Kubernetes 用户执行进入 Pod
编辑Kubernetes 用户执行进入 Pod
编辑此规则检测用户尝试使用 exec 命令在 Pod 中建立 shell 会话的行为。在 Pod 中使用 exec 命令允许用户建立临时的 shell 会话并在 Pod 中执行任何进程/命令。攻击者可能会调用 bash 以获得持久的交互式 shell,这将允许访问 Pod 具有权限的任何数据,包括机密信息。
规则类型: 查询
规则索引:
- logs-kubernetes.*
严重性: 中
风险评分: 47
运行频率: 5 分钟
搜索索引时间范围: 无 (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 数据源: Kubernetes
- 策略: 执行
版本: 203
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑设置
编辑需要启用审计日志的 Kubernetes Fleet 集成或类似结构的数据才能与此规则兼容。
规则查询
编辑event.dataset : "kubernetes.audit_logs" and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow" and kubernetes.audit.verb:"create" and kubernetes.audit.objectRef.resource:"pods" and kubernetes.audit.objectRef.subresource:"exec"
框架: MITRE ATT&CKTM
-
策略
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称: 容器管理命令
- ID: T1609
- 参考 URL: https://attack.mitre.org/techniques/T1609/