使用敏感 hostPath 卷创建的 Kubernetes Pod
编辑使用敏感 hostPath 卷创建的 Kubernetes Pod
编辑此规则检测何时使用类型为 hostPath 的敏感卷创建 Pod。hostPath 卷类型会将节点中的敏感文件或文件夹挂载到容器。如果容器受到入侵,攻击者可以使用此挂载点访问节点。拥有对主机文件系统不受限制的访问权限的容器有很多方法可以提升权限,包括读取其他容器中的数据以及访问特权更高的 Pod 的令牌。
规则类型:查询
规则索引:
- logs-kubernetes.*
严重性:中等
风险评分: 47
每隔:5 分钟
每次执行的最大告警数: 100
参考资料:
标签:
- 数据源:Kubernetes
- 策略:执行
- 策略:权限提升
版本: 204
规则作者:
- Elastic
规则许可证:Elastic License v2
调查指南
编辑设置
编辑需要启用审计日志的 Kubernetes Fleet 集成或结构类似的数据才能与此规则兼容。
规则查询
编辑event.dataset : "kubernetes.audit_logs"
and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow"
and kubernetes.audit.objectRef.resource:"pods"
and kubernetes.audit.verb:("create" or "update" or "patch")
and kubernetes.audit.requestObject.spec.volumes.hostPath.path:
("/" or
"/proc" or
"/root" or
"/var" or
"/var/run" or
"/var/run/docker.sock" or
"/var/run/crio/crio.sock" or
"/var/run/cri-dockerd.sock" or
"/var/lib/kubelet" or
"/var/lib/kubelet/pki" or
"/var/lib/docker/overlay2" or
"/etc" or
"/etc/kubernetes" or
"/etc/kubernetes/manifests" or
"/etc/kubernetes/pki" or
"/home/admin")
and not kubernetes.audit.requestObject.spec.containers.image: ("docker.elastic.co/beats/elastic-agent:8.4.0")
框架:MITRE ATT&CKTM
-
策略
- 名称:权限提升
- ID:TA0004
- 参考 URL:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:逃逸到主机
- ID:T1611
- 参考 URL:https://attack.mitre.org/techniques/T1611/
-
策略
- 名称:执行
- ID:TA0002
- 参考 URL:https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称:部署容器
- ID:T1610
- 参考 URL:https://attack.mitre.org/techniques/T1610/