Kubernetes 可疑的控制器服务帐户分配

Kubernetes 可疑的控制器服务帐户分配编辑

此规则检测到将控制器服务帐户附加到 kube-system 命名空间中运行的现有或新 Pod 的请求。默认情况下，作为 API 服务器的一部分运行的控制器使用 kube-system 命名空间中托管的管理员等效服务帐户。控制器服务帐户通常不会分配给正在运行的 Pod，并且可能表明集群中存在攻击者行为。如果攻击者可以在 kube-system 命名空间中创建或修改 Pod 或 Pod 控制器，则可以将其中一个管理员等效服务帐户分配给 Pod，并滥用其强大的令牌来提升权限并获得完整的集群控制权。

规则类型：查询

规则索引:

logs-kubernetes.*

严重性：中等

风险评分: 47

运行间隔：5 分钟

搜索索引范围：无（日期数学格式，另请参阅额外的回溯时间）

每次执行的最大警报数: 100

参考:

https://www.paloaltonetworks.com/apps/pan/public/downloadResource?pagePath=/content/pan/en_US/resources/whitepapers/kubernetes-privilege-escalation-excessive-permissions-in-popular-platforms

标签:

数据源：Kubernetes
战术：执行
战术：权限提升

版本: 6

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

调查指南编辑

设置编辑

要与此规则兼容，需要启用审计日志或具有类似结构化数据的 Kubernetes Fleet 集成。

规则查询编辑

event.dataset : "kubernetes.audit_logs"
  and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow"
  and kubernetes.audit.verb : "create"
  and kubernetes.audit.objectRef.resource : "pods"
  and kubernetes.audit.objectRef.namespace : "kube-system"
  and kubernetes.audit.requestObject.spec.serviceAccountName:*controller

框架：MITRE ATT&CK^TM

战术
- 名称：权限提升
- ID：TA0004
- 参考 URL：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：有效帐户
- ID：T1078
- 参考 URL：https://attack.mitre.org/techniques/T1078/
子技术
- 名称：默认帐户
- ID：T1078.001
- 参考 URL：https://attack.mitre.org/techniques/T1078/001/

« Kubernetes 特权 Pod 创建 Kubernetes 可疑的自我主体审查 »