Azure Kubernetes 角色绑定创建
编辑Azure Kubernetes 角色绑定创建
编辑识别角色绑定或集群角色绑定的创建。 您可以使用角色绑定和集群角色绑定将这些角色分配给 Kubernetes 主体(用户、组或服务帐户)。 拥有在集群中创建绑定和集群绑定的权限的攻击者可以创建指向 cluster-admin ClusterRole 或其他高权限角色的绑定。
规则类型: 查询
规则索引:
- filebeat-*
- logs-azure*
严重性: 低
风险评分: 21
运行频率: 5 分钟
搜索索引起始时间: now-20m (日期数学格式,另请参阅额外回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 领域: 云
- 数据源: Azure
- 用例: 身份和访问审计
- 策略: 权限提升
版本: 102
规则作者:
- Austin Songer
规则许可证: Elastic License v2
调查指南
编辑设置
编辑需要 Azure Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。
规则查询
编辑event.dataset:azure.activitylogs and azure.activitylogs.operation_name:
("MICROSOFT.KUBERNETES/CONNECTEDCLUSTERS/RBAC.AUTHORIZATION.K8S.IO/ROLEBINDINGS/WRITE" or
"MICROSOFT.KUBERNETES/CONNECTEDCLUSTERS/RBAC.AUTHORIZATION.K8S.IO/CLUSTERROLEBINDINGS/WRITE") and
event.outcome:(Success or success)
框架: MITRE ATT&CKTM
-
策略
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/