Alertas para contêineres – clusters do Kubernetes

Este artigo lista os alertas de segurança que você pode receber para contêineres e clusters do Kubernetes do Microsoft Defender para Nuvem e todos os planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.

Saiba como responder a esses alertas.

Saiba como exportar alertas.

Alertas para contêineres e clusters do Kubernetes

O Microsoft Defender para Contêineres fornece alertas de segurança no nível do cluster e nos nós de cluster subjacentes monitorando o plano de controle (servidor de API) e a própria carga de trabalho em contêineres. Os alertas de segurança do plano de controle podem ser reconhecidos por um prefixo de K8S_ do tipo de alerta. Alertas de segurança para carga de trabalho de runtime nos clusters podem ser reconhecidos pelo prefixo K8S.NODE_ do tipo de alerta. Todos os alertas têm suporte apenas no Linux, a menos que indicado de outra forma.

Mais detalhes e observações

Serviço Postgres exposto com configuração de autenticação de confiança no Kubernetes detectada (versão prévia)

(K8S_ExposedPostgresTrustAuth)

Descrição: a análise de configuração de cluster do Kubernetes detectou a exposição de um serviço Postgres por um balanceador de carga. O serviço está configurado com o método de autenticação de confiança, que não requer credenciais.

Táticas MITRE: InitialAccess

Gravidade: Média

Serviço Postgres exposto com configuração arriscada no Kubernetes detectada (versão prévia)

(K8S_ExposedPostgresBroadIPRange)

Descrição: a análise de configuração de cluster do Kubernetes detectou a exposição de um serviço Postgres por um balanceador de carga com uma configuração arriscada. A exposição do serviço a uma ampla variedade de endereços IP representa um risco à segurança.

Táticas MITRE: InitialAccess

Gravidade: Média

Tentativa de criar um novo namespace do Linux em um contêiner detectado

(K8S.NODE_NamespaceCreation) ¹

Descrição: a análise de processos em execução em um contêiner no cluster do Kubernetes detectou uma tentativa de criar um novo namespace do Linux. Embora esse comportamento possa ser legítimo, pode indicar que um invasor está tentando escapar do contêiner para o nó. Algumas explorações CVE-2022-0185 usam essa técnica.

Táticas MITRE: PrivilegeEscalation

Gravidade: Informativo

Um arquivo de histórico foi limpo

(K8S.NODE_HistoryFileCleared) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou que o arquivo de log do histórico de comandos foi limpo. Os invasores podem fazer isso para cobrir seus rastros. A operação foi executada pela conta de usuário especificada.

Táticas MITRE: DefenseEvasion

Gravidade: Média

Atividade anormal da identidade gerenciada associada ao Kubernetes (versão prévia)

(K8S_AbnormalMiActivity)

Descrição: a análise das operações do Azure Resource Manager detectou um comportamento anormal de uma identidade gerenciada usada por um complemento do AKS. A atividade detectada não é consistente com o comportamento do complemento associado. Embora essa atividade possa ser legítima, esse comportamento pode indicar que a identidade foi obtida por um invasor, possivelmente de um contêiner comprometido no cluster do Kubernetes.

Táticas MITRE: Movimento Lateral

Gravidade: Média

Operação anormal detectada da conta de serviço do Kubernetes

(K8S_ServiceAccountRareOperation)

Descrição: a análise do log de auditoria do Kubernetes detectou um comportamento anormal de uma conta de serviço no cluster do Kubernetes. A conta de serviço foi usada para uma operação, o que não é comum para esta conta de serviço. Embora essa atividade possa ser legítima, esse comportamento pode indicar que a conta de serviço está sendo usada para fins mal-intencionados.

Táticas MITRE: Movimento Lateral, Acesso a Credenciais

Gravidade: Média

Uma tentativa de conexão incomum foi detectada

(K8S.NODE_SuspectConnection) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou uma tentativa de conexão incomum utilizando um protocolo socks. Isso é muito raro em operações normais, mas uma técnica conhecida para invasores que tentam ignorar detecções de camada de rede.

Táticas MITRE: Execução, Exfiltração, Exploração

Gravidade: Média

Tentativa de interromper o serviço apt-daily-upgrade.timer detectada

(K8S.NODE_TimerServiceDisabled) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou uma tentativa de interromper o serviço apt-daily-upgrade.timer. Observamos que os invasores tentaram interromper esse serviço para baixar arquivos mal-intencionados e conceder privilégios de execução para os ataques. Essa atividade também poderá ocorrer se o serviço for atualizado por meio de ações administrativas normais.

Táticas MITRE: DefenseEvasion

Gravidade: Informativo

Comportamento semelhante a bots Linux comuns detectado (Versão prévia)

(K8S.NODE_CommonBot)

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou a execução de um processo normalmente associado a botnets comuns do Linux.

Táticas MITRE: Execução, Coleta, Comando e Controle

Gravidade: Média

Comando em um contêiner em execução com privilégios altos

(K8S.NODE_PrivilegedExecutionInContainer) ¹

Descrição: os logs do computador indicam que um comando privilegiado foi executado em um contêiner do Docker. Um comando privilegiado tem privilégios estendidos no computador host.

Táticas MITRE: PrivilegeEscalation

Gravidade: Informativo

Contêiner em execução no modo privilegiado

(K8S.NODE_PrivilegedContainerArtifacts) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou a execução de um comando do Docker que está executando um contêiner privilegiado. O contêiner privilegiado tem acesso total ao pod de hospedagem ou ao recurso de host. Se comprometido, um invasor pode usar o contêiner privilegiado para obter acesso ao pod de hospedagem ou host.

Táticas MITRE: PrivilegeEscalation, Execution

Gravidade: Informativo

Contêiner com uma montagem de volume confidencial detectada

(K8S_SensitiveMount)

Descrição: a análise do log de auditoria do Kubernetes detectou um novo contêiner com uma montagem de volume confidencial. O volume detectado é um tipo de hostPath que monta um arquivo ou uma pasta confidencial do nó para o contêiner. Se o contêiner for comprometido, o invasor poderá usar essa montagem para obter acesso ao nó.

Táticas do MITRE: Escalonamento de Privilégios

Gravidade: Informativo

Modificação de CoreDNS no Kubernetes detectada

(K8S_CoreDnsModification) ^{2 3}

Descrição: a análise do log de auditoria do Kubernetes detectou uma modificação na configuração do CoreDNS. A configuração do CoreDNS pode ser modificada substituindo o configmap. Embora essa atividade possa ser legítima, se tiverem permissões para modificar o configmap os invasores poderão alterar o comportamento do servidor de DNS do cluster e envenená-lo.

Táticas MITRE: Movimento Lateral

Gravidade: Baixa

Criação da configuração do webhook de admissão detectada

(K8S_AdmissionController) ³

Descrição: a análise do log de auditoria do Kubernetes detectou uma nova configuração de webhook de admissão. O Kubernetes tem dois controladores de admissão genéricos internos: MutatingAdmissionWebhook e ValidatingAdmissionWebhook. O comportamento desses controladores de admissão é determinado por um webhook de admissão que o usuário implanta no cluster. O uso de tais controladores de admissão pode ser legítimo, no entanto, os invasores podem usar esses webhooks para modificar as solicitações (no caso de MutatingAdmissionWebhook) ou inspecionar as solicitações e obter informações confidenciais (no caso de ValidatingAdmissionWebhook).

Táticas MITRE: Acesso a credenciais, persistência

Gravidade: Informativo

Download de arquivo de uma fonte mal-intencionada conhecida detectado

(K8S.NODE_SuspectDownload) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou o download de um arquivo de uma fonte frequentemente usada para distribuir malware.

Táticas MITRE: Escalonamento de privilégios, execução, exfiltração, comando e controle

Gravidade: Média

Download de arquivo suspeito detectado

(K8S.NODE_SuspectDownloadArtifacts) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou um download suspeito de um arquivo remoto.

Táticas do MITRE: Persistência

Gravidade: Informativo

Uso suspeito do comando nohup detectado

(K8S.NODE_SuspectNohup) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou um uso suspeito do comando nohup. Os invasores foram vistos usando o comando nohup para executar arquivos ocultos de um diretório temporário para permitir que seus executáveis sejam executados em segundo plano. Não é normal ver esse comando executado em arquivos ocultos localizados em um diretório temporário.

Táticas MITRE: Persistência, DefesaEvasão

Gravidade: Média

Uso suspeito do comando useradd detectado

(K8S.NODE_SuspectUserAddition) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou um uso suspeito do comando useradd.

Táticas do MITRE: Persistência

Gravidade: Média

Contêiner de mineração de moeda digital detectado

(K8S_MaliciousContainerImage) ³

Descrição: a análise do log de auditoria do Kubernetes detectou um contêiner que tem uma imagem associada a uma ferramenta de mineração de moeda digital.

Táticas do MITRE: Execução

Gravidade: Alta

Comportamento relacionado à mineração de moeda digital detectado

(K8S.NODE_DigitalCurrencyMining) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou a execução de um processo ou comando normalmente associado à mineração de moeda digital.

Táticas do MITRE: Execução

Gravidade: Alta

Operação de build do Docker detectada em um nó do Kubernetes

(K8S.NODE_ImageBuildOnNode) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou uma operação de compilação de uma imagem de contêiner em um nó do Kubernetes. Embora esse comportamento possa ser legítimo, os invasores podem criar imagens mal-intencionadas localmente para evitar a detecção.

Táticas MITRE: DefenseEvasion

Gravidade: Informativo

Painel do Kubeflow exposto detectado

(K8S_ExposedKubeflow)

Descrição: a análise do log de auditoria do Kubernetes detectou a exposição da entrada do Istio por um balanceador de carga em um cluster que executa o Kubeflow. Essa ação pode expor o painel do Kubeflow à Internet. Se o painel for exposto à Internet, os invasores poderão acessá-lo e executarem contêineres ou códigos mal-intencionados no cluster. Encontre mais detalhes no seguinte artigo: https://www.microsoft.com/en-us/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/

Táticas MITRE: Acesso Inicial

Gravidade: Média

Painel de Kubernetes exposto detectado

(K8S_ExposedDashboard)

Descrição: a análise do log de auditoria do Kubernetes detectou a exposição do Painel do Kubernetes por um serviço LoadBalancer. Os painéis expostos permitem acesso não autenticado ao gerenciamento de cluster e representam uma ameaça à segurança.

Táticas MITRE: Acesso Inicial

Gravidade: Alta

Serviço de Kubernetes exposto detectado

(K8S_ExposedService)

Descrição: a análise do log de auditoria do Kubernetes detectou a exposição de um serviço por um balanceador de carga. Esse serviço está relacionado a um aplicativo confidencial que permite operações de alto impacto no cluster, como a execução de processos no nó ou a criação de contêineres. Em alguns casos, esse serviço não exige autenticação. Se o serviço não exigir autenticação, a exposição dele à Internet representará um risco à segurança.

Táticas MITRE: Acesso Inicial

Gravidade: Média

Serviço Redis exposto no AKS detectado

(K8S_ExposedRedis)

Descrição: a análise do log de auditoria do Kubernetes detectou a exposição de um serviço do Redis por um balanceador de carga. Se o serviço não exigir autenticação, a exposição dele à Internet representará um risco à segurança.

Táticas MITRE: Acesso Inicial

Gravidade: Baixa

Indicadores associados ao kit de ferramentas DDOS detectados

(K8S.NODE_KnownLinuxDDoSToolkit) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou nomes de arquivos que fazem parte de um kit de ferramentas associado a malware capaz de iniciar ataques DDoS, abrir portas e serviços e assumir o controle total sobre o sistema infectado. Também pode ser uma atividade legítima.

Táticas MITRE: Persistência, Movimento Lateral, Execução, Exploração

Gravidade: Média

Solicitações de API do K8S do endereço IP de proxy detectadas

(K8S_TI_Proxy) ³

Descrição: a análise de log de auditoria do Kubernetes detectou solicitações de API para o cluster de um endereço IP associado a serviços de proxy, como o TOR. Embora esse comportamento possa ser legítimo, ele geralmente é visto em atividades mal-intencionadas, quando os invasores tentam ocultar o IP de origem.

Táticas do MITRE: Execução

Gravidade: Baixa

Eventos do Kubernetes excluídos

(K8S_DeleteEvents) ^{2 3}

Descrição: o Defender para Nuvem detectou que alguns eventos do Kubernetes foram excluídos. Os eventos do Kubernetes são objetos no Kubernetes que contêm informações sobre alterações no cluster. Os invasores podem excluir esses eventos para ocultar as operações no cluster.

Táticas MITRE: Evasão de Defesa

Gravidade: Baixa

Ferramenta de teste de penetração do Kubernetes detectada

(K8S_PenTestToolsKubeHunter)

Descrição: a análise do log de auditoria do Kubernetes detectou o uso da ferramenta de teste de penetração do Kubernetes no cluster do AKS. Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins mal-intencionados.

Táticas do MITRE: Execução

Gravidade: Baixa

Alerta de teste do Microsoft Defender para Nuvem (não é uma ameaça)

(K8S.NODE_EICAR) ¹

Descrição: este é um alerta de teste gerado pelo Microsoft Defender para Nuvem. Nenhuma outra ação é necessária.

Táticas do MITRE: Execução

Gravidade: Alta

Novo contêiner no namespace kube-system detectado

(K8S_KubeSystemContainer) ³

Descrição: a análise de log de auditoria do Kubernetes detectou um novo contêiner no namespace kube-system que não está entre os contêineres que normalmente são executados nesse namespace. Os namespaces kube-system não devem conter recursos do usuário. Os invasores podem usar o namespace para ocultar componentes mal-intencionados.

Táticas do MITRE: Persistência

Gravidade: Informativo

Nova função de privilégios altos detectada

(K8S_HighPrivilegesRole) ³

Descrição: a análise do log de auditoria do Kubernetes detectou uma nova função com privilégios altos. Uma associação a uma função com privilégios elevados concede ao usuário/grupo privilégios elevados no cluster. Privilégios desnecessários podem causar a elevação de privilégio no cluster.

Táticas do MITRE: Persistência

Gravidade: Informativo

Possível ferramenta de ataque detectada

(K8S.NODE_KnownLinuxAttackTool) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou uma invocação de ferramenta suspeita. A ferramenta costuma estar associada a usuários mal-intencionados que atacam outros.

Táticas MITRE: Execução, Coleta, Comando e Controle, Sondagem

Gravidade: Média

Possível backdoor detectado

(K8S.NODE_LinuxBackdoorArtifact) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou um arquivo suspeito sendo baixado e executado. A atividade foi associada anteriormente à instalação de um backdoor.

Táticas do MITRE: Persistência, DefesaEvasão, Execução, Exploração

Gravidade: Média

Possível tentativa de exploração de linha de comando

(K8S.NODE_ExploitAttempt) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou uma possível tentativa de exploração contra uma vulnerabilidade conhecida.

Táticas do MITRA: Exploração

Gravidade: Média

Possível ferramenta de acesso à credencial detectada

(K8S.NODE_KnownLinuxCredentialAccessTool) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou que uma possível ferramenta de acesso a credenciais conhecida estava em execução no contêiner, conforme identificado pelo processo especificado e pelo item de histórico da linha de comando. Essa ferramenta geralmente está associada às tentativas de o invasor acessar credenciais.

Táticas MITRE: CredentialAccess

Gravidade: Média

Possível download de Cryptocoinminer detectado

(K8S.NODE_CryptoCoinMinerDownload) ¹

Descrição: A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou o download de um arquivo normalmente associado à mineração de moeda digital.

Táticas MITRE: DefesaEvasão, Comando e Controle, Exploração

Gravidade: Média

Possível atividade de adulteração de log detectada

(K8S.NODE_SystemLogRemoval) ¹

Descrição: A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou uma possível remoção de arquivos que rastreiam a atividade do usuário durante o curso de sua operação. Os invasores muitas vezes tentam escapar da detecção e não deixam rastros de atividades mal-intencionadas excluindo esses arquivos de log.

Táticas MITRE: DefenseEvasion

Gravidade: Média

Possível alteração de senha usando o método de criptografia detectado

(K8S.NODE_SuspectPasswordChange) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou uma alteração de senha usando o método crypt. Os invasores podem fazer essa alteração para continuar o acesso e obter persistência após o comprometimento.

Táticas MITRE: CredentialAccess

Gravidade: Média

Possível encaminhamento de porta para endereço IP externo

(K8S.NODE_SuspectPortForwarding) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou um início de encaminhamento de porta para um endereço IP externo.

Táticas MITRE: Exfiltração, Comando e Controle

Gravidade: Média

Possível shell reverso detectado

(K8S.NODE_ReverseShell) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou um possível shell reverso. São usados para que um computador comprometido faça um retorno de chamada para um computador que um invasor possui.

Táticas do MITRE: Exfiltração, Exploração

Gravidade: Média

Contêiner privilegiado detectado

(K8S_PrivilegedContainer)

Descrição: a análise do log de auditoria do Kubernetes detectou um novo contêiner privilegiado. Um contêiner privilegiado tem acesso aos recursos do nó e interrompe o isolamento entre contêineres. Se comprometido, um invasor pode usar o contêiner privilegiado para obter acesso ao nó.

Táticas do MITRE: Escalonamento de Privilégios

Gravidade: Informativo

Processo associado à mineração de moeda digital detectado

(K8S.NODE_CryptoCoinMinerArtifacts) ¹

Descrição: a análise de processos em execução em um contêiner detectou a execução de um processo normalmente associado à mineração de moeda digital.

Táticas MITRA: Execução, Exploração

Gravidade: Média

Processo visto acessando o arquivo de chaves autorizadas SSH de maneira incomum

(K8S.NODE_SshKeyAccess) ¹

Descrição: um arquivo de authorized_keys SSH foi acessado de forma semelhante às campanhas de malware conhecidas. O acesso poderia indicar que um ator está tentando obter acesso persistente a um computador.

Táticas MITRE: Desconhecido

Gravidade: Informativo

Associação da função à função de administrador do cluster detectada

(K8S_ClusterAdminBinding)

Descrição: a análise do log de auditoria do Kubernetes detectou uma nova associação à função de administrador de cluster que concede privilégios de administrador. Privilégios de administrador desnecessários podem causar a elevação de privilégio no cluster.

Táticas MITRE: Persistência, Escalonamento de Privilégios

Gravidade: Informativo

Encerramento do processo relacionado à segurança detectado

(K8S.NODE_SuspectProcessTermination) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou uma tentativa de encerrar processos relacionados ao monitoramento de segurança no contêiner. Os invasores geralmente tentam encerrar esses processos usando scripts predefinidos após o comprometimento.

Táticas do MITRE: Persistência

Gravidade: Baixa

O servidor SSH está em execução dentro de um contêiner

(K8S.NODE_ContainerSSH) ¹

Descrição: a análise de processos em execução em um contêiner detectou um servidor SSH em execução dentro do contêiner.

Táticas do MITRE: Execução

Gravidade: Informativo

Modificação de carimbo de data/hora de arquivo suspeita

(K8S.NODE_TimestampTampering) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou uma modificação suspeita no carimbo de data/hora. Os invasores geralmente copiarão os carimbos de data/hora de arquivos legítimos existentes para novas ferramentas para evitar a detecção dos arquivos recentemente descartados.

Táticas MITRE: Persistência, DefesaEvasão

Gravidade: Baixa

Solicitação suspeita para API do Kubernetes

(K8S.NODE_KubernetesAPI) ¹

Descrição: a análise dos processos em execução em um contêiner indica que uma solicitação suspeita foi feita à API do Kubernetes. A solicitação foi enviada de um contêiner no cluster. Embora esse comportamento possa ser intencional, ele pode indicar que um contêiner comprometido está em execução no cluster.

Táticas MITRE: LateralMovement

Gravidade: Média

Solicitação suspeita para o Painel do Kubernetes

(K8S.NODE_KubernetesDashboard) ¹

Descrição: a análise de processos em execução em um contêiner indica que uma solicitação suspeita foi feita ao Painel do Kubernetes. A solicitação foi enviada de um contêiner no cluster. Embora esse comportamento possa ser intencional, ele pode indicar que um contêiner comprometido está em execução no cluster.

Táticas MITRE: LateralMovement

Gravidade: Média

Possível mineração de criptomoeda iniciada

(K8S.NODE_CryptoCoinMinerExecution) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou um processo sendo iniciado de uma forma normalmente associada à mineração de moeda digital.

Táticas do MITRE: Execução

Gravidade: Média

Acesso suspeito à senha

(K8S.NODE_SuspectPasswordFileAccess) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou uma tentativa suspeita de acessar senhas de usuário criptografadas.

Táticas do MITRE: Persistência

Gravidade: Informativo

Possível web shell mal-intencionado detectado

(K8S.NODE_Webshell) ¹

Descrição: a análise de processos em execução em um contêiner detectou um possível shell da Web. Os invasores geralmente carregam um web shell em um recurso de computador comprometido para obter persistência ou maior exploração.

Táticas do MITRE: Persistência, Exploração

Gravidade: Média

A intermitência de vários comandos de reconhecimento pode indicar a atividade inicial após o comprometimento

(K8S.NODE_ReconnaissanceArtifactsBurst) ¹

Descrição: a análise dos dados do host/dispositivo detectou a execução de vários comandos de reconhecimento relacionados à coleta de detalhes do sistema ou do host executados por invasores após o comprometimento inicial.

Táticas MITRE: Descoberta, Coleção

Gravidade: Baixa

Download Suspeito e Execução de Atividade

(K8S.NODE_DownloadAndRunCombo) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou um arquivo sendo baixado e executado no mesmo comando. Embora isso nem sempre seja mal-intencionado, essa é uma técnica muito comum usada pelos invasores para colocar arquivos mal-intencionados nos computadores da vítima.

Táticas MITRE: Execução, Comando e Controle, Exploração

Gravidade: Média

Acesso ao arquivo kubeconfig do kubelet detectado

(K8S.NODE_KubeConfigAccess) ¹

Descrição: a análise de processos em execução em um nó de cluster do Kubernetes detectou acesso ao arquivo kubeconfig no host. O arquivo kubeconfig, normalmente usado pelo processo do Kubelet, contém as credenciais para o servidor de API de cluster do Kubernetes. O acesso a esse arquivo geralmente está associado a invasores que tentam acessar essas credenciais ou a ferramentas de verificação de segurança que analisam se o arquivo está acessível.

Táticas MITRE: CredentialAccess

Gravidade: Média

Acesso ao serviço de metadados de nuvem detectado

(K8S.NODE_ImdsCall) ¹

Descrição: a análise de processos em execução em um contêiner detectou acesso ao serviço de metadados de nuvem para adquirir o token de identidade. Normalmente, o contêiner não executa essa operação. Embora esse comportamento possa ser legítimo, invasores podem usar essa técnica para acessar recursos de nuvem depois de obter acesso inicial a um contêiner em execução.

Táticas MITRE: CredentialAccess

Gravidade: Média

Agente MITRE Caldera detectado

(K8S.NODE_MitreCalderaTools) ¹

Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou um processo suspeito. Isso geralmente é associado ao agente MITRE 54ndc47, que pode ser usado maliciosamente para atacar outras máquinas.

Táticas MITRE: Persistência, Escalonamento de Privilégios, Evasão de Defesa, Acesso a Credenciais, Descoberta, Movimento Lateral, Execução, Coleta, Exfiltração, Comando e Controle, Sondagem, Exploração

Gravidade: Média

¹: Versão prévia para clusters não AKS: esse alerta está em disponibilidade geral para clusters do AKS, mas está em versão prévia para outros ambientes, como Azure Arc, EKS e GKE.

²: limitações nos clusters do GKE: o GKE usa uma política de auditoria do Kubernetes que não dá suporte a todos os tipos de alertas. Como resultado, esse alerta de segurança, que se baseia em eventos de auditoria do Kubernetes, não é compatível com clusters do GKE.

³: há suporte para esse alerta em nós/contêineres do Windows.

Próximas etapas

• Alertas de segurança no Microsoft Defender para Nuvem
• Gerenciar e responder a alertas de segurança no Microsoft Defender para Nuvem
• Exportar continuamente dados do Defender para Nuvem