Kubernetes 可疑的自主题体审查
编辑Kubernetes 可疑的自主题体审查编辑
此规则检测服务帐户或节点尝试通过 selfsubjectaccessreview 或 selfsubjectrulesreview API 枚举其自身权限的情况。对于非人类身份(如服务帐户和节点)来说,这是非常异常的行为。攻击者可能已获得凭证/令牌的访问权限,这可能是尝试确定其在群集中进一步移动或执行所需的权限。
规则类型:查询
规则索引:
- logs-kubernetes.*
严重性:中等
风险评分: 47
每隔:5 分钟运行一次
从以下位置搜索索引:无(日期数学格式,另请参见 附加回溯时间)
每次执行的最大警报数: 100
参考:
- https://www.paloaltonetworks.com/apps/pan/public/downloadResource?pagePath=/content/pan/en_US/resources/whitepapers/kubernetes-privilege-escalation-excessive-permissions-in-popular-platforms
- https://kubernetes.ac.cn/docs/reference/access-authn-authz/authorization/#checking-api-access
- https://techcommunity.microsoft.com/t5/microsoft-defender-for-cloud/detecting-identity-attacks-in-kubernetes/ba-p/3232340
标签:
- 数据源:Kubernetes
- 策略:发现
版本: 203
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
调查指南编辑
设置编辑
此规则需要启用审计日志或类似结构数据的 Kubernetes Fleet 集成才能兼容。
规则查询编辑
event.dataset : "kubernetes.audit_logs"
and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow"
and kubernetes.audit.verb:"create"
and kubernetes.audit.objectRef.resource:("selfsubjectaccessreviews" or "selfsubjectrulesreviews")
and (kubernetes.audit.user.username:(system\:serviceaccount\:* or system\:node\:*)
or kubernetes.audit.impersonatedUser.username:(system\:serviceaccount\:* or system\:node\:*))
框架:MITRE ATT&CKTM
-
策略
- 名称:发现
- ID:TA0007
- 参考网址:https://attack.mitre.org/tactics/TA0007/
-
技术
- 名称:容器和资源发现
- ID:T1613
- 参考网址:https://attack.mitre.org/techniques/T1613/