Microsoft Defender for Containers では、コントロール プレーンとランタイム環境の両方を監視することで、Kubernetes クラスターとワークロードのセキュリティ アラートが生成されます。 アラートの生成を検証するには、Kubernetes アラート シミュレーション ツールを使用して、代表的なアラートをトリガーできます。
環境で使用可能なアラートは、Kubernetes ディストリビューション (AKS、EKS、GKE、または Arc 対応)、インストールされているコンポーネント、監視対象の特定のアクティビティによって異なります。
コントロール プレーンの検出
Kubernetes コントロール プレーンは、クラスター内のすべてのリソースを管理および調整します。 Defender for Containers は、Kubernetes API サーバーのアクティビティを監視して、クラスターのセキュリティに影響を与える可能性のある疑わしい操作を特定します。
疑わしいコントロール プレーン操作の例を次に示します。
- 特権コンテナーのデプロイ: 承認されていないデプロイまたはホスト システムの侵害につながる可能性がある特権の過剰な使用の監視。
- 危険なサービスの露出: サービスが誤ってパブリック インターネットに公開されているか、適切なアクセス制御がないことが特定されます。
- 疑わしいサービス アカウントアクティビティ: 過剰なリソース要求や未承認の API 呼び出しなどの異常なパターンを検出する。
ワークロード ランタイムの検出
Defender for Containers では、Defender センサーを使用してワークロード ランタイム アクティビティを監視し、疑わしいプロセスの作成またはネットワーク動作を検出します。
主な検出カテゴリは次のとおりです。
- Web シェル アクティビティ: 実行中のコンテナーでの Web シェル呼び出しに似た動作を検出します。
- 暗号化マイニング アクティビティ: CPU 最適化パターン、疑わしいダウンロード アクティビティ、既知のマイニング プロセスなど、暗号化マイニングに関連付けられている動作を検出します。
- ネットワーク スキャン ツール: 悪意のある偵察に一般的に使用されるツールを検出します。
- バイナリ ドリフト検出: 元のコンテナー イメージからドリフトしたワークロード バイナリを検出します。 詳細については、「 バイナリ ドリフト検出」を参照してください。
Kubernetes アラート シミュレーション ツール
Defender for Containers には、Kubernetes 攻撃シナリオをシミュレートし、Kubernetes セキュリティ アラートが生成されたことを確認するのに役立つ、オープンソースのPythonベースの CLI ツールが用意されています。
シミュレーション ツールは、Defender for Cloud Attack Simulation GitHub リポジトリに保持されます。 最新の前提条件、インストール手順、使用可能なシナリオ、予想されるアラートを確認するには、リポジトリ README を参照してください。
Note
シミュレーション ツールには悪意のあるコードは含まれません。 運用クラスターではなく、専用のテスト クラスターで実行します。
シミュレーションを実行すると、一部のアラートがほぼリアルタイムで生成されます。 表示されるまでに最大 1 時間かかる場合があります。
生成されたアラートを確認するには:
Azure ポータルにサインインします。
Microsoft Defender for Cloud>Security alerts に移動します。
シミュレートされたクラスターとシナリオに関連するアラートを確認します。
Note
シミュレーション ツールは、テスト リソースをクラスターにデプロイします。 テストが完了したら、組織のテスト環境の手順に従ってそれらのリソースを削除します。
関連するコンテンツ
Microsoft Defender for Cloud