Kubernetes 匿名请求已授权

此规则检测集群中何时授权了未经身份验证的用户请求。攻击者可能会尝试使用匿名帐户来获得对集群的初始访问权限，或者避免在集群中对其活动进行归因。此规则排除了 /healthz、/livez 和 /readyz 端点，这些端点通常以匿名方式访问。

规则类型: 查询

规则索引:

logs-kubernetes.*

严重性: 中

风险评分: 47

运行频率: 5分钟

搜索索引时间范围: 无 (日期数学格式，另请参阅额外回溯时间)

每次执行的最大警报数: 100

参考:

https://media.defense.gov/2022/Aug/29/2003066362/-1/-1/0/CTR_KUBERNETES_HARDENING_GUIDANCE_1.2_20220829.PDF

标签:

数据源: Kubernetes
策略: 执行
策略: 初始访问
策略: 防御规避

版本: 6

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要启用审计日志的 Kubernetes Fleet 集成或类似结构的数据才能与此规则兼容。

规则查询

编辑

event.dataset:kubernetes.audit_logs
  and kubernetes.audit.annotations.authorization_k8s_io/decision:allow
  and kubernetes.audit.user.username:("system:anonymous" or "system:unauthenticated" or not *)
  and not kubernetes.audit.requestURI:(/healthz* or /livez* or /readyz*)

框架: MITRE ATT&CK^TM

策略
- 名称: 初始访问
- ID: TA0001
- 参考 URL: https://attack.mitre.org/tactics/TA0001/
技术
- 名称: 有效帐户
- ID: T1078
- 参考 URL: https://attack.mitre.org/techniques/T1078/
子技术
- 名称: 默认帐户
- ID: T1078.001
- 参考 URL: https://attack.mitre.org/techniques/T1078/001/

« Kirbi 文件创建 Kubernetes 容器创建时具有过多的 Linux 功能 »