Kubernetes 匿名请求已授权

编辑

Kubernetes 匿名请求已授权

编辑

此规则检测集群内是否授权了未经身份验证的用户请求。攻击者可能会尝试使用匿名帐户获取对集群的初始访问权限，或避免对其在集群内的活动进行归因。此规则排除了通常匿名访问的 /healthz、/livez 和 /readyz 端点。

规则类型: 查询

规则索引:

logs-kubernetes.*

严重性: 中等

风险评分: 47

每隔: 5m

搜索索引自: 无 (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考:

https://media.defense.gov/2022/Aug/29/2003066362/-1/-1/0/CTR_KUBERNETES_HARDENING_GUIDANCE_1.2_20220829.PDF

标签:

数据源：Kubernetes
战术：执行
战术：初始访问
战术：防御规避

版本: 6

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要启用审核日志的 Kubernetes Fleet 集成或类似结构的数据才能与此规则兼容。

规则查询

编辑

event.dataset:kubernetes.audit_logs
  and kubernetes.audit.annotations.authorization_k8s_io/decision:allow
  and kubernetes.audit.user.username:("system:anonymous" or "system:unauthenticated" or not *)
  and not kubernetes.audit.requestURI:(/healthz* or /livez* or /readyz*)

框架: MITRE ATT&CK^TM

战术
- 名称：初始访问
- ID：TA0001
- 参考网址：https://attack.mitre.org/tactics/TA0001/
技术
- 名称：有效帐户
- ID：T1078
- 参考网址：https://attack.mitre.org/techniques/T1078/
子技术
- 名称：默认帐户
- ID：T1078.001
- 参考网址：https://attack.mitre.org/techniques/T1078/001/

« Kirbi 文件创建 Kubernetes 容器创建时使用了过多的 Linux 功能 »