Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Defender para contenedores genera alertas de seguridad para clústeres y cargas de trabajo de Kubernetes mediante la supervisión del plano de control y el entorno de tiempo de ejecución. Para validar la generación de alertas, puede usar la herramienta de simulación de alertas de Kubernetes para desencadenar alertas representativas.
Las alertas disponibles en un entorno dependen de la distribución de Kubernetes (AKS, EKS, GKE o Arc habilitado), de los componentes instalados y de las actividades específicas que se supervisan.
Detección del plano de control
El plano de control de Kubernetes administra y organiza todos los recursos del clúster. Defender para contenedores supervisa la actividad del servidor de api de Kubernetes para identificar operaciones sospechosas que podrían afectar a la seguridad del clúster.
Entre los ejemplos de operaciones sospechosas del plano de control se incluyen:
- Implementaciones de contenedores con privilegios: Supervisión de implementaciones no autorizadas o uso excesivo de privilegios que podrían provocar infracciones del sistema host.
- Exposiciones de servicios de riesgo: Identificar los servicios expuestos involuntariamente a la red pública de Internet o carecer de controles de acceso adecuados.
- Actividades sospechosas de la cuenta de servicio: Detección de patrones inusuales, como solicitudes de recursos excesivas o llamadas API no autorizadas.
Detección de tiempo de ejecución de carga de trabajo
Defender para contenedores usa el sensor Defender para supervisar la actividad en tiempo de ejecución de la carga de trabajo y detectar un comportamiento sospechoso de creación de procesos o de red.
Entre las categorías de detección de claves se incluyen:
- Actividad del shell web: Detecta comportamientos similares a las invocaciones de shell web en contenedores en ejecución.
- Actividad de minería de datos criptográficas: Detecta el comportamiento asociado a la minería de datos criptográficas, como patrones de optimización de CPU, actividad de descarga sospechosa y procesos de minería de datos conocidos.
- Herramientas de análisis de red: Detecta las herramientas que se usan habitualmente para el reconocimiento malintencionado.
- Detección de desfase binario: Detecta archivos binarios de carga de trabajo que se han desfasado de la imagen de contenedor original. Para más información, consulte Detección de desfase binario.
Herramienta de simulación de alertas de Kubernetes
Defender para contenedores proporciona una herramienta de la CLI basada en Python de código abierto que simula escenarios de ataque de Kubernetes y le ayuda a comprobar que se generan alertas de seguridad de Kubernetes.
La herramienta de simulación se mantiene en el repositorio Defender for Cloud Attack Simulation GitHub repositorio. Para revisar los requisitos previos, los pasos de instalación, los escenarios disponibles y las alertas esperadas, consulte el archivo Léame del repositorio.
Nota:
La herramienta de simulación no contiene código malintencionado. Ejecútelo en un clúster de prueba dedicado en lugar de en un clúster de producción.
Después de ejecutar la simulación, algunas alertas se generan casi en tiempo real. Otros pueden tardar hasta una hora en aparecer.
Para revisar las alertas generadas:
Inicie sesión en Azure Portal.
Vaya a Microsoft Defender para la nube> Alertas de seguridad.
Revise las alertas relacionadas con el clúster simulado y el escenario.
Nota:
La herramienta de simulación implementa recursos de prueba en el clúster. Después de finalizar las pruebas, quite esos recursos según los procedimientos del entorno de prueba de su organización.