容器警报 - Kubernetes 群集

本文列出了你可能会从 Microsoft Defender for Cloud 和启用的任何 Microsoft Defender 计划收到的针对容器和 Kubernetes 群集的安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。

注意

一些最近添加的 Microsoft Defender 威胁智能支持的警报可能未记录。

了解如何响应这些警报

了解如何导出警报

注意

来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。

容器和 Kubernetes 群集的警报

Microsoft Defender for Containers 通过监视控制平面(API 服务器)和容器化工作负载本身,在群集级别和基础群集节点上提供安全警报。 可以通过警报类型的 K8S_ 前缀识别控制平面安全警报。 可以通过警报类型的 K8S.NODE_ 前缀识别群集中运行时工作负载的安全警报。 除非另有说明,否则所有警报仅在 Linux 上受支持。

更多详细信息和说明

在 Kubernetes 中检测到公开了具有信任身份验证配置的 Postgres 服务(预览版)

(K8S_ExposedPostgresTrustAuth)

说明:Kubernetes 群集配置分析检测到负载均衡器暴露了 Postgres 服务。 该服务配置了不需要凭据的信任身份验证方法。

MITRE 策略:InitialAccess

严重性:中等

在 Kubernetes 中检测到公开了具有风险配置的 Postgres 服务(预览版)

(K8S_ExposedPostgresBroadIPRange)

说明:Kubernetes 群集配置分析检测到具有风险配置的负载均衡器暴露了 Postgres 服务。 向多种 IP 地址公开服务会带来安全风险。

MITRE 策略:InitialAccess

严重性:中等

检测到有人尝试从容器创建新的 Linux 命名空间

(K8S.NODE_NamespaceCreation) 1

说明:分析 Kubernetes 群集中容器中运行的进程检测到尝试创建新的 Linux 命名空间。 虽然此行为可能是合法的,但它可能表明攻击者尝试从容器转义到节点。 某些 CVE-2022-0185 漏洞会利用此方法。

MITRE 策略:PrivilegeEscalation

严重性:信息性

历史记录文件已被清除

(K8S.NODE_HistoryFileCleared) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到命令历史记录日志文件已被清除。 攻击者可能会这样做来掩盖其踪迹。 该操作已由指定用户帐户执行。

MITRE 策略:DefenseEvasion

严重性:中等

与 Kubernetes 关联的托管标识的异常活动(预览版)

(K8S_AbnormalMiActivity)

说明:分析 Azure 资源管理器操作检测到 AKS 加载项使用的托管标识异常行为。 检测到的活动与相关插件的行为不一致。 尽管此活动可能是合法的,但此类行为可能表明该标识是由攻击者授予的,且可能源自 Kubernetes 群集中某个遭到入侵的容器。

MITRE 策略:横向移动

严重性:中等

检测到异常的 Kubernetes 服务帐户操作

(K8S_ServiceAccountRareOperation)

说明:Kubernetes 审核日志分析检测到 Kubernetes 群集中的服务帐户异常行为。 服务帐户用于执行了对此服务帐户不常见的操作。 尽管此活动可能是合法的,但此类行为可能表明该服务帐户正用于恶意用途。

MITRE 策略:横向移动、凭据访问

严重性:中等

检测到异常连接尝试

(K8S.NODE_SuspectConnection) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到使用 socks 协议的不常见连接尝试。 这在正常操作中非常罕见,但对于尝试绕过网络层检测的攻击者而言,这是一种已知方法。

MITRE 策略:执行、外泄、利用

严重性:中等

检测到试图停止 apt-daily-upgrade.timer 服务

(K8S.NODE_TimerServiceDisabled) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到尝试停止 apt-daily-upgrade.timer 服务。 我们观察到攻击者会停止此服务,以下载恶意文件并授予执行特权以达到其攻击目的。 如果通过正常的管理操作更新该服务,也会出现此活动。

MITRE 策略:DefenseEvasion

严重性:信息性

检测到与常见的 Linux 机器人类似的行为(预览)

(K8S.NODE_CommonBot)

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到执行通常与常见 Linux 僵尸网络关联的进程。

MITRE 策略:执行、收集、命令和控制

严重性:中等

使用高特权在容器中运行的命令

(K8S.NODE_PrivilegedExecutionInContainer) 1

说明:计算机日志指示特权命令在 Docker 容器中运行。 特权命令在主机上具有扩展特权。

MITRE 策略:PrivilegeEscalation

严重性:信息性

在特权模式下运行的容器

(K8S.NODE_PrivilegedContainerArtifacts) 1

说明:分析在容器中或直接在 Kubernetes 节点上运行的进程检测到执行运行特权容器的 Docker 命令。 特权容器对托管 Pod 或主机资源具有完全访问权限。 如果遭到入侵,攻击者可能会使用特权容器来访问托管 Pod 或主机。

MITRE 策略:PrivilegeEscalation、执行

严重性:信息性

检测到存在敏感卷装载活动的容器

(K8S_SensitiveMount)

说明:Kubernetes 审核日志分析检测到具有敏感卷装载的新容器。 检测到的卷属于 hostPath 类型,其会将敏感文件或者文件夹从节点装载到容器。 如果容器已遭入侵,则攻击者可以通过此装载活动获取对节点的访问权限。

MITRE 策略:特权提升

严重性:信息性

检测到 Kubernetes 中发生 CoreDNS 修改

(K8S_CoreDnsModification) 2 3

说明:Kubernetes 审核日志分析检测到对 CoreDNS 配置的修改。 可以通过重写 CoreDNS 的 configmap 来修改其配置。 此活动可能是合法的,不过,如果攻击者有权修改 configmap,则他们可以更改群集 DNS 服务器的行为,并使其感染病毒。

MITRE 策略:横向移动

严重性:低

检测到创建了许可 webhook 配置

(K8S_AdmissionController) 3

说明:Kubernetes 审核日志分析检测到新的允许 Webhook 配置。 Kubernetes 有两个内置的通用许可控制器:MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook。 这些许可控制器的行为由用户部署到群集的许可 webhook 确定。 此类许可控制器的使用可能是合法的,但攻击者可以使用此类 webhook 来修改请求(使用 MutatingAdmissionWebhook 时)或检查请求并获取敏感信息(使用 ValidatingAdmissionWebhook 时)。

MITRE 策略:凭据访问、持久性

严重性:信息性

检测到来自已知恶意来源的文件下载

(K8S.NODE_SuspectDownload) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到从经常用于分发恶意软件的源下载文件。

MITRE 策略:PrivilegeEscalation、执行、外泄、命令和控制

严重性:中等

检测到可疑的文件下载

(K8S.NODE_SuspectDownloadArtifacts) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到远程文件的可疑下载。

MITRE 策略:持久性

严重性:信息性

检测到对 nohup 命令的可疑使用

(K8S.NODE_SuspectNohup) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到对 nohup 命令的可疑使用。 攻击者被发现使用 nohup 命令从临时目录运行隐藏文件,以允许其可执行文件在后台运行。 对临时目录中的隐藏文件运行此命令较为罕见。

MITRE 策略:持久性、DefenseEvasion

严重性:中等

检测到对 useradd 命令的可疑使用

(K8S.NODE_SuspectUserAddition) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到对 useradd 命令的可疑使用。

MITRE 策略:持久性

严重性:中等

检测到数字货币挖掘容器

(K8S_MaliciousContainerImage) 3

说明:Kubernetes 审核日志分析检测到一个容器带有与数字货币挖掘工具关联的映像。

MITRE 策略:执行

严重性:高

(K8S.NODE_DigitalCurrencyMining) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到执行通常与数字签名挖掘关联的进程或命令。

MITRE 策略:执行

严重性:高

在 Kubernetes 节点上检测到 Docker 生成操作

(K8S.NODE_ImageBuildOnNode) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到 Kubernetes 节点上容器映像的生成操作。 此行为可能是合法的,不过,攻击者可能会在本地生成恶意映像以避开检测。

MITRE 策略:DefenseEvasion

严重性:信息性

检测到公开的 Kubeflow 仪表板

(K8S_ExposedKubeflow)

说明:Kubernetes 审核日志分析检测到运行 Kubeflow 的群集中的负载均衡器暴露了 Istio 流入量。 此操作可能会向 Internet 公开 Kubeflow 仪表板。 如果向 Internet 公开了该仪表板,则攻击者可以访问该仪表板,并在群集上运行恶意容器或代码。 可在以下文章中找到更多详细信息: https://www.microsoft.com/en-us/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/

MITRE 策略:初始访问

严重性:中等

检测到公开的 Kubernetes 仪表板

(K8S_ExposedDashboard)

说明:Kubernetes 审核日志分析检测到 LoadBalancer 服务暴露了 Kubernetes 仪表板。 公开的仪表板允许对群集管理进行未经身份验证的访问,这会带来安全威胁。

MITRE 策略:初始访问

严重性:高

检测到公开的 Kubernetes 服务

(K8S_ExposedService)

说明:Kubernetes 审核日志分析检测到负载均衡器暴露了服务。 此服务与一个敏感应用程序相关,该应用程序允许在群集中执行影响较大的操作,如在节点上运行进程或创建新的容器。 在某些情况下,此服务不需要身份验证。 如果该服务不需要身份验证,则向 Internet 公开该服务会带来安全风险。

MITRE 策略:初始访问

严重性:中等

检测到 AKS 中存在公开的 Redis 服务

(K8S_ExposedRedis)

说明:Kubernetes 审核日志分析检测到负载均衡器暴露了 Redis 服务。 如果该服务不需要身份验证,则向 Internet 公开该服务会带来安全风险。

MITRE 策略:初始访问

严重性:低

检测到与 DDOS 工具包关联的指标

(K8S.NODE_KnownLinuxDDoSToolkit) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到属于与能够启动 DDoS 攻击、打开端口和服务以及完全控制受感染系统的恶意软件关联的工具包一部分的文件名。 这也可能是合法活动。

MITRE 策略:持久性、LateralMovement、执行、利用

严重性:中等

检测到来自代理 IP 地址的 K8S API 请求

(K8S_TI_Proxy) 3

说明:Kubernetes 审核日志分析检测到某个与代理服务(如 TOR)关联的 IP 地址向群集发出了 API 请求。 虽然这种行为可能是合法的,但经常出现在恶意活动中,不过攻击者会试图隐藏其源 IP。

MITRE 策略:执行

严重性:低

删除了 Kubernetes 事件

(K8S_DeleteEvents) 2 3

说明:Defender for Cloud 检测到某些 Kubernetes 事件已被删除。 Kubernetes 事件是 Kubernetes 中的对象,其中包含有关群集中发生的更改的信息。 攻击者可能会删除这些事件,以隐藏他们在群集中执行的操作。

MITRE 战术:防御规避

严重性:低

检测到 Kubernetes 渗透测试工具

(K8S_PenTestToolsKubeHunter)

说明:Kubernetes 审核日志分析检测到在 AKS 群集中使用了 Kubernetes 渗透测试工具。 此行为可能是合法的,不过,攻击者可能会出于恶意使用此类公用工具。

MITRE 策略:执行

严重性:低

Microsoft Defender for Cloud 测试警报(不是威胁)

(K8S.NODE_EICAR) 1

说明:这是由 Microsoft Defender for Cloud 生成的测试警报。 无需执行其他操作。

MITRE 策略:执行

严重性:高

在 kube-system 命名空间中检测到新容器

(K8S_KubeSystemContainer) 3

说明:Kubernetes 审核日志分析在 kube-system 命名空间中检测到一个新容器,该容器不是通常在此命名空间中运行的容器。 Kube-system 命名空间不应包含用户资源。 攻击者可以使用此命名空间来隐藏恶意组件。

MITRE 策略:持久性

严重性:信息性

检测到新的高特权角色

(K8S_HighPrivilegesRole) 3

说明:Kubernetes 审核日志分析检测到具有高特权的新角色。 绑定到高特权角色将为群集中的用户/组授予较高的特权。 不必要的特权可能导致群集中出现特权提升。

MITRE 策略:持久性

严重性:信息性

检测到可能存在攻击工具

(K8S.NODE_KnownLinuxAttackTool) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到可疑的工具调用。 此工具通常与恶意用户攻击其他计算机的行为关联。

MITRE 策略:执行、收集、命令和控制、探测

严重性:中等

检测到可能存在后门程序

(K8S.NODE_LinuxBackdoorArtifact) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到正在下载并运行可疑文件。 此活动之前与后门安装关联。

MITRE 策略:持久性、DefenseEvasion、执行、利用

严重性:中等

可能有人试图利用命令行

(K8S.NODE_ExploitAttempt) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到可能针对已知漏洞的利用尝试。

MITRE 策略:利用

严重性:中等

检测到可能存在凭据访问工具

(K8S.NODE_KnownLinuxCredentialAccessTool) 1

说明:分析在容器中或直接在 Kubernetes 节点上运行的进程检测到容器上正在运行可能已知的凭据访问工具,由指定的进程和命令行历史记录项标识。 此工具通常与尝试访问凭据的攻击者关联。

MITRE 策略:CredentialAccess

严重性:中等

检测到潜在 Cryptocoinminer 下载

(K8S.NODE_CryptoCoinMinerDownload) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到下载通常与数字签名挖掘关联的文件。

MITRE 策略:DefenseEvasion、命令和控制、利用

严重性:中等

检测到可能的日志篡改活动

(K8S.NODE_SystemLogRemoval) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到可能删除了在操作过程中跟踪用户活动的文件。 攻击者通常会通过删除此类日志文件来避开检测以及清除恶意活动的痕迹。

MITRE 策略:DefenseEvasion

严重性:中等

检测到可能有人使用 crypt 方法更改密码

(K8S.NODE_SuspectPasswordChange) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到使用 crypt 方法的密码更改。 攻击者可能会为了继续访问并在入侵后实现持久性而进行此更改。

MITRE 策略:CredentialAccess

严重性:中等

对外部 IP 地址的潜在端口转发活动

(K8S.NODE_SuspectPortForwarding) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到端口转发到外部 IP 地址的启动。

MITRE 策略:外泄、命令和控制

严重性:中等

检测到潜在的反向 shell

(K8S.NODE_ReverseShell) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到潜在的反向 shell。 它们用于让遭到入侵的计算机回调到攻击者拥有的计算机中。

MITRE 策略:外泄、利用

严重性:中等

检测到特权容器

(K8S_PrivilegedContainer)

说明:Kubernetes 审核日志分析检测到新的特权容器。 特权容器可以访问节点的资源,并打破容器之间的隔离。 如果遭到入侵,攻击者可以使用特权容器获取对节点的访问权限。

MITRE 策略:特权提升

严重性:信息性

检测到与数字货币挖掘关联的进程

(K8S.NODE_CryptoCoinMinerArtifacts) 1

说明:分析容器中运行的进程检测到执行通常与数字货币挖掘关联的进程。

MITRE 策略:执行、利用

严重性:中等

检测到进程以异常方式访问 SSH 授权密钥文件

(K8S.NODE_SshKeyAccess) 1

说明:在类似于已知恶意软件活动的方法中访问了 SSH authorized_keys 文件。 此访问可能指示行动者正在尝试获取对计算机的持久访问权限。

MITRE 策略:未知

严重性:信息性

检测到对群集管理员角色的角色绑定

(K8S_ClusterAdminBinding)

说明:Kubernetes 审核日志分析检测到新的群集管理员角色绑定,这授予了管理员特权。 不必要的管理员特权可能导致群集中出现特权提升。

MITRE 策略:持久性

严重性:信息性

(K8S.NODE_SuspectProcessTermination) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到尝试终止与容器上的安全监视相关的进程。 攻击者通常会在入侵后尝试使用预定义的脚本来终止此类进程。

MITRE 策略:持久性

严重性:低

SSH 服务器在容器中运行

(K8S.NODE_ContainerSSH) 1

说明:分析容器中运行的进程检测到容器中运行的 SSH 服务器。

MITRE 策略:执行

严重性:信息性

可疑的文件时间戳修改操作

(K8S.NODE_TimestampTampering) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到可疑的时间戳修改。 攻击者通常将时间戳从现有的合法文件复制到新工具,以绕开对这些新放置的文件的检测。

MITRE 策略:持久性、DefenseEvasion

严重性:低

对 Kubernetes API 的可疑请求

(K8S.NODE_KubernetesAPI) 1

说明:分析容器中运行的进程表明对 Kubernetes API 发出了可疑请求。 请求从群集中的容器发送。 虽然此行为可能是故意的,但它可能指示群集中运行的某个容器遭到入侵。

MITRE 策略:LateralMovement

严重性:中等

对 Kubernetes 仪表板的可疑请求

(K8S.NODE_KubernetesDashboard) 1

说明:分析容器中运行的进程表示对 Kubernetes 仪表板发出了可疑请求。 请求从群集中的容器发送。 虽然此行为可能是故意的,但它可能指示群集中运行的某个容器遭到入侵。

MITRE 策略:LateralMovement

严重性:中等

可能启动了加密硬币挖矿机

(K8S.NODE_CryptoCoinMinerExecution) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到以通常与数字货币挖掘关联的方式启动的进程。

MITRE 策略:执行

严重性:中等

可疑的密码访问

(K8S.NODE_SuspectPasswordFileAccess) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到访问加密用户密码的可疑尝试。

MITRE 策略:持久性

严重性:信息性

检测到可能存在恶意的 Web shell

(K8S.NODE_Webshell) 1

说明:分析容器中运行的进程检测到可能的 Web 外壳。 攻击者通常会将 Web shell 上传到他们已入侵的计算资源以实现持久性,或进一步加以利用。

MITRE 策略:持久性、利用

严重性:中等

突发的多个侦查命令可能指示入侵后的初始活动

(K8S.NODE_ReconnaissanceArtifactsBurst) 1

说明:分析主机/设备数据检测到攻击者在初始入侵后执行了多个与收集系统或主机详细信息相关的侦察命令。

MITRE 策略:发现、收集

严重性:低

可疑的下载,然后是“运行”活动

(K8S.NODE_DownloadAndRunCombo) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到正在下载一个文件然后以相同命令运行。 虽然这并不总是恶意的,但这是攻击者用来将恶意文件获取到受害者计算机上的一种非常常见的技术。

MITRE 策略:执行、CommandAndControl、利用

严重性:中等

检测到对 kubelet kubeconfig 文件的访问

(K8S.NODE_KubeConfigAccess) 1

说明:分析 Kubernetes 群集节点上运行的进程检测到访问主机上的 kubeconfig 文件。 kubeconfig 文件(通常由 Kubelet 进程使用)包含 Kubernetes 群集 API 服务器的凭据。 对此文件的访问通常与攻击者尝试访问这些凭据相关联,或者与安全扫描工具相关联,这些工具会检查该文件是否可访问。

MITRE 策略:CredentialAccess

严重性:中等

检测到对云元数据服务的访问

(K8S.NODE_ImdsCall) 1

说明:分析容器中运行的进程检测到访问云元数据服务以获取标识令牌。 容器通常不执行此类操作。 虽然此行为可能是合法的,但攻击者可能会在获得对正在运行的容器的初始访问权限后使用此方法访问云资源。

MITRE 策略:CredentialAccess

严重性:中等

检测到 MITRE Caldera 代理

(K8S.NODE_MitreCalderaTools) 1

说明:分析容器中或直接在 Kubernetes 节点上运行的进程检测到可疑的进程。 这通常与 MITRE 54ndc47 代理相关联,该代理可能被恶意用于攻击其他计算机。

MITRE 策略:持久性、PrivilegeEscalation、DefenseEvasion、CredentialAccess、发现、LateralMovement、执行、收集、外泄、命令和控制、探测、利用

严重性:中等

1非 AKS 群集的预览版:此警报已正式提供给 AKS 群集,但它在其他环境(如 Azure Arc、EKS 和 GKE)中处于预览状态。

2:GKE 群集的限制:GKE 使用了并非支持所有警报类型的 Kuberenetes 审核策略。 因此,GKE 群集不支持基于 Kubernetes 审核事件的此安全警报。

3:Windows 节点/容器支持此警报。

注意

对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

后续步骤