创建了 Kubernetes 特权 Pod
编辑创建了 Kubernetes 特权 Pod编辑
当用户创建以特权模式运行的 pod/容器时,此规则会发出警报。 高特权容器可以访问节点的资源并破坏容器之间的隔离。 如果遭到入侵,攻击者可以使用特权容器来访问底层主机。 访问主机可能会为攻击者提供实现后续目标的机会,例如建立持久性、在环境中横向移动或在主机上设置命令和控制通道。
规则类型:查询
规则索引:
- logs-kubernetes.*
严重性:中等
风险评分: 47
运行频率:5 分钟
搜索索引的时间范围:无(日期数学格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 数据源:Kubernetes
- 策略:执行
- 策略:权限提升
版本: 203
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
调查指南编辑
设置编辑
要与此规则兼容,需要启用审计日志的 Kubernetes Fleet 集成或结构相似的数据。
规则查询编辑
event.dataset : "kubernetes.audit_logs"
and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow"
and kubernetes.audit.objectRef.resource:pods
and kubernetes.audit.verb:create
and kubernetes.audit.requestObject.spec.containers.securityContext.privileged:true
and not kubernetes.audit.requestObject.spec.containers.image: ("docker.elastic.co/beats/elastic-agent:8.4.0")
框架:MITRE ATT&CKTM
-
策略
- 名称:权限提升
- ID:TA0004
- 参考 URL:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:逃逸到主机
- ID:T1611
- 参考 URL:https://attack.mitre.org/techniques/T1611/
-
策略
- 名称:执行
- ID:TA0002
- 参考 URL:https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称:部署容器
- ID:T1610
- 参考 URL:https://attack.mitre.org/techniques/T1610/