Kubernetes 用户使用 exec 命令进入 Pod
编辑Kubernetes 用户使用 exec 命令进入 Pod
编辑此规则检测用户尝试使用exec命令建立到 Pod 的 shell 会话。在 Pod 中使用exec命令允许用户建立临时 shell 会话并在 Pod 中执行任何进程/命令。攻击者可能会调用 bash 来获得持久的交互式 shell,这将允许访问 Pod 具有权限访问的任何数据,包括密钥。
规则类型: 查询
规则索引:
- logs-kubernetes.*
严重性: 中等
风险评分: 47
运行频率: 5 分钟
搜索索引时间范围: 无 (日期数学格式,另见 额外回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 数据源:Kubernetes
- 策略:执行
版本: 203
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑设置
编辑需要启用审核日志的 Kubernetes 集群集成或具有类似结构的数据才能与此规则兼容。
规则查询
编辑event.dataset : "kubernetes.audit_logs" and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow" and kubernetes.audit.verb:"create" and kubernetes.audit.objectRef.resource:"pods" and kubernetes.audit.objectRef.subresource:"exec"
框架: MITRE ATT&CKTM
-
策略
- 名称:执行
- ID:TA0002
- 参考网址:https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称:容器管理命令
- ID:T1609
- 参考网址:https://attack.mitre.org/techniques/T1609/