创建特权 Kubernetes Pod

此规则检测用户何时创建以特权模式运行的 pod/容器。高特权容器可以访问节点的资源，并破坏容器之间的隔离。如果遭到入侵，攻击者可以使用特权容器访问底层主机。访问主机可能会为攻击者提供机会来实现后续目标，例如建立持久性、在环境中横向移动或在主机上设置命令和控制通道。

规则类型: 查询

规则索引:

logs-kubernetes.*

严重性: 中等

风险评分: 47

每隔: 5 分钟

搜索索引自: 无 (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

数据源：Kubernetes
策略：执行
策略：权限提升

版本: 204

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要启用审核日志的 Kubernetes 集群集成或类似结构的数据才能与此规则兼容。

规则查询

编辑

event.dataset : "kubernetes.audit_logs"
  and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow"
  and kubernetes.audit.objectRef.resource:pods
  and kubernetes.audit.verb:create
  and kubernetes.audit.requestObject.spec.containers.securityContext.privileged:true
  and not kubernetes.audit.requestObject.spec.containers.image: ("docker.elastic.co/beats/elastic-agent:8.4.0")

框架: MITRE ATT&CK^TM

策略
- 名称：权限提升
- ID：TA0004
- 参考网址：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：逃逸到主机
- ID：T1611
- 参考网址：https://attack.mitre.org/techniques/T1611/
策略
- 名称：执行
- ID：TA0002
- 参考网址：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：部署容器
- ID：T1610
- 参考网址：https://attack.mitre.org/techniques/T1610/

« 使用敏感 hostPath 卷创建 Kubernetes Pod Kubernetes 控制器服务帐户的可疑分配 »