使用 HostIPC 创建的 Kubernetes Pod
编辑使用 HostIPC 创建的 Kubernetes Pod编辑
此规则检测尝试使用主机 IPC 命名空间创建或修改 Pod。这将授予对任何也使用主机 IPC 命名空间的 Pod 使用的数据的访问权限。如果主机上的任何进程或 Pod 中的任何进程使用主机的进程间通信机制(共享内存、信号量数组、消息队列等),攻击者可以读写这些相同机制。他们可能会在 /dev/shm 中查找文件或使用 ipcs 检查正在使用的任何 IPC 设施。
规则类型:查询
规则索引:
- logs-kubernetes.*
严重性:中等
风险评分: 47
每隔:5 分钟运行一次
从以下时间开始搜索索引:无(日期数学格式,另请参见 附加追溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 数据源:Kubernetes
- 策略:执行
- 策略:权限提升
版本: 203
规则作者:
- Elastic
规则许可:Elastic 许可证 v2
调查指南编辑
设置编辑
启用审计日志或类似结构化数据的 Kubernetes Fleet 集成必须与此规则兼容。
规则查询编辑
event.dataset : "kubernetes.audit_logs"
and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow"
and kubernetes.audit.objectRef.resource:"pods"
and kubernetes.audit.verb:("create" or "update" or "patch")
and kubernetes.audit.requestObject.spec.hostIPC:true
and not kubernetes.audit.requestObject.spec.containers.image: ("docker.elastic.co/beats/elastic-agent:8.4.0")
框架:MITRE ATT&CKTM
-
策略
- 名称:权限提升
- ID:TA0004
- 参考网址:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:逃逸到主机
- ID:T1611
- 参考网址:https://attack.mitre.org/techniques/T1611/
-
策略
- 名称:执行
- ID:TA0002
- 参考网址:https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称:部署容器
- ID:T1610
- 参考网址:https://attack.mitre.org/techniques/T1610/