Kubernetes 被拒绝的服务帐户请求

当服务帐户从 API 服务器发出未经授权的资源请求时，此规则将发出警报。服务帐户遵循非常可预测的行为模式。服务帐户永远不应该向 API 服务器发送未经授权的请求。此行为可能是集群遭到入侵或集群内部出现问题的指标。攻击者可能已经获得了凭据/令牌的访问权限，这可能是尝试访问或创建资源以方便在集群内进一步移动或执行操作。

规则类型: 查询

规则索引:

严重程度: 中等

风险评分: 47

运行频率: 5 分钟

搜索索引范围: 无 (日期数学格式，另请参阅 其他回溯时间)

每次执行的最大警报数: 100

参考:

标签:

版本: 5

规则作者:

规则许可证: Elastic License v2

event.dataset: "kubernetes.audit_logs"
  and kubernetes.audit.user.username: system\:serviceaccount\:*
  and kubernetes.audit.annotations.authorization_k8s_io/decision: "forbid"