在特权容器内启动文件系统调试器

此规则检测在特权容器内部使用内置 Linux DebugFS 实用程序的情况。DebugFS 是一种特殊的文件系统调试实用程序，支持直接从硬盘驱动器设备读取和写入数据。当在特权容器（使用主机的所有功能部署的容器）内启动时，攻击者可以访问敏感的主机级别文件，这些文件可用于进一步提升权限并逃逸到主机。

规则类型：eql

规则索引:

严重性：中等

风险评分: 47

运行频率：5 分钟

搜索索引的时间范围：now-6m（日期数学格式，另请参阅 额外回溯时间）

每次执行的最大警报数: 100

参考:

标签:

版本: 1

规则作者:

规则许可证：Elastic 许可证 v2

process where event.module == "cloud_defend" and
  event.type == "start" and process.name == "debugfs" and
  process.args : "/dev/sd*" and not process.args == "-R" and
  container.security_context.privileged == true