Kubernetes 可疑控制器服务帐户分配

此规则检测到将控制器服务帐户附加到 kube-system 命名空间中运行的现有或新 Pod 的请求。默认情况下，作为 API 服务器一部分运行的控制器使用托管在 kube-system 命名空间中的等效于管理员的服务帐户。控制器服务帐户通常不会分配给正在运行的 Pod，这可能表明集群内存在攻击者行为。能够在 kube-system 命名空间中创建或修改 Pod 或 Pod 控制器的攻击者可以将这些等效于管理员的服务帐户之一分配给 Pod，并滥用其强大的令牌来提升权限并获得完全的集群控制权。

规则类型: 查询

规则索引:

logs-kubernetes.*

严重性: 中等

风险评分: 47

每隔: 5 分钟运行

搜索索引自: 无 (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

https://www.paloaltonetworks.com/apps/pan/public/downloadResource?pagePath=/content/pan/en_US/resources/whitepapers/kubernetes-privilege-escalation-excessive-permissions-in-popular-platforms

标签:

数据源：Kubernetes
策略：执行
策略：权限提升

版本: 6

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要启用审核日志的 Kubernetes Fleet 集成或结构类似的数据才能与该规则兼容。

规则查询

编辑

event.dataset : "kubernetes.audit_logs"
  and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow"
  and kubernetes.audit.verb : "create"
  and kubernetes.audit.objectRef.resource : "pods"
  and kubernetes.audit.objectRef.namespace : "kube-system"
  and kubernetes.audit.requestObject.spec.serviceAccountName:*controller

框架: MITRE ATT&CK^TM

策略
- 名称：权限提升
- ID：TA0004
- 参考 URL：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：有效帐户
- ID：T1078
- 参考 URL：https://attack.mitre.org/techniques/T1078/
子技术
- 名称：默认帐户
- ID：T1078.001
- 参考 URL：https://attack.mitre.org/techniques/T1078/001/

« Kubernetes 创建特权 Pod Kubernetes 可疑 Self-Subject Review »