› › ›

针对正在运行的容器启动交互式 exec 命令

此规则检测使用 exec 命令针对容器启动的交互式 exec 事件。在 Pod 中使用 exec 命令允许用户建立临时 shell 会话并在容器内执行任何进程/命令。此规则专门针对允许与容器 shell 实时交互的风险较高的交互式命令。恶意行为者可以使用此级别的访问权限进一步破坏容器环境或尝试容器逃逸。

规则类型: eql

规则索引:

logs-cloud_defend*

严重性: 高

风险评分: 73

每隔: 5 分钟

搜索索引时间范围: now-6m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

数据源：Elastic Defend for Containers
领域：容器
操作系统：Linux
用例：威胁检测
策略：执行

版本: 2

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

process where container.id : "*" and event.type== "start" and

/* use of kubectl exec to enter a container */
process.entry_leader.entry_meta.type : "container" and

/* process is the inital process run in a container */
process.entry_leader.same_as_process== true and

/* interactive process */
process.interactive == true

框架: MITRE ATT&CK^TM

策略
- 名称：执行
- ID：TA0002
- 参考网址：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：命令和脚本解释器
- ID：T1059
- 参考网址：https://attack.mitre.org/techniques/T1059/
子技术
- 名称：Unix Shell
- ID：T1059.004
- 参考网址：https://attack.mitre.org/techniques/T1059/004/
技术
- 名称：容器管理命令
- ID：T1609
- 参考网址：https://attack.mitre.org/techniques/T1609/

« 安全支持提供程序的安装异常进程的交互式登录 »