Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Microsoft Defender for Containers gera alertas de segurança para clusters e cargas de trabalho Kubernetes, monitorizando tanto o plano de controlo como o ambiente de runtime. Para validar a geração de alertas, pode usar a ferramenta de simulação de alertas Kubernetes para ativar alertas representativos.
Os alertas disponíveis num ambiente dependem da distribuição Kubernetes (AKS, EKS, GKE ou Arc-enabled), dos componentes instalados e das atividades específicas monitorizadas.
Deteção de plano de controle
O plano de controlo Kubernetes gere e orquestra todos os recursos dentro do cluster. O Defender for Containers monitoriza a atividade do servidor API Kubernetes para identificar operações suspeitas que possam afetar a segurança do cluster.
Exemplos de operações suspeitas no plano de controlo incluem:
- Implementações de contentores privilegiados: Monitorização de implementações não autorizadas ou uso excessivo de privilégios que possam levar a violações do sistema anfitrião.
- Exposições ao serviço de risco: Identificar serviços expostos involuntariamente à Internet pública ou sem controlos de acesso adequados.
- Atividades suspeitas da conta de serviço: Deteção de padrões invulgares, como pedidos excessivos de recursos ou chamadas de API não autorizadas.
Deteção de tempo de execução da carga de trabalho
Defender para Containers utiliza o sensor Defender para monitorizar a atividade em tempo de execução da carga de trabalho e detetar a criação de processos suspeitos ou comportamentos de rede.
Categorias-chave de deteção incluem:
- Atividade do web shell: Detete comportamentos que se assemelham a invocações de web shell em containers em execução.
- Atividade de mineração de criptomoedas: Detetar comportamentos associados à mineração de criptomoedas, como padrões de otimização de CPU, atividade suspeita de downloads e processos conhecidos de mineração.
- Ferramentas de varredura de rede: Detetar ferramentas comumente usadas para reconhecimento malicioso.
- Deteção binária de deriva: Deteta binários de carga de trabalho que se desviaram da imagem original do contentor. Para saber mais, veja Deteção de deriva binária.
Ferramenta de simulação de alertas do Kubernetes
O Defender for Containers fornece uma ferramenta de CLI open source baseada em Python que simula cenários de ataque Kubernetes e ajuda a verificar se os alertas de segurança Kubernetes são gerados.
A ferramenta de simulação é mantida no repositório Defender para a Cloud Attack Simulation GitHub. Para rever os pré-requisitos mais recentes, passos de instalação, cenários disponíveis e alertas esperados, consulte o repositório README.
Nota
A ferramenta de simulação não contém código malicioso. Executa-o num cluster de testes dedicado em vez de um cluster de produção.
Depois de executares a simulação, alguns alertas são gerados quase em tempo real. Outros podem demorar até uma hora a aparecer.
Para rever alertas gerados:
Inicie sessão no portal Azure.
Vá a Microsoft Defender para a Cloud>Alertas de segurança.
Revise os alertas relacionados com o cluster simulado e o cenário.
Nota
A ferramenta de simulação implementa recursos de teste para o cluster. Depois de terminar os testes, remova esses recursos de acordo com os procedimentos do ambiente de teste da sua organização.