Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender per i contenitori genera avvisi di sicurezza per cluster e carichi di lavoro Kubernetes monitorando sia il piano di controllo che l'ambiente di runtime. Per convalidare la generazione di avvisi, è possibile usare lo strumento di simulazione degli avvisi Kubernetes per attivare avvisi rappresentativi.
Gli avvisi disponibili in un ambiente dipendono dalla distribuzione di Kubernetes (servizio Azure Kubernetes, EKS, GKE o Arc abilitato), dai componenti installati e dalle attività specifiche monitorate.
Rilevamento del piano di controllo
Il piano di controllo Kubernetes gestisce e orchestra tutte le risorse all'interno del cluster. Defender per contenitori monitora l'attività del server API Kubernetes per identificare le operazioni sospette che potrebbero influire sulla sicurezza del cluster.
Esempi di operazioni sospette del piano di controllo includono:
- Distribuzioni di contenitori con privilegi: Monitoraggio per distribuzioni non autorizzate o uso eccessivo di privilegi che potrebbero causare violazioni del sistema host.
- Esposizione a rischio del servizio: Identificazione involontaria dei servizi esposti a Internet pubblico o senza controlli di accesso appropriati.
- Attività sospette dell'account del servizio: Rilevamento di modelli insoliti, ad esempio richieste di risorse eccessive o chiamate API non autorizzate.
Rilevamento del runtime del carico di lavoro
Defender per contenitori usa il sensore Defender per monitorare l'attività di runtime del carico di lavoro e rilevare la creazione o il comportamento di rete del processo sospetto.
Le categorie di rilevamento delle chiavi includono:
- Attività della shell Web: Rileva comportamenti simili alle chiamate della shell Web nei contenitori in esecuzione.
- Attività di crypto mining: Rileva il comportamento associato al crypto mining, ad esempio modelli di ottimizzazione della CPU, attività di download sospette e processi di data mining noti.
- Strumenti di analisi di rete: Rileva gli strumenti comunemente usati per la ricognizione dannosa.
- Rilevamento della deriva binaria: Rileva i file binari del carico di lavoro che sono stati deviati dall'immagine del contenitore originale. Per altre informazioni, vedere Rilevamento della deriva binaria.
Strumento di simulazione degli avvisi kubernetes
Defender per contenitori offre uno strumento open source basato sull'interfaccia della riga di comando Python che simula scenari di attacco Kubernetes e consente di verificare che vengano generati avvisi di sicurezza di Kubernetes.
Lo strumento di simulazione viene gestito nel repository Defender per il cloud Attack Simulation GitHub. Per esaminare i prerequisiti più recenti, i passaggi di installazione, gli scenari disponibili e gli avvisi previsti, vedere il file README del repository.
Nota
Lo strumento di simulazione non contiene codice dannoso. Eseguirlo in un cluster di test dedicato anziché in un cluster di produzione.
Dopo aver eseguito la simulazione, alcuni avvisi vengono generati quasi in tempo reale. La visualizzazione di altri può richiedere fino a un'ora.
Per esaminare gli avvisi generati:
Accedi al portale di Azure.
Passare a Microsoft Defender per il cloud>Sicurezza avvisi.
Esaminare gli avvisi correlati al cluster simulato e allo scenario.
Nota
Lo strumento di simulazione distribuisce le risorse di test nel cluster. Al termine del test, rimuovere tali risorse in base alle procedure dell'ambiente di test dell'organizzazione.