览版。

²：GKE 群集的限制：GKE 使用了并非支持所有警报类型的 Kuberenetes 审核策略。 因此，GKE 群集不支持基于 Kubernetes 审核事件的此安全警报。

³：Windows 节点/容器支持此警报。

注意

对于处于预览状态的警报：Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

后续步骤

• Microsoft Defender for Cloud 中的安全警报
• 在 Microsoft Defender for Cloud 中管理和响应安全警报
• 连续导出 Defender for Cloud 数据