Kubernetes 用户 Exec 到 Pod

Kubernetes 用户 Exec 到 Pod编辑

此规则检测用户尝试使用 *exec* 命令在 pod 中建立 shell 会话。在 pod 中使用 *exec* 命令允许用户建立临时 shell 会话并在 pod 中执行任何进程/命令。攻击者可能会调用 bash 来获取持久的交互式 shell，这将允许访问 pod 有权访问的任何数据，包括密钥。

规则类型：查询

规则索引:

logs-kubernetes.*

严重性：中等

风险评分: 47

运行间隔：5 分钟

搜索索引范围：无（日期数学格式，另请参阅其他回溯时间）

每次执行的最大警报数: 100

参考:

标签:

数据源：Kubernetes
战术：执行

版本: 203

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

调查指南编辑

设置编辑

要与此规则兼容，需要启用审计日志的 Kubernetes Fleet 集成或类似结构的数据。

规则查询编辑

event.dataset : "kubernetes.audit_logs"
  and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow"
  and kubernetes.audit.verb:"create"
  and kubernetes.audit.objectRef.resource:"pods"
  and kubernetes.audit.objectRef.subresource:"exec"

框架：MITRE ATT&CK^TM

战术
- 名称：执行
- ID：TA0002
- 参考 URL：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：容器管理命令
- ID：T1609
- 参考 URL：https://attack.mitre.org/techniques/T1609/

« Kubernetes 可疑 Self-Subject Review LSASS 内存转储创建 »