Avvisi per i cluster Kubernetes
Defender per contenitori offre funzionalità di avviso avanzate per le minacce al piano di controllo Kubernetes e al runtime del carico di lavoro. Microsoft Defender per endpoint (MDE) e Microsoft Defender Threat Intelligence rilevano anche le minacce rilevanti per i contenitori Kubernetes e combinate con il sensore Defender, offrono un contesto arricchito per avvisi completi e interattivi per proteggere l'ambiente Kubernetes.
Rilevamento del piano di controllo
In Kubernetes il piano di controllo gestisce e orchestra tutte le risorse all'interno del cluster. Defender per contenitori identifica le potenziali minacce nel piano di controllo che possono compromettere la sicurezza e l'integrità dell'intero cluster monitorando le attività del server API Kubernetes. Gli eventi critici vengono acquisiti che indicano potenziali minacce alla sicurezza, ad esempio operazioni sospette da parte di account del servizio o esposizione dei servizi.
Esempi di operazioni sospette acquisite da Defender per contenitori includono:
- Le distribuzioni di contenitori con privilegi possono essere un rischio per la sicurezza perché concedono ai contenitori privilegi elevati all'interno del sistema host. I contenitori con privilegi vengono monitorati per distribuzioni non autorizzate, un uso eccessivo dei privilegi e potenziali errori di configurazione che potrebbero causare violazioni della sicurezza.
- Le esposizione a rischio del servizio a Internet pubblico possono esporre il cluster Kubernetes a potenziali attacchi. Il cluster viene monitorato per i servizi non intenzionalmente esposti, configurati in modo errato con controlli di accesso eccessivamente permissivi o senza misure di sicurezza appropriate.
- Le attività degli account del servizio sospette possono indicare un accesso non autorizzato o un comportamento dannoso all'interno del cluster. Il cluster viene monitorato per modelli insoliti, ad esempio richieste di risorse eccessive, chiamate API non autorizzate o accesso ai dati sensibili.
Rilevamento del runtime del carico di lavoro
Defender per contenitori usa il sensore Defender per monitorare l'attività di runtime del carico di lavoro Kubernetes per rilevare operazioni sospette, inclusi gli eventi di creazione del processo del carico di lavoro.
Esempi di attività di runtime del carico di lavoro sospette includono:
- Attività della shell Web: Defender per contenitori monitora l'attività nei contenitori in esecuzione per identificare comportamenti simili alle chiamate della shell Web.
- Attività di crypto mining: Defender per contenitori usa diverse euristiche per identificare l'attività di crypto mining nei contenitori in esecuzione, tra cui attività di download sospette, ottimizzazione della CPU, esecuzione di processi sospetti e altro ancora.
- Strumenti di analisi di rete: Defender per contenitori identifica l'uso degli strumenti di analisi usati per attività dannose.
- Rilevamento della deriva binaria: Defender per il cloud identifica l'esecuzione di file binari del carico di lavoro che hanno derivato dall'immagine del contenitore originale. Per altre informazioni, vedere Rilevamento deriva binaria.
Strumento di simulazione degli avvisi kubernetes
Defender per contenitori offre uno strumento per simulare vari scenari di attacco all'interno dell'ambiente Kubernetes, causando la generazione di avvisi. Lo strumento di simulazione distribuisce due pod in un cluster di destinazione: utente malintenzionato e vittima. Durante la simulazione, l'utente malintenzionato "attacca" la vittima usando tecniche reali.
Nota
Anche se lo strumento di simulazione non esegue componenti dannosi, è consigliabile eseguirlo in un cluster dedicato senza carichi di lavoro di produzione.
Lo strumento di simulazione viene eseguito usando un'interfaccia della riga di comando basata su Python che distribuisce i grafici Helm nel cluster di destinazione.
Installare lo strumento di simulazione
Prerequisiti:
Un utente con autorizzazioni di amministratore nel cluster di destinazione.
Defender per contenitori è abilitato e viene installato anche il sensore Defender. È possibile verificare che il sensore di Defender sia installato eseguendo:
kubectl get ds microsoft-defender-collector-ds -n kube-system
Un client Helm viene installato nel computer locale.
Python versione 3.7 o successiva è installato nel computer locale.
Puntare
kubeconfig
al cluster di destinazione. Per servizio Azure Kubernetes, è possibile eseguire:az aks get-credentials --name [cluster-name] --resource-group [resource-group]
Scaricare lo strumento di simulazione con il comando seguente:
curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py
Eseguire lo strumento di simulazione
Eseguire lo script di simulazione con il comando seguente:
python simulation.py
Scegliere uno scenario di attacco simulato o scegliere di simulare tutti gli scenari di attacco contemporaneamente. Gli scenari di attacco simulati disponibili sono:
Scenario | Avvisi previsti |
---|---|
Ricognizione | Rilevata possibile attività di Web Shell Rilevata operazione sospetta dell'account del servizio Kubernetes Rilevato strumento di analisi di rete |
Spostamento laterale | Rilevata possibile attività di Web Shell È stato rilevato l'accesso al servizio metadati cloud |
Raccolta di segreti | Rilevata possibile attività di Web Shell Rilevato accesso ai file sensibili Rilevata possibile ricognizione segreta |
Crypto mining | Rilevata possibile attività di Web Shell È stata rilevata l'ottimizzazione della CPU Kubernetes Comando all'interno di un contenitore a cui si accede ld.so.preload Rilevato possibile download dei minatori di crittografia Rilevato binario di deriva in esecuzione nel contenitore |
Shell Web | Rilevata possibile attività di Web Shell |
Nota
Mentre alcuni avvisi vengono attivati quasi in tempo reale, altri potrebbero richiedere fino a un'ora.