Azure Kubernetes 角色绑定已创建
编辑Azure Kubernetes 角色绑定已创建编辑
识别角色绑定或集群角色绑定的创建。您可以使用角色绑定和集群角色绑定将这些角色分配给 Kubernetes 主体(用户、组或服务帐户)。在集群中拥有创建绑定和集群绑定的权限的攻击者可以创建对 cluster-admin ClusterRole 或其他高权限角色的绑定。
规则类型:查询
规则索引:
- filebeat-*
- logs-azure*
严重性:低
风险评分: 21
每隔:5 分钟运行一次
从以下时间开始搜索索引:now-20m(日期数学格式,另请参见 Additional look-back time)
每次执行的最大警报数: 100
参考:
标签:
- 域:云
- 数据源:Azure
- 用例:身份和访问审核
- 策略:权限提升
版本: 102
规则作者:
- Austin Songer
规则许可证:Elastic 许可证 v2
调查指南编辑
设置编辑
Azure Fleet 集成、Filebeat 模块或类似结构的数据需要与此规则兼容。
规则查询编辑
event.dataset:azure.activitylogs and azure.activitylogs.operation_name:
("MICROSOFT.KUBERNETES/CONNECTEDCLUSTERS/RBAC.AUTHORIZATION.K8S.IO/ROLEBINDINGS/WRITE" or
"MICROSOFT.KUBERNETES/CONNECTEDCLUSTERS/RBAC.AUTHORIZATION.K8S.IO/CLUSTERROLEBINDINGS/WRITE") and
event.outcome:(Success or success)
框架: MITRE ATT&CKTM
-
策略
- 名称:权限提升
- ID:TA0004
- 参考网址:https://attack.mitre.org/tactics/TA0004/