Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Defender voor containers genereert beveiligingswaarschuwingen voor Kubernetes-clusters en -workloads door zowel het besturingsvlak als de runtime-omgeving te bewaken. Als u het genereren van waarschuwingen wilt valideren, kunt u het hulpprogramma voor simulatie van Kubernetes-waarschuwingen gebruiken om representatieve waarschuwingen te activeren.
De waarschuwingen die beschikbaar zijn in een omgeving, zijn afhankelijk van de Kubernetes-distributie (AKS, EKS, GKE of Arc), de geïnstalleerde onderdelen en de specifieke activiteiten die worden bewaakt.
Detectie van besturingsvlak
Het Kubernetes-besturingsvlak beheert en organiseert alle resources binnen het cluster. Defender voor containers controleert de Activiteit van Kubernetes API-server om verdachte bewerkingen te identificeren die van invloed kunnen zijn op de clusterbeveiliging.
Voorbeelden van verdachte besturingsvlakbewerkingen zijn:
- Geprivilegieerde containerimplementaties: Controleren op niet-geautoriseerde implementaties of overmatig gebruik van bevoegdheden die kunnen leiden tot schendingen van het hostsysteem.
- Risicovolle serviceblootstelling: Het identificeren van services die onbedoeld zichtbaar zijn voor het openbare internet of het ontbreken van de juiste toegangsbeheer.
- Verdachte activiteiten voor serviceaccounts: Ongebruikelijke patronen detecteren, zoals overmatige resourceaanvragen of niet-geautoriseerde API-aanroepen.
Detectie van workloadruntime
Defender voor containers maakt gebruik van de Defender sensor om de runtimeactiviteit van de werkbelasting te bewaken en verdachte processen te maken of netwerkgedrag te detecteren.
Belangrijke detectiecategorieën zijn onder andere:
- Webshell-activiteit: Detecteert gedrag dat lijkt op webshell-aanroepen voor actieve containers.
- Cryptoanalyseactiviteit: Detecteert gedrag dat is gekoppeld aan cryptoanalyse, zoals CPU-optimalisatiepatronen, verdachte downloadactiviteit en bekende mijnbouwprocessen.
- Hulpprogramma's voor netwerkscans: Detecteert hulpprogramma's die vaak worden gebruikt voor schadelijke reconnaissance.
- Detectie van binaire drift: Hiermee worden binaire workloadbestanden gedetecteerd die zijn afgeleid van de oorspronkelijke containerinstallatiekopieën. Zie Binaire driftdetectie voor meer informatie.
Kubernetes-hulpprogramma voor waarschuwingensimulatie
Defender voor containers biedt een opensource cli-hulpprogramma op basis van Python waarmee Kubernetes-aanvalsscenario's worden gesimuleerd en kunt u controleren of Kubernetes-beveiligingswaarschuwingen worden gegenereerd.
Het simulatiehulpprogramma wordt onderhouden in de opslagplaats Defender voor Cloud Aanvalssimulatie GitHub. Als u de meest recente vereisten, installatiestappen, beschikbare scenario's en verwachte waarschuwingen wilt bekijken, raadpleegt u de README-opslagplaats.
Notitie
Het simulatieprogramma bevat geen schadelijke code. Voer het uit op een toegewezen testcluster in plaats van een productiecluster.
Nadat u de simulatie hebt uitgevoerd, worden sommige waarschuwingen bijna in realtime gegenereerd. Het kan een uur duren voordat anderen worden weergegeven.
Gegenereerde waarschuwingen bekijken:
Meld u aan bij het Azure-portaal.
Ga naar Microsoft Defender voor Cloud>Beveiligingswaarschuwingen.
Bekijk waarschuwingen met betrekking tot het gesimuleerde cluster en scenario.
Notitie
Met het simulatieprogramma worden testbronnen geïmplementeerd in het cluster. Nadat u klaar bent met testen, verwijdert u deze resources volgens de testomgevingsprocedures van uw organisatie.