컨테이너용 Microsoft Defender 컨트롤 플레인과 런타임 환경을 모두 모니터링하여 Kubernetes 클러스터 및 워크로드에 대한 보안 경고를 생성합니다. 경고 생성의 유효성을 검사하려면 Kubernetes 경고 시뮬레이션 도구를 사용하여 대표 경고를 트리거할 수 있습니다.
환경에서 사용할 수 있는 경고는 Kubernetes 배포(AKS, EKS, GKE 또는 Arc 사용), 설치된 구성 요소 및 모니터링 중인 특정 활동에 따라 달라집니다.
컨트롤 플레인 검색
Kubernetes 컨트롤 플레인은 클러스터 내의 모든 리소스를 관리하고 오케스트레이션합니다. 컨테이너용 Defender Kubernetes API 서버 작업을 모니터링하여 클러스터 보안에 영향을 줄 수 있는 의심스러운 작업을 식별합니다.
의심스러운 컨트롤 플레인 작업의 예는 다음과 같습니다.
- 권한 있는 컨테이너 배포: 권한이 없는 배포 또는 호스트 시스템 위반으로 이어질 수 있는 권한의 과도한 사용에 대한 모니터링
- 위험한 서비스 노출: 의도치 않게 공용 인터넷에 노출되거나 적절한 액세스 제어가 부족한 서비스를 식별합니다.
- 의심스러운 서비스 계정 활동: 과도한 리소스 요청 또는 권한 없는 API 호출과 같은 비정상적인 패턴을 검색합니다.
워크로드 런타임 검색
컨테이너용 Defender Defender 센서를 사용하여 워크로드 런타임 활동을 모니터링하고 의심스러운 프로세스 생성 또는 네트워크 동작을 검색합니다.
주요 검색 범주는 다음과 같습니다.
- 웹 셸 작업: 실행 중인 컨테이너에서 웹 셸 호출과 유사한 동작을 검색합니다.
- 암호화 마이닝 작업: CPU 최적화 패턴, 의심스러운 다운로드 작업 및 알려진 마이닝 프로세스와 같은 암호화 마이닝과 관련된 동작을 검색합니다.
- 네트워크 검사 도구: 악의적인 정찰에 일반적으로 사용되는 도구를 검색합니다.
- 이진 드리프트 검색: 원래 컨테이너 이미지에서 드리프트된 워크로드 이진 파일을 검색합니다. 자세한 내용은 이진 드리프트 검색을 참조하세요.
Kubernetes 경고 시뮬레이션 도구
컨테이너용 Defender Kubernetes 공격 시나리오를 시뮬레이션하고 Kubernetes 보안 경고가 생성되었는지 확인하는 데 도움이 되는 오픈 소스 Python 기반 CLI 도구를 제공합니다.
시뮬레이션 도구는 클라우드용 Defender 공격 시뮬레이션 GitHub 리포지토리 유지 관리됩니다. 최신 필수 구성 요소, 설치 단계, 사용 가능한 시나리오 및 예상 경고를 검토하려면 리포지토리 추가 정보(README)를 참조하세요.
참고 항목
시뮬레이션 도구에는 악성 코드가 포함되어 있지 않습니다. 프로덕션 클러스터 대신 전용 테스트 클러스터에서 실행합니다.
시뮬레이션을 실행하면 일부 경고가 거의 실시간으로 생성됩니다. 다른 사용자는 표시되는 데 최대 1시간이 걸릴 수 있습니다.
생성된 경고를 검토하려면 다음을 수행합니다.
Azure Portal에 로그인합니다.
클라우드용 Microsoft Defender>보안 경고로 이동합니다.
시뮬레이션된 클러스터 및 시나리오와 관련된 경고를 검토합니다.
참고 항목
시뮬레이션 도구는 테스트 리소스를 클러스터에 배포합니다. 테스트를 완료한 후 조직의 테스트 환경 절차에 따라 해당 리소스를 제거합니다.
관련 콘텐츠
클라우드용 Microsoft Defender