使用 HostNetwork 创建的 Kubernetes Pod

编辑

此规则检测尝试创建或修改附加到主机网络的 Pod。 HostNetwork 允许 Pod 使用节点网络命名空间。这样做会使 Pod 可以访问主机 localhost 上运行的任何服务。攻击者可以使用此访问权限来窥探同一节点上其他 Pod 的网络活动,或绕过应用于其给定命名空间的限制性网络策略。

规则类型: 查询

规则索引:

  • logs-kubernetes.*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引时间范围: 无 (日期数学格式,另请参阅 附加回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 数据源:Kubernetes
  • 策略:执行
  • 策略:权限提升

版本: 204

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要启用审计日志的 Kubernetes Fleet 集成或类似结构化数据才能与此规则兼容。

规则查询

编辑
event.dataset : "kubernetes.audit_logs"
  and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow"
  and kubernetes.audit.objectRef.resource:"pods"
  and kubernetes.audit.verb:("create" or "update" or "patch")
  and kubernetes.audit.requestObject.spec.hostNetwork:true
  and not kubernetes.audit.requestObject.spec.containers.image: ("docker.elastic.co/beats/elastic-agent:8.4.0")

框架: MITRE ATT&CKTM