Kubernetes 拒绝服务帐户请求
编辑Kubernetes 拒绝服务帐户请求
编辑此规则检测服务帐户何时向 API 服务器发出未经授权的资源请求。服务帐户遵循非常可预测的行为模式。服务帐户绝不应向 API 服务器发送未经授权的请求。此行为很可能是集群内遭到入侵或出现问题的迹象。攻击者可能已获得凭据/令牌,这可能是尝试访问或创建资源,以方便在集群内进一步移动或执行操作。
规则类型:查询
规则索引:
- logs-kubernetes.*
严重程度:中
风险评分: 47
运行频率:5 分钟
搜索索引时间范围:无(日期数学格式,另请参阅 额外回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 数据源:Kubernetes
- 策略:发现
版本: 5
规则作者:
- Elastic
规则许可证:Elastic License v2
调查指南
编辑设置
编辑需要启用审计日志的 Kubernetes Fleet 集成或类似结构的数据才能与此规则兼容。
规则查询
编辑event.dataset: "kubernetes.audit_logs" and kubernetes.audit.user.username: system\:serviceaccount\:* and kubernetes.audit.annotations.authorization_k8s_io/decision: "forbid"
框架:MITRE ATT&CKTM
-
策略
- 名称:发现
- ID:TA0007
- 参考 URL:https://attack.mitre.org/tactics/TA0007/
-
技术
- 名称:容器和资源发现
- ID:T1613
- 参考 URL:https://attack.mitre.org/techniques/T1613/