容器的警示 - Kubernetes 叢集

本文列出您可以從 適用於雲端的 Microsoft Defender 取得容器和 Kubernetes 叢集的安全性警示，以及您啟用的任何Microsoft Defender 方案。 您環境中顯示的警示取決於您要保護的資源和服務，以及您的自定義組態。

注意

Microsoft Defender 威脅情報 和 適用於端點的 Microsoft Defender 提供電源的一些最近新增的警示可能未記載。

瞭解如何回應這些警示。

瞭解如何匯出警示。

注意

來自不同來源的警示可能需要不同時間才會出現。 例如，需要分析網路流量的警示，可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。

容器和 Kubernetes 叢集的警示

Microsoft適用於容器的 Defender 藉由監視控制平面（API 伺服器）和容器化工作負載本身，在叢集層級和基礎叢集節點上提供安全性警示。 控制平面安全性警示可由警示類型的前置詞 K8S_ 辨識。 叢集中的執行階段工作負載安全性警示可以透過警示類型的 K8S.NODE_ 首碼來辨識。 除非另有指示，否則Linux僅支援所有警示。

進一步的詳細數據和附註

已偵測到 Kubernetes 中具有信任驗證設定的公開 Postgres 服務 （預覽）

（K8S_ExposedPostgresTrustAuth）

描述：Kubernetes 叢集組態分析偵測到負載平衡器暴露 Postgres 服務。 服務會設定為信任驗證方法，而不需要認證。

MITRE 策略：InitialAccess

嚴重性：中

在偵測到 Kubernetes 中具有風險設定的公開 Postgres 服務 （預覽）

（K8S_ExposedPostgresBroadIPRange）

描述：Kubernetes 叢集組態分析偵測到具有風險設定的負載平衡器暴露 Postgres 服務。 將服務公開給各種IP位址會造成安全性風險。

MITRE 策略：InitialAccess

嚴重性：中

嘗試從偵測到的容器建立新的Linux命名空間

（K8S.NODE_NamespaceCreation） ¹

描述：分析 Kubernetes 叢集中容器內執行的進程，偵測到嘗試建立新的 Linux 命名空間。 雖然此行為可能是合法的，但可能表示攻擊者嘗試從容器逸出至節點。 某些 CVE-2022-0185 惡意探索會使用這項技術。

MITRE 策略:P rivilegeEscalation

嚴重性：資訊

已清除歷程記錄檔

（K8S.NODE_HistoryFileCleared） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到已清除命令歷程記錄檔。 攻擊者可能會這麼做來涵蓋其追蹤。 作業是由指定的用戶帳戶所執行。

MITRE 策略:D efenseEvasion

嚴重性：中

與 Kubernetes 相關聯的受控識別異常活動 （預覽）

（K8S_AbnormalMiActivity）

描述：分析 Azure Resource Manager 作業時，偵測到 AKS 附加元件所使用的受控識別異常行為。 偵測到的活動與相關聯附加元件的行為不一致。 雖然此活動可能是合法的，但這類行為可能表示攻擊者已取得身分識別，可能來自 Kubernetes 叢集中遭入侵的容器。

MITRE 策略：橫向移動

嚴重性：中

偵測到異常 Kubernetes 服務帳戶作業

（K8S_ServiceAccountRareOperation）

描述：Kubernetes 稽核記錄分析偵測到 Kubernetes 叢集中的服務帳戶異常行為。 服務帳戶用於作業，此服務帳戶並不常見。 雖然此活動可能是合法的，但這類行為可能表示服務帳戶正用於惡意用途。

MITRE 策略：橫向移動、認證存取

嚴重性：中

偵測到不常見的連線嘗試

（K8S.NODE_SuspectConnection） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到使用 Socks 通訊協定的常見連線嘗試。 這在正常作業中非常罕見，但攻擊者嘗試略過網路層偵測的已知技術。

MITRE 策略：執行、外泄、惡意探索

嚴重性：中

嘗試停止偵測到 apt-daily-upgrade.timer 服務

（K8S.NODE_TimerServiceDisabled） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到嘗試停止apt-daily-upgrade.timer 服務。 攻擊者已觀察到停止此服務以下載惡意檔案，並授與其攻擊的執行許可權。 如果服務透過一般系統管理動作更新，也可能會發生此活動。

MITRE 策略:D efenseEvasion

嚴重性：資訊

偵測到的類似常見 Linux Bot 的行為 （預覽）

（K8S.NODE_CommonBot）

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到通常與一般 Linux BotNet 相關聯的進程執行。

MITRE 策略：執行、集合、命令和控制

嚴重性：中

在具有高許可權執行的容器內命令

（K8S.NODE_PrivilegedExecutionInContainer） ¹

描述：計算機記錄指出已在 Docker 容器中執行特殊許可權命令。 特殊許可權命令在主計算機上具有擴充許可權。

MITRE 策略:P rivilegeEscalation

嚴重性：資訊

以特殊許可權模式執行的容器

（K8S.NODE_PrivilegedContainerArtifacts） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到執行特殊許可權容器的 Docker 命令的執行。 特殊許可權容器具有裝載 Pod 或主機資源的完整存取權。 如果遭到入侵，攻擊者可能會使用具特殊許可權的容器來取得主控 Pod 或主機的存取權。

MITRE 策略:P rivilegeEscalation、Execution

嚴重性：資訊

偵測到具有敏感性磁碟區掛接的容器

（K8S_SensitiveMount）

描述：Kubernetes 稽核記錄分析偵測到具有敏感性磁碟區掛接的新容器。 偵測到的磁碟區是hostPath類型，會將敏感性檔案或資料夾從節點掛接至容器。 如果容器遭到入侵，攻擊者可以使用此掛接來取得節點的存取權。

MITRE 策略：許可權提升

嚴重性：資訊

偵測到 Kubernetes 中的 CoreDNS 修改

（K8S_CoreDnsModification） ^{2 3}

描述：Kubernetes 稽核記錄分析偵測到 CoreDNS 設定的修改。 您可以覆寫 CoreDNS 的組態，藉由覆寫其 configmap 來修改。 雖然此活動可能是合法的，但如果攻擊者具有修改 configmap 的許可權，他們可以變更叢集 DNS 伺服器的行為並有害。

MITRE 策略：橫向移動

嚴重性：低

偵測到許可 Webhook 組態的建立

（K8S_AdmissionController） ³

描述：Kubernetes 稽核記錄分析偵測到新的許可 Webhook 組態。 Kubernetes 有兩個內建的泛型許可控制器：MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook。 這些許可控制器的行為取決於使用者部署至叢集的許可 Webhook。 這類許可控制器的使用可能是合法的，不過攻擊者可以使用這類 Webhook 來修改要求（如果是 MutatingAdmissionWebhook），或檢查要求並取得敏感性資訊（如果是 ValidatingAdmissionWebhook）。

MITRE 策略：認證存取、持續性

嚴重性：資訊

偵測到從已知惡意來源下載的檔案

（K8S.NODE_SuspectDownload） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到經常用來散發惡意代碼的來源下載檔案。

MITRE 策略:P rivilegeEscalation、Execution、Exfiltration、Command And Control

嚴重性：中

偵測到可疑的檔案下載

（K8S.NODE_SuspectDownloadArtifacts） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到遠端檔案的可疑下載。

MITRE 策略：持續性

嚴重性：資訊

偵測到可疑使用 nohup 命令

（K8S.NODE_SuspectNohup） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到可疑使用 nohup 命令。 攻擊者已看到使用命令 nohup 從暫存目錄執行隱藏的檔案，以允許其可執行檔在背景中執行。 在暫存目錄中的隱藏檔案上執行此命令很少見。

MITRE 策略：持續性、防禦評估

嚴重性：中

偵測到可疑使用useradd命令

（K8S.NODE_SuspectUserAddition） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到可疑使用 useradd 命令。

MITRE 策略：持續性

嚴重性：中

偵測到數位貨幣採礦容器

（K8S_MaliciousContainerImage） ³

描述：Kubernetes 稽核記錄分析偵測到具有與數位資產採礦工具相關聯之映像的容器。

MITRE 策略：執行

嚴重性：高

偵測到的數位資產採礦相關行為

（K8S.NODE_DigitalCurrencyMining） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到執行通常與數位資產採礦相關聯的進程或命令。

MITRE 策略：執行

嚴重性：高

在 Kubernetes 節點上偵測到的 Docker 建置作業

（K8S.NODE_ImageBuildOnNode） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到 Kubernetes 節點上容器映射的建置作業。 雖然此行為可能是合法的，但攻擊者可能會在本機建置其惡意映射，以避免偵測。

MITRE 策略:D efenseEvasion

嚴重性：資訊

偵測到公開的 Kubeflow 儀錶板

（K8S_ExposedKubeflow）

描述：Kubernetes 稽核記錄分析偵測到執行 Kubeflow 之叢集中的負載平衡器暴露 Istio 輸入。 此動作可能會向因特網公開 Kubeflow 儀錶板。 如果儀錶板暴露在因特網上，攻擊者就可以存取它，並在叢集上執行惡意容器或程序代碼。 在下列文章中尋找更多詳細資料： https://www.microsoft.com/en-us/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/

MITRE 策略：初始存取

嚴重性：中

偵測到公開的 Kubernetes 儀錶板

（K8S_ExposedDashboard）

描述：Kubernetes 稽核記錄分析偵測到 LoadBalancer 服務暴露 Kubernetes 儀錶板。 公開的儀表板會允許未經授權的叢集管理存取，並造成安全性威脅。

MITRE 策略：初始存取

嚴重性：高

偵測到公開的 Kubernetes 服務

（K8S_ExposedService）

描述：Kubernetes 稽核記錄分析偵測到負載平衡器暴露服務。 此服務與敏感性應用程式相關，可讓叢集中的高影響作業，例如在節點上執行進程或建立新的容器。 在某些情況下，此服務不需要驗證。 如果服務不需要驗證，將它公開給因特網會造成安全性風險。

MITRE 策略：初始存取

嚴重性：中

偵測到 AKS 中公開的 Redis 服務

（K8S_ExposedRedis）

描述：Kubernetes 稽核記錄分析偵測到負載平衡器暴露 Redis 服務。 如果服務不需要驗證，將它公開給因特網會造成安全性風險。

MITRE 策略：初始存取

嚴重性：低

偵測到與 DDOS 工具組相關聯的指標

（K8S.NODE_KnownLinuxDDoSToolkit） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程、偵測到與惡意代碼相關聯的檔名，能夠啟動 DDoS 攻擊、開啟埠和服務，以及完全控制受感染的系統。 這也可能是合法的活動。

MITRE 策略：持續性、橫向移動、執行、惡意探索

嚴重性：中

偵測到來自 Proxy IP 位址的 K8S API 要求

（K8S_TI_Proxy） ³

描述：Kubernetes 稽核記錄分析從與 Proxy 服務相關聯的 IP 位址偵測到叢集的 API 要求，例如 TOR。 雖然此行為可能是合法的，但攻擊者嘗試隱藏其來源IP時，通常會在惡意活動中看到此行為。

MITRE 策略：執行

嚴重性：低

已刪除 Kubernetes 事件

（K8S_DeleteEvents） ^{2 3}

描述：適用於雲端的 Defender 偵測到某些 Kubernetes 事件已刪除。 Kubernetes 事件是 Kubernetes 中的物件，其中包含叢集中變更的相關信息。 攻擊者可能會刪除這些事件，以隱藏其在叢集中的作業。

MITRE 戰術：防禦逃避

嚴重性：低

偵測到 Kubernetes 滲透測試工具

（K8S_PenTestToolsKubeHunter）

描述：Kubernetes 稽核記錄分析偵測到 AKS 叢集中 Kubernetes 滲透測試工具的使用狀況。 雖然此行為可能是合法的，但攻擊者可能會針對惡意目的使用這類公用工具。

MITRE 策略：執行

嚴重性：低

適用於雲端的 Microsoft Defender 測試警示 （不是威脅）

（K8S.NODE_EICAR） ¹

描述：這是 適用於雲端的 Microsoft Defender 所產生的測試警示。 無須進行任何進一步的動作。

MITRE 策略：執行

嚴重性：高

偵測到 kube-system 命名空間中的新容器

（K8S_KubeSystemContainer） ³

描述：Kubernetes 稽核記錄分析偵測到 kube-system 命名空間中的新容器，該容器不在通常在此命名空間中執行的容器中。 kube 系統命名空間不應該包含用戶資源。 攻擊者可以使用此命名空間來隱藏惡意元件。

MITRE 策略：持續性

嚴重性：資訊

偵測到新的高許可權角色

（K8S_HighPrivilegesRole） ³

描述：Kubernetes 稽核記錄分析偵測到具有高許可權的新角色。 具有高許可權之角色的系結可提供叢集中的使用者\群組高許可權。 不必要的許可權可能會導致叢集中的許可權提升。

MITRE 策略：持續性

嚴重性：資訊

偵測到可能的攻擊工具

（K8S.NODE_KnownLinuxAttackTool） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到可疑的工具調用。 此工具通常與攻擊其他人的惡意使用者相關聯。

MITRE 策略：執行、集合、命令和控制、探查

嚴重性：中

偵測到可能的後門

（K8S.NODE_LinuxBackdoorArtifact） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到正在下載並執行可疑的檔案。 此活動先前已與安裝後門相關聯。

MITRE 策略：持續性、防禦評估、執行、惡意探索

嚴重性：中

可能的命令行惡意探索嘗試

（K8S.NODE_ExploitAttempt） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到針對已知弱點的可能惡意探索嘗試。

MITRE 策略：惡意探索

嚴重性：中

偵測到可能的認證存取工具

（K8S.NODE_KnownLinuxCredentialAccessTool） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到容器上可能執行的已知認證存取工具，如指定的進程和命令行歷程記錄專案所識別。 此工具通常與攻擊者嘗試存取認證相關聯。

MITRE 策略：CredentialAccess

嚴重性：中

偵測到可能的 Cryptocrminer 下載

（K8S.NODE_CryptoCoinMinerDownload） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到通常與數位資產採礦相關聯的檔案下載。

MITRE 策略:D efenseEvasion、Command And Control、Exploitation

嚴重性：中

偵測到可能的記錄竄改活動

（K8S.NODE_SystemLogRemoval） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到在作業過程中追蹤用戶活動之檔案的可能移除。 攻擊者通常會嘗試逃避偵測，並藉由刪除這類記錄檔來留下惡意活動的追蹤。

MITRE 策略:D efenseEvasion

嚴重性：中

偵測到使用 crypt-method 偵測到的可能密碼變更

（K8S.NODE_SuspectPasswordChange） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，已使用 crypt 方法偵測到密碼變更。 攻擊者可以進行這項變更，以在入侵後繼續存取並取得持續性。

MITRE 策略：CredentialAccess

嚴重性：中

潛在的埠轉送至外部IP位址

（K8S.NODE_SuspectPortForwarding） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到埠轉送至外部 IP 位址的起始。

MITRE 策略：外泄、命令和控制

嚴重性：中

偵測到潛在的反向殼層

（K8S.NODE_ReverseShell） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到潛在的反向殼層。 這些是用來取得遭入侵的計算機，以呼叫攻擊者擁有的計算機。

MITRE 策略：外泄、惡意探索

嚴重性：中

偵測到特殊許可權容器

（K8S_PrivilegedContainer）

描述：Kubernetes 稽核記錄分析偵測到新的特殊許可權容器。 具特殊許可權的容器可以存取節點的資源，並中斷容器之間的隔離。 如果遭到入侵，攻擊者可以使用具特殊許可權的容器來取得節點的存取權。

MITRE 策略：許可權提升

嚴重性：資訊

偵測到與數位簽名採礦相關聯的程式

（K8S.NODE_CryptoCoinMinerArtifacts） ¹

描述：分析容器內執行的進程偵測到通常與數位資產採礦相關聯的進程執行。

MITRE 策略：執行、惡意探索

嚴重性：中

以不尋常的方式存取 SSH 授權金鑰檔案的程式

（K8S.NODE_SshKeyAccess） ¹

描述：SSH authorized_keys檔案是在類似已知惡意代碼營銷活動的方法中存取的。 此存取可能表示動作項目嘗試取得機器的持續存取權。

MITRE 策略：未知

嚴重性：資訊

偵測到叢集管理員角色的角色系結

（K8S_ClusterAdminBinding）

描述：Kubernetes 稽核記錄分析偵測到叢集管理員角色的新系結，可提供系統管理員許可權。 不必要的系統管理員許可權可能會導致叢集中的許可權提升。

MITRE 策略：持續性、PrivilegeEscalation

嚴重性：資訊

偵測到安全性相關進程終止

（K8S.NODE_SuspectProcessTermination） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到嘗試終止與容器上安全性監視相關的進程。 攻擊者通常會嘗試使用預先定義的腳本在入侵后終止這類程式。

MITRE 策略：持續性

嚴重性：低

SSH 伺服器正在容器內執行

（K8S.NODE_ContainerSSH） ¹

描述：分析容器內執行的進程偵測到容器內執行的 SSH 伺服器。

MITRE 策略：執行

嚴重性：資訊

可疑的檔案時間戳修改

（K8S.NODE_TimestampTampering） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到可疑的時間戳修改。 攻擊者通常會將時間戳從現有的合法檔案複製到新的工具，以避免偵測這些新卸除的檔案。

MITRE 策略：持續性、防禦評估

嚴重性：低

Kubernetes API 的可疑要求

（K8S.NODE_KubernetesAPI） ¹

描述：分析容器內執行的進程表示已對 Kubernetes API 提出可疑要求。 要求是從叢集中的容器傳送。 雖然此行為可能是刻意的，但它可能表示遭入侵的容器正在叢集中執行。

MITRE 策略：LateralMovement

嚴重性：中

Kubernetes 儀錶板的可疑要求

（K8S.NODE_KubernetesDashboard） ¹

描述：分析容器內執行的進程表示已對 Kubernetes 儀錶板提出可疑要求。 要求是從叢集中的容器傳送。 雖然此行為可能是刻意的，但它可能表示遭入侵的容器正在叢集中執行。

MITRE 策略：LateralMovement

嚴重性：中

潛在的加密硬幣礦工開始

（K8S.NODE_CryptoCoinMinerExecution） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到進程是以通常與貨幣採礦相關聯的方式啟動。

MITRE 策略：執行

嚴重性：中

可疑的密碼存取

（K8S.NODE_SuspectPasswordFileAccess） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到可疑嘗試存取加密的用戶密碼。

MITRE 策略：持續性

嚴重性：資訊

偵測到可能的惡意 Web 殼層

（K8S.NODE_Webshell） ¹

描述：分析容器內執行的進程偵測到可能的 Web 殼層。 攻擊者通常會將 Web 殼層上傳至他們遭入侵的計算資源，以取得持續性或進一步惡意探索。

MITRE 策略：持續性、惡意探索

嚴重性：中

多個偵察命令的暴增可能表示入侵后的初始活動

（K8S.NODE_ReconnaissanceArtifactsBurst） ¹

描述：分析主機/裝置數據時，偵測到執行與收集系統或攻擊者在初始入侵後所執行之主機詳細數據相關的多個偵察命令。

MITRE 策略：探索、集合

嚴重性：低

可疑下載然後執行活動

（K8S.NODE_DownloadAndRunCombo） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到正在下載的檔案，然後在相同的命令中執行。 雖然這不一定是惡意的，但這是攻擊者用來將惡意檔案擷取至受害者機器的常見技術。

MITRE 策略：執行、CommandAndControl、惡意探索

嚴重性：中

偵測到 kubelet kubeconfig 檔案的存取權

（K8S.NODE_KubeConfigAccess） ¹

描述：分析在 Kubernetes 叢集節點上執行的進程偵測到主機上 kubeconfig 檔案的存取權。 Kubelet 程式通常使用的 kubeconfig 檔案包含 Kubernetes 叢集 API 伺服器的認證。 此檔案的存取通常與嘗試存取這些認證或安全性掃描工具相關聯，以檢查檔案是否可存取。

MITRE 策略：CredentialAccess

嚴重性：中

偵測到雲端元數據服務的存取權

（K8S.NODE_ImdsCall） ¹

描述：分析在容器內執行的進程，偵測到存取雲端元數據服務以取得身分識別令牌。 容器通常不會執行這類作業。 雖然此行為可能是合法的，但攻擊者可能會在取得執行中容器的初始存取權之後，使用這項技術來存取雲端資源。

MITRE 策略：CredentialAccess

嚴重性：中

偵測到 MITRE Caldera 代理程式

（K8S.NODE_MitreCalderaTools） ¹

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到可疑的進程。 這通常與 MITRE 54ndc47 代理程式相關聯，此代理程式可能會惡意地用來攻擊其他電腦。

MITRE 策略：持續性、PrivilegeEscalation、DefenseEvasion、CredentialAccess、Discovery、LateralMovement、Execution、Collection、Exfiltration、Command And Control、Probing、Exploitation

嚴重性：中

¹： 非 AKS 叢集的預覽：AKS 叢集已正式推出此警示，但適用於其他環境，例如 Azure Arc、EKS 和 GKE。

²： GKE 叢集的限制：GKE 會使用不支援所有警示類型的 Kubernetes 審核策略。 因此，GKE 叢集不支援此以 Kubernetes 稽核事件為基礎的安全性警示。

³：Windows 節點/容器支援此警示。

注意

針對處於預覽狀態的警示： Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。

下一步

• 適用於雲端的 Microsoft Defender 中的安全性警示
• 管理及回應適用於雲端的 Microsoft Defender 中的安全性警示
• 持續匯出適用於雲端的 Defender 資料