Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Defender pour conteneurs génère des alertes de sécurité pour les clusters et charges de travail Kubernetes en surveillant à la fois le plan de contrôle et l’environnement d’exécution. Pour valider la génération d’alertes, vous pouvez utiliser l’outil de simulation des alertes Kubernetes pour déclencher des alertes représentatives.
Les alertes disponibles dans un environnement dépendent de la distribution Kubernetes (AKS, EKS, GKE ou Arc), des composants installés et des activités spécifiques surveillées.
Détection du plan de contrôle
Le plan de contrôle Kubernetes gère et orchestre toutes les ressources au sein du cluster. Defender pour conteneurs surveille l’activité du serveur d’API Kubernetes pour identifier les opérations suspectes susceptibles d’affecter la sécurité du cluster.
Voici quelques exemples d’opérations suspectes de plan de contrôle :
- Déploiements de conteneurs privilégiés : Surveillance des déploiements non autorisés ou utilisation excessive de privilèges susceptibles d’entraîner des violations du système hôte.
- Exposition au service à risque : Identification involontaire des services exposés à l’Internet public ou sans contrôle d’accès appropriés.
- Activités suspectes du compte de service : Détection de modèles inhabituels tels que des demandes de ressources excessives ou des appels d’API non autorisés.
Détection du runtime de charge de travail
Defender pour conteneurs utilise le capteur Defender pour surveiller l’activité d’exécution de la charge de travail et détecter la création de processus suspect ou le comportement réseau.
Les catégories de détection clés sont les suivantes :
- Activité de l’interpréteur de commandes web : Détecte les comportements qui ressemblent aux appels d’interpréteur de commandes web sur les conteneurs en cours d’exécution.
- Activité d’exploration de données de chiffrement : Détecte le comportement associé à l’exploration de données de chiffrement, comme les modèles d’optimisation du processeur, l’activité de téléchargement suspecte et les processus d’exploration de données connus.
- Outils d’analyse réseau : Détecte les outils couramment utilisés pour la reconnaissance malveillante.
- Détection de dérive binaire : Détecte les fichiers binaires de charge de travail qui ont dérivé de l’image conteneur d’origine. Pour en savoir plus, consultez détection de dérive binaire.
Outil de simulation des alertes Kubernetes
Defender pour conteneurs fournit un outil CLI open source Python qui simule des scénarios d’attaque Kubernetes et vous aide à vérifier que les alertes de sécurité Kubernetes sont générées.
L’outil de simulation est conservé dans le référentiel Defender for Cloud Simulation d’attaque GitHub. Pour passer en revue les derniers prérequis, les étapes d’installation, les scénarios disponibles et les alertes attendues, consultez le référentiel README.
Remarque
L’outil de simulation ne contient pas de code malveillant. Exécutez-le sur un cluster de test dédié au lieu d’un cluster de production.
Après avoir exécuté la simulation, certaines alertes sont générées en quasi-temps réel. D’autres peuvent prendre jusqu’à une heure pour apparaître.
Pour passer en revue les alertes générées :
Connectez-vous au portail Azure.
Accédez à Microsoft Defender for Cloud> Alertes de sécurité.
Passez en revue les alertes liées au cluster simulé et au scénario.
Remarque
L’outil de simulation déploie des ressources de test sur le cluster. Une fois les tests terminés, supprimez ces ressources en fonction des procédures d’environnement de test de votre organisation.