使用 HostNetwork 创建的 Kubernetes Pod
编辑使用 HostNetwork 创建的 Kubernetes Pod
编辑此规则检测尝试创建或修改附加到主机网络的 Pod。 HostNetwork 允许 Pod 使用节点网络命名空间。这样做会使 Pod 可以访问主机 localhost 上运行的任何服务。攻击者可以使用此访问权限来窥探同一节点上其他 Pod 的网络活动,或绕过应用于其给定命名空间的限制性网络策略。
规则类型: 查询
规则索引:
- logs-kubernetes.*
严重性: 中
风险评分: 47
运行频率: 5 分钟
搜索索引时间范围: 无 (日期数学格式,另请参阅 附加回溯时间
)
每次执行的最大警报数: 100
参考:
标签:
- 数据源:Kubernetes
- 策略:执行
- 策略:权限提升
版本: 204
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑设置
编辑需要启用审计日志的 Kubernetes Fleet 集成或类似结构化数据才能与此规则兼容。
规则查询
编辑event.dataset : "kubernetes.audit_logs" and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow" and kubernetes.audit.objectRef.resource:"pods" and kubernetes.audit.verb:("create" or "update" or "patch") and kubernetes.audit.requestObject.spec.hostNetwork:true and not kubernetes.audit.requestObject.spec.containers.image: ("docker.elastic.co/beats/elastic-agent:8.4.0")
框架: MITRE ATT&CKTM
-
策略
- 名称:权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:逃逸到主机
- ID: T1611
- 参考 URL: https://attack.mitre.org/techniques/T1611/
-
策略
- 名称:执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称:部署容器
- ID: T1610
- 参考 URL: https://attack.mitre.org/techniques/T1610/