Kubernetes 匿名请求授权

编辑

Kubernetes 匿名请求授权编辑

此规则检测集群内何时授权未经身份验证的用户请求。攻击者可能会尝试使用匿名帐户获取对集群的初始访问权限，或避免其在集群内的活动被溯源。此规则排除了通常匿名访问的 /healthz、/livez 和 /readyz 端点。

规则类型: 查询

规则索引:

logs-kubernetes.*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引范围: 无 (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

https://media.defense.gov/2022/Aug/29/2003066362/-1/-1/0/CTR_KUBERNETES_HARDENING_GUIDANCE_1.2_20220829.PDF

标签:

数据源: Kubernetes
战术: 执行
战术: 初始访问
战术: 防御规避

版本: 6

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

调查指南编辑

设置编辑

此规则要求启用审计日志的 Kubernetes Fleet 集成或类似结构的数据。

规则查询编辑

event.dataset:kubernetes.audit_logs
  and kubernetes.audit.annotations.authorization_k8s_io/decision:allow
  and kubernetes.audit.user.username:("system:anonymous" or "system:unauthenticated" or not *)
  and not kubernetes.audit.requestURI:(/healthz* or /livez* or /readyz*)

框架: MITRE ATT&CK^TM

战术
- 名称: 初始访问
- ID: TA0001
- 参考链接: https://attack.mitre.org/tactics/TA0001/
技术
- 名称: 有效帐户
- ID: T1078
- 参考链接: https://attack.mitre.org/techniques/T1078/
子技术
- 名称: 默认帐户
- ID: T1078.001
- 参考链接: https://attack.mitre.org/techniques/T1078/001/

« Kirbi 文件创建 Kubernetes 容器创建时具有过多的 Linux 功能 »