已创建 Azure Kubernetes 角色绑定
编辑已创建 Azure Kubernetes 角色绑定
编辑识别角色绑定或集群角色绑定的创建。您可以使用角色绑定和集群角色绑定将这些角色分配给 Kubernetes 主体(用户、组或服务帐户)。拥有在集群中创建绑定和集群绑定的权限的攻击者可以创建对 cluster-admin ClusterRole 或其他高权限角色的绑定。
规则类型:查询
规则索引:
- filebeat-*
- logs-azure*
严重性:低
风险评分: 21
每:5 分钟运行一次
搜索索引自:now-20m(日期数学格式,另见 附加回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 领域:云
- 数据源:Azure
- 用例:身份和访问审计
- 策略:权限提升
版本: 102
规则作者:
- Austin Songer
规则许可证:Elastic License v2
调查指南
编辑设置
编辑需要 Azure Fleet 集成、Filebeat 模块或结构类似的数据才能与该规则兼容。
规则查询
编辑event.dataset:azure.activitylogs and azure.activitylogs.operation_name:
("MICROSOFT.KUBERNETES/CONNECTEDCLUSTERS/RBAC.AUTHORIZATION.K8S.IO/ROLEBINDINGS/WRITE" or
"MICROSOFT.KUBERNETES/CONNECTEDCLUSTERS/RBAC.AUTHORIZATION.K8S.IO/CLUSTERROLEBINDINGS/WRITE") and
event.outcome:(Success or success)
框架:MITRE ATT&CKTM
-
策略
- 名称:权限提升
- ID:TA0004
- 参考网址:https://attack.mitre.org/tactics/TA0004/