Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Defender för containrar genererar säkerhetsaviseringar för Kubernetes-kluster och arbetsbelastningar genom övervakning av både kontrollplanet och körningsmiljön. För att verifiera aviseringsgenereringen kan du använda simuleringsverktyget för Kubernetes-aviseringar för att utlösa representativa aviseringar.
Vilka aviseringar som är tillgängliga i en miljö beror på Kubernetes-distributionen (AKS, EKS, GKE eller Arc-aktiverad), de installerade komponenterna och de specifika aktiviteter som övervakas.
Kontrollplansidentifiering
Kubernetes-kontrollplanet hanterar och samordnar alla resurser i klustret. Defender för containrar övervakar Kubernetes API-serveraktivitet för att identifiera misstänkta åtgärder som kan påverka klustersäkerheten.
Exempel på misstänkta kontrollplansåtgärder är:
- Distributioner av privilegierade containrar: Övervakning av obehöriga distributioner eller överdriven användning av privilegier som kan leda till intrång i värdsystem.
- Riskfyllda tjänstexponeringar: Identifiera tjänster som oavsiktligt exponeras för det offentliga Internet eller saknar rätt åtkomstkontroller.
- Misstänkta aktiviteter för tjänstkonto: Identifiera ovanliga mönster, till exempel överdrivna resursbegäranden eller obehöriga API-anrop.
Identifiering av arbetsbelastningskörning
Defender för containrar använder sensorn Defender för att övervaka arbetsbelastningens körningsaktivitet och identifiera misstänkt processskapande eller nätverksbeteende.
Nyckelidentifieringskategorier är:
- Webbgränssnittsaktivitet: Identifierar beteenden som liknar web shell-anrop på containrar som körs.
- Kryptoutvinningsaktivitet: Identifierar beteende som är associerat med kryptoutvinning, till exempel mönster för CPU-optimering, misstänkt nedladdningsaktivitet och kända gruvprocesser.
- Verktyg för nätverksgenomsökning: Identifierar verktyg som ofta används för skadlig rekognosering.
- Identifiering av binär avdrift: Identifierar binärfiler för arbetsbelastningar som har drivits från den ursprungliga containeravbildningen. Mer information finns i Identifiering av binär avdrift.
Simuleringsverktyg för Kubernetes-aviseringar
Defender för containrar innehåller ett Python cli-verktyg med öppen källkod som simulerar Kubernetes-attackscenarier och som hjälper dig att verifiera att Kubernetes-säkerhetsaviseringar genereras.
Simuleringsverktyget underhålls på lagringsplatsen Defender för molnet attacksimulering GitHub. Om du vill granska de senaste förutsättningarna, installationsstegen, tillgängliga scenarier och förväntade aviseringar läser du lagringsplatsens README.
Kommentar
Simuleringsverktyget innehåller inte skadlig kod. Kör det på ett dedikerat testkluster i stället för ett produktionskluster.
När du har kört simuleringen genereras vissa aviseringar nästan i realtid. Andra kan ta upp till en timme att visas.
Så här granskar du genererade aviseringar:
Logga in på Azure-portalen.
Gå till Microsoft Defender för molnet>Säkerhetsaviseringar.
Granska aviseringar relaterade till det simulerade klustret och scenariot.
Kommentar
Simuleringsverktyget distribuerar testresurser till klustret. När du har slutfört testningen tar du bort resurserna enligt organisationens testmiljöprocedurer.