Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender für Container generiert Sicherheitswarnungen für Kubernetes-Cluster und Workloads, indem sowohl die Steuerungsebene als auch die Laufzeitumgebung überwacht werden. Um die Generierung von Warnungen zu überprüfen, können Sie das Simulationstool für Kubernetes-Warnungen verwenden, um repräsentative Warnungen auszulösen.
Die in einer Umgebung verfügbaren Warnungen hängen von der Kubernetes-Verteilung (AKS, EKS, GKE oder Arc-fähigen), den installierten Komponenten und den zu überwachenden spezifischen Aktivitäten ab.
Steuerungsebenenerkennung
Die Kubernetes-Steuerungsebene verwaltet und koordiniert alle Ressourcen innerhalb des Clusters. Defender für Container überwacht Kubernetes-API-Serveraktivitäten, um verdächtige Vorgänge zu identifizieren, die sich auf die Clustersicherheit auswirken könnten.
Beispiele für verdächtige Steuerungsebenen sind:
- Bereitstellungen privilegierter Container: Überwachung auf nicht autorisierte Bereitstellungen oder übermäßige Verwendung von Berechtigungen, die zu Hostsystemverletzungen führen könnten.
- Riskante Dienstrisiken: Identifizieren von Diensten, die unbeabsichtigt dem öffentlichen Internet ausgesetzt sind oder keine ordnungsgemäßen Zugriffskontrollen vorhanden sind.
- Verdächtige Dienstkontoaktivitäten: Erkennen ungewöhnlicher Muster wie übermäßige Ressourcenanforderungen oder nicht autorisierte API-Aufrufe.
Workload-Laufzeiterkennung
Defender für Container verwendet den Defender Sensor, um die Arbeitsauslastungslaufzeit zu überwachen und verdächtige Prozesserstellung oder Netzwerkverhalten zu erkennen.
Wichtige Erkennungskategorien umfassen:
- Webshell-Aktivität: Erkennt Verhaltensweisen, die Webshellaufrufen bei ausgeführten Containern ähneln.
- Krypto-Mining-Aktivität: Erkennt verhalten im Zusammenhang mit Krypto-Mining, z. B. CPU-Optimierungsmuster, verdächtige Downloadaktivitäten und bekannte Miningprozesse.
- Netzwerkscantools: Erkennt Tools, die häufig für bösartige Aufklärung verwendet werden.
- Erkennung binärer Drift: Erkennt Workload-Binärdateien, die sich vom ursprünglichen Containerimage entfernt haben. Weitere Informationen finden Sie unter Binary Drift Detection.
Kubernetes Warnungssimulationstool
Defender für Container bietet ein Open Source-, Python-basiertes CLI-Tool, das Kubernetes-Angriffsszenarien simuliert und Ihnen hilft, zu überprüfen, ob Kubernetes-Sicherheitswarnungen generiert werden.
Das Simulationstool wird im Defender for Cloud Attack Simulation GitHub Repository verwaltet. Informationen zum Überprüfen der neuesten Voraussetzungen, Installationsschritte, verfügbaren Szenarien und erwarteten Warnungen finden Sie im Repository README.
Hinweis
Das Simulationstool enthält keinen schädlichen Code. Führen Sie sie auf einem dedizierten Testcluster anstelle eines Produktionsclusters aus.
Nachdem Sie die Simulation ausgeführt haben, werden einige Warnungen in nahezu Echtzeit generiert. Andere können bis zu einer Stunde dauern, bis sie angezeigt werden.
So überprüfen Sie generierte Warnungen:
Melden Sie sich im Azure-Portal an.
Wechseln Sie zu Microsoft Defender for Cloud>Security alerts.
Überprüfen Sie Warnungen im Zusammenhang mit dem simulierten Cluster und Szenario.
Hinweis
Das Simulationstool stellt Testressourcen für den Cluster bereit. Nachdem Sie den Test abgeschlossen haben, entfernen Sie diese Ressourcen gemäß den Testumgebungsverfahren Ihrer Organisation.