Kubernetes 可疑自身主体审查
编辑Kubernetes 可疑自身主体审查
编辑此规则检测服务帐户或节点是否尝试通过 selfsubjectaccessreview 或 selfsubjectrulesreview API 枚举其自身权限。对于服务帐户和节点等非人工身份,这是一种非常不寻常的行为。攻击者可能已获得凭据/令牌,这可能是为了确定他们拥有哪些权限,以便在集群内进一步移动或执行操作。
规则类型: 查询
规则索引:
- logs-kubernetes.*
严重性: 中等
风险评分: 47
运行频率: 5 分钟
搜索索引时间范围: 无 (日期数学格式,另见 额外回溯时间)
每次执行的最大告警数: 100
参考资料:
- https://www.paloaltonetworks.com/apps/pan/public/downloadResource?pagePath=/content/pan/en_US/resources/whitepapers/kubernetes-privilege-escalation-excessive-permissions-in-popular-platforms
- https://kubernetes.ac.cn/docs/reference/access-authn-authz/authorization/#checking-api-access
- https://techcommunity.microsoft.com/t5/microsoft-defender-for-cloud/detecting-identity-attacks-in-kubernetes/ba-p/3232340
标签:
- 数据源: Kubernetes
- 策略: 发现
版本: 203
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑设置
编辑需要启用审核日志的 Kubernetes 集群集成或具有类似结构的数据才能与此规则兼容。
规则查询
编辑event.dataset : "kubernetes.audit_logs"
and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow"
and kubernetes.audit.verb:"create"
and kubernetes.audit.objectRef.resource:("selfsubjectaccessreviews" or "selfsubjectrulesreviews")
and (kubernetes.audit.user.username:(system\:serviceaccount\:* or system\:node\:*)
or kubernetes.audit.impersonatedUser.username:(system\:serviceaccount\:* or system\:node\:*))
框架: MITRE ATT&CKTM
-
策略
- 名称: 发现
- ID: TA0007
- 参考 URL: https://attack.mitre.org/tactics/TA0007/
-
技术
- 名称: 容器和资源发现
- ID: T1613
- 参考 URL: https://attack.mitre.org/techniques/T1613/