容器内部启动可疑交互式 Shell
编辑容器内部启动可疑交互式 Shell
编辑此规则检测在运行的容器内是否启动了交互式 Shell。这可能表明存在潜在的容器逃逸尝试或攻击者试图未经授权访问底层主机。
规则类型: eql
规则索引:
- logs-cloud_defend*
严重性: 高
风险评分: 73
每隔: 5m
搜索索引时间范围: now-6m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大告警数: 100
参考: 无
标签:
- 数据源:Elastic Defend for Containers
- 领域:容器
- 操作系统:Linux
- 用例:威胁检测
- 战术:执行
版本: 2
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑process where container.id: "*" and
event.type== "start" and
/*D4C consolidates closely spawned event.actions, this excludes end actions to only capture ongoing processes*/
event.action in ("fork", "exec") and event.action != "end"
and process.entry_leader.same_as_process== false and
(
(process.executable: "*/*sh" and process.args: ("-i", "-it")) or
process.args: "*/*sh"
)
框架: MITRE ATT&CKTM
-
战术
- 名称:执行
- ID:TA0002
- 参考 URL:https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称:命令和脚本解释器
- ID:T1059
- 参考 URL:https://attack.mitre.org/techniques/T1059/
-
子技术
- 名称:Unix Shell
- ID:T1059.004
- 参考 URL:https://attack.mitre.org/techniques/T1059/004/