使用 HostNetwork 创建的 Kubernetes Pod

使用 HostNetwork 创建的 Kubernetes Pod编辑

此规则检测尝试创建或修改连接到主机网络的 Pod。HostNetwork 允许 Pod 使用节点网络命名空间。这样做可以让 Pod 访问主机 localhost 上运行的任何服务。攻击者可以利用此访问权限窥探同一节点上其他 Pod 的网络活动或绕过应用于其指定命名空间的限制性网络策略。

规则类型：查询

规则索引:

logs-kubernetes.*

严重程度：中等

风险评分: 47

运行间隔：5 分钟

搜索索引范围：无（日期数学格式，另请参阅额外回溯时间）

每次执行的最大警报数: 100

参考:

标签:

数据源：Kubernetes
战术：执行
战术：权限提升

版本: 203

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

调查指南编辑

设置编辑

要与此规则兼容，需要启用审计日志的 Kubernetes Fleet 集成或类似结构的数据。

规则查询编辑

event.dataset : "kubernetes.audit_logs"
  and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow"
  and kubernetes.audit.objectRef.resource:"pods"
  and kubernetes.audit.verb:("create" or "update" or "patch")
  and kubernetes.audit.requestObject.spec.hostNetwork:true
  and not kubernetes.audit.requestObject.spec.containers.image: ("docker.elastic.co/beats/elastic-agent:8.4.0")

框架：MITRE ATT&CK^TM

战术
- 名称：权限提升
- ID：TA0004
- 参考 URL：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：逃逸到主机
- ID：T1611
- 参考 URL：https://attack.mitre.org/techniques/T1611/
战术
- 名称：执行
- ID：TA0002
- 参考 URL：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：部署容器
- ID：T1610
- 参考 URL：https://attack.mitre.org/techniques/T1610/

« 使用 HostIPC 创建的 Kubernetes Pod 使用 HostPID 创建的 Kubernetes Pod »