容器Microsoft Defender通过监视控制平面和运行时环境为 Kubernetes 群集和工作负荷生成安全警报。 若要验证警报生成,可以使用 Kubernetes 警报模拟工具来触发代表性警报。
环境中可用的警报取决于 Kubernetes 分发(AKS、EKS、GKE 或已启用 Arc)、已安装的组件以及要监视的特定活动。
控制平面检测
Kubernetes 控制平面管理和协调群集中的所有资源。 Defender用于容器监视 Kubernetes API 服务器活动,以确定可能影响群集安全性的可疑操作。
可疑控制平面操作的示例包括:
- 特权容器部署: 监视未经授权的部署或过度使用可能导致主机系统违规的特权。
- 风险服务风险: 识别无意中向公共 Internet 公开的服务或缺少适当的访问控制。
- 可疑服务帐户活动: 检测异常模式,例如过度的资源请求或未经授权的 API 调用。
当工作负荷公开时,如果身份验证薄弱或缺失,则潜在影响可能会增加。
工作负载运行时检测
容器Defender使用 Defender 传感器监视工作负荷运行时活动,并检测可疑的进程创建或网络行为。
关键检测类别包括:
- Web shell 活动: 检测与正在运行的容器上的 Web shell 调用类似的行为。
- 加密挖掘活动: 检测与加密挖掘相关的行为,例如 CPU 优化模式、可疑下载活动和已知挖掘进程。
- 网络扫描工具: 检测通常用于恶意侦查的工具。
- 基于 DNS 的检测: 标识运行容器生成的可疑 DNS 活动,例如与已知恶意域的通信。
Kubernetes 警报模拟工具
容器Defender提供了一个开源的基于Python CLI 工具,用于模拟 Kubernetes 攻击方案,并帮助验证是否已生成 Kubernetes 安全警报。
模拟工具保留在 Defender for Cloud 攻击模拟GitHub存储库中。 若要查看最新的先决条件、安装步骤、可用方案和预期警报,请参阅存储库自述文件。
注意
模拟工具不包含恶意代码。 在专用测试群集而不是生产群集上运行它。
运行模拟后,会近乎实时地生成一些警报。 其他人最多可能需要一个小时才能显示。
查看生成的警报:
登录到 Azure 门户。
转到 Microsoft Defender for Cloud>安全警报。
查看与模拟群集和方案相关的警报。
注意
模拟工具将测试资源部署到群集。 完成测试后,根据组织的测试环境过程删除这些资源。
相关内容
Microsoft Defender for CloudValidate 警报>