Kubernetes 特权 Pod 创建

此规则检测用户何时创建以特权模式运行的 pod/容器。高度特权的容器可以访问节点的资源并破坏容器之间的隔离。如果被攻破，攻击者可以使用特权容器来获得对底层主机的访问权限。获得对主机的访问权限可能会为对手提供实现后续目标的机会，例如建立持久性、在环境中横向移动或在主机上建立命令和控制通道。

规则类型: 查询

规则索引:

logs-kubernetes.*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引时间范围: 无（日期数学格式，另请参阅 额外回溯时间）

每次执行的最大警报数: 100

参考:

标签:

数据源: Kubernetes
策略: 执行
策略: 权限提升

版本: 204

规则作者:

Elastic

规则许可: Elastic License v2

调查指南

编辑

设置

编辑

需要启用审计日志的 Kubernetes Fleet 集成或类似结构的数据才能与此规则兼容。

规则查询

编辑

event.dataset : "kubernetes.audit_logs"
  and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow"
  and kubernetes.audit.objectRef.resource:pods
  and kubernetes.audit.verb:create
  and kubernetes.audit.requestObject.spec.containers.securityContext.privileged:true
  and not kubernetes.audit.requestObject.spec.containers.image: ("docker.elastic.co/beats/elastic-agent:8.4.0")

框架: MITRE ATT&CK^TM

策略
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
技术
- 名称: 逃逸到主机
- ID: T1611
- 参考 URL: https://attack.mitre.org/techniques/T1611/
策略
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: 部署容器
- ID: T1610
- 参考 URL: https://attack.mitre.org/techniques/T1610/

« Kubernetes 使用敏感 hostPath 卷创建 Pod Kubernetes 可疑的控制器服务帐户分配 »