对正在运行的容器启动交互式 Exec 命令
编辑对正在运行的容器启动交互式 Exec 命令编辑
此规则检测使用 exec 命令对容器启动的交互式 exec 事件。在 Pod 中使用 exec 命令允许用户建立临时 Shell 会话并在容器内执行任何进程/命令。此规则专门针对允许与容器 Shell 进行实时交互的高风险交互式命令。恶意攻击者可以利用此级别的访问权限进一步危害容器环境或尝试突破容器。
规则类型:eql
规则索引:
- logs-cloud_defend*
严重性:高
风险评分: 73
运行频率:5 分钟
搜索索引的时间范围:now-6m(日期数学格式,另请参阅 其他回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 数据源:适用于容器的 Elastic Defend
- 域:容器
- 操作系统:Linux
- 用例:威胁检测
- 策略:执行
版本: 2
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
规则查询编辑
process where container.id : "*" and event.type== "start" and /* use of kubectl exec to enter a container */ process.entry_leader.entry_meta.type : "container" and /* process is the inital process run in a container */ process.entry_leader.same_as_process== true and /* interactive process */ process.interactive == true
框架:MITRE ATT&CKTM
-
策略
- 名称:执行
- ID:TA0002
- 参考 URL:https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称:命令和脚本解释器
- ID:T1059
- 参考 URL:https://attack.mitre.org/techniques/T1059/
-
子技术
- 名称:Unix Shell
- ID:T1059.004
- 参考 URL:https://attack.mitre.org/techniques/T1059/004/
-
技术
- 名称:容器管理命令
- ID:T1609
- 参考 URL:https://attack.mitre.org/techniques/T1609/