在运行的容器内建立的 SSH 连接

编辑

此规则检测在运行的容器内建立的传入 SSH 连接。应避免在容器内运行 ssh 守护进程,如果必要,则应密切监控。如果攻击者获得有效的凭据,他们可以使用它来获得初始访问权限或在受损环境中建立持久性。

规则类型: eql

规则索引:

  • logs-cloud_defend*

严重性: 高

风险评分: 73

运行频率: 5 分钟

搜索索引起始时间: now-6m (日期数学格式,另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 数据源: Elastic Defend for Containers
  • 域: 容器
  • 操作系统: Linux
  • 用例: 威胁检测
  • 战术: 初始访问
  • 战术: 横向移动

版本: 2

规则作者:

  • Elastic

规则许可证: Elastic License v2

规则查询

编辑
process where container.id: "*" and event.type == "start" and

/* use of sshd to enter a container*/
process.entry_leader.entry_meta.type: "sshd"  and

/* process is the initial process run in a container or start of a new session*/
(process.entry_leader.same_as_process== true or process.session_leader.same_as_process== true) and

/* interactive process*/
process.interactive== true

框架: MITRE ATT&CKTM