Kubernetes 可疑的自我主体审查
编辑Kubernetes 可疑的自我主体审查
编辑此规则检测服务帐户或节点何时尝试通过 selfsubjectaccessreview 或 selfsubjectrulesreview API 枚举其自身的权限。对于非人类身份(如服务帐户和节点),这是一种非常不寻常的行为。攻击者可能已获得凭据/令牌的访问权限,而这可能是尝试确定他们拥有的权限,以便在集群内进一步移动或执行。
规则类型: 查询
规则索引:
- logs-kubernetes.*
严重性: 中
风险评分: 47
运行频率: 5 分钟
搜索索引时间范围: 无 (日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大告警数: 100
参考:
- https://www.paloaltonetworks.com/apps/pan/public/downloadResource?pagePath=/content/pan/en_US/resources/whitepapers/kubernetes-privilege-escalation-excessive-permissions-in-popular-platforms
- https://kubernetes.ac.cn/docs/reference/access-authn-authz/authorization/#checking-api-access
- https://techcommunity.microsoft.com/t5/microsoft-defender-for-cloud/detecting-identity-attacks-in-kubernetes/ba-p/3232340
标签:
- 数据源: Kubernetes
- 战术: 发现
版本: 203
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑设置
编辑需要启用审计日志的 Kubernetes Fleet 集成或类似结构的才能与此规则兼容。
规则查询
编辑event.dataset : "kubernetes.audit_logs"
and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow"
and kubernetes.audit.verb:"create"
and kubernetes.audit.objectRef.resource:("selfsubjectaccessreviews" or "selfsubjectrulesreviews")
and (kubernetes.audit.user.username:(system\:serviceaccount\:* or system\:node\:*)
or kubernetes.audit.impersonatedUser.username:(system\:serviceaccount\:* or system\:node\:*))
框架: MITRE ATT&CKTM
-
战术
- 名称: 发现
- ID: TA0007
- 参考 URL: https://attack.mitre.org/tactics/TA0007/
-
技术
- 名称: 容器和资源发现
- ID: T1613
- 参考 URL: https://attack.mitre.org/techniques/T1613/