Tipos de búsqueda de registros de auditoría de EKS - Amazon GuardDuty
CredentialAccess:Kubernetes/MaliciousIPCallerCredentialAccess:Kubernetes/MaliciousIPCaller.CustomCredentialAccess:Kubernetes/SuccessfulAnonymousAccessCredentialAccess:Kubernetes/TorIPCallerDefenseEvasion:Kubernetes/MaliciousIPCallerDefenseEvasion:Kubernetes/MaliciousIPCaller.CustomDefenseEvasion:Kubernetes/SuccessfulAnonymousAccessDefenseEvasion:Kubernetes/TorIPCallerDiscovery:Kubernetes/MaliciousIPCallerDiscovery:Kubernetes/MaliciousIPCaller.CustomDiscovery:Kubernetes/SuccessfulAnonymousAccessDiscovery:Kubernetes/TorIPCallerExecution:Kubernetes/ExecInKubeSystemPodImpact:Kubernetes/MaliciousIPCallerImpact:Kubernetes/MaliciousIPCaller.CustomImpact:Kubernetes/SuccessfulAnonymousAccessImpact:Kubernetes/TorIPCallerPersistence:Kubernetes/ContainerWithSensitiveMountPersistence:Kubernetes/MaliciousIPCallerPersistence:Kubernetes/MaliciousIPCaller.CustomPersistence:Kubernetes/SuccessfulAnonymousAccessPersistence:Kubernetes/TorIPCallerPolicy:Kubernetes/AdminAccessToDefaultServiceAccountPolicy:Kubernetes/AnonymousAccessGrantedPolicy:Kubernetes/ExposedDashboardPolicy:Kubernetes/KubeflowDashboardExposedPrivilegeEscalation:Kubernetes/PrivilegedContainerCredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreatedExecution:Kubernetes/AnomalousBehavior.ExecInPodPrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainerPersistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMountExecution:Kubernetes/AnomalousBehavior.WorkloadDeployedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreatedDiscovery:Kubernetes/AnomalousBehavior.PermissionChecked

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tipos de búsqueda de registros de auditoría de EKS

Los siguientes resultados son específicos de los recursos de Kubernetes y siempre tendrán un resource_type de EKSCluster. La gravedad y los detalles de los resultados varían en función del tipo de resultado.

Para todos los resultados de tipo Kubernetes, se recomienda que examine el recurso en cuestión para determinar si la actividad es esperada o potencialmente maliciosa. Para obtener orientación sobre cómo corregir un recurso de Kubernetes comprometido identificado mediante un hallazgo, consulte. GuardDuty Corrección de los resultados de la supervisión de registros de auditoría de EKS

nota

Si se espera la actividad por la que se generan estos resultados, considere agregar Reglas de supresión para evitar futuras alertas.

Temas
nota

Antes de la versión 1.14 de Kubernetes, el grupo estaba asociado a Kubernetes y de forma predeterminadasystem:unauthenticated. system:discovery system:basic-user ClusterRoles Esta asociación puede permitir el acceso no deseado de usuarios anónimos. Las actualizaciones del clúster no revocan estos permisos. Aunque se haya actualizado el clúster a la versión 1.14 o posterior, es posible que estos permisos sigan habilitados. Se recomienda que desasocie estos permisos del grupo system:unauthenticated. Para obtener orientación sobre la revocación de estos permisos, consulte las prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS.

CredentialAccess:Kubernetes/MaliciousIPCaller

Se ha invocado una API que se suele utilizar para acceder a las credenciales o los secretos de un clúster de Kubernetes desde una dirección IP maliciosa conocida.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una operación de API desde una dirección IP asociada a una actividad maliciosa conocida. La API observada suele asociarse a las tácticas de acceso a las credenciales, en las que un adversario intenta recopilar contraseñas, nombres de usuario y claves de acceso de su clúster de Kubernetes.

Recomendaciones de corrección:

Si el usuario mencionado en la conclusión de la KubernetesUserDetails sección essystem:anonymous, investigue por qué se le permitió al usuario anónimo invocar la API y revocar los permisos, si fuera necesario, siguiendo las instrucciones de las prácticas recomendadas de seguridad para Amazon EKS de la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

Se ha invocado una API que se utiliza habitualmente para acceder a las credenciales o los secretos de un clúster de Kubernetes desde una dirección IP en una lista de amenazas personalizada.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una operación de la API desde una dirección IP que aparece en una lista de amenazas que se ha cargado. La lista de amenazas asociada a este resultado aparece enumerada en la sección Información adicional de los detalles del resultado. La API observada suele asociarse a las tácticas de acceso a las credenciales, en las que un adversario intenta recopilar contraseñas, nombres de usuario y claves de acceso de su clúster de Kubernetes.

Recomendaciones de corrección:

Si el usuario mencionado en la conclusión de la KubernetesUserDetails sección essystem:anonymous, investigue por qué se le permitió al usuario anónimo invocar la API y revocar los permisos, si fuera necesario, siguiendo las instrucciones de las prácticas recomendadas de seguridad para Amazon EKS de la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

Un usuario no autenticado ha invocado una API que se suele utilizar para acceder a las credenciales o los secretos de un clúster de Kubernetes.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que el usuario system:anonymous ha invocado correctamente una operación de la API. No se han autenticado las llamadas a la API que ha hecho system:anonymous. La API observada suele asociarse a las tácticas de acceso a las credenciales, en las que un adversario intenta recopilar contraseñas, nombres de usuario y claves de acceso de su clúster de Kubernetes. Esta actividad indica que se permite el acceso anónimo o no autenticado a la acción de la API descrita en el resultado y que se puede permitir a otras acciones. Si no se espera este comportamiento, puede indicar un error de configuración o que sus credenciales se han visto afectadas.

Recomendaciones de corrección:

Debe examinar los permisos que se han otorgado al usuario system:anonymous en su clúster y asegurarse de que todos los permisos sean necesarios. Si los permisos se han concedido por error o de forma maliciosa, debe revocar el acceso del usuario y anular cualquier cambio hecho por un adversario en el clúster. Para obtener más información, consulte Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS.

Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

CredentialAccess:Kubernetes/TorIPCaller

Se ha invocado una API que se suele utilizar para acceder a las credenciales o los secretos de un clúster de Kubernetes desde una dirección IP de un nodo de salida de Tor.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una API desde una dirección IP de un nodo de salida de Tor. La API observada suele asociarse a las tácticas de acceso a las credenciales, en las que un adversario intenta recopilar contraseñas, nombres de usuario y claves de acceso de su clúster de Kubernetes. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado a los recursos del clúster de Kubernetes con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si el usuario mencionado en la conclusión de la KubernetesUserDetails sección essystem:anonymous, investigue por qué se le permitió al usuario anónimo invocar la API y revocar los permisos, si fuera necesario, siguiendo las instrucciones de las prácticas recomendadas de seguridad para Amazon EKS de la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

DefenseEvasion:Kubernetes/MaliciousIPCaller

Se ha invocado una API que se suele utilizar para evadir medidas defensivas desde una dirección IP maliciosa conocida.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una operación de API desde una dirección IP asociada a una actividad maliciosa conocida. La API observada suele asociarse a las tácticas de evasión de la defensa, en las que un adversario intenta ocultar sus acciones para evitar ser detectado.

Recomendaciones de corrección:

Si el usuario mencionado en la conclusión de la KubernetesUserDetails sección essystem:anonymous, investigue por qué se le permitió al usuario anónimo invocar la API y revocar los permisos, si fuera necesario, siguiendo las instrucciones de las prácticas recomendadas de seguridad para Amazon EKS de la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

Se ha invocado una API que se suele utilizar para evadir medidas de defensa desde una dirección IP de una lista de amenazas personalizada.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una operación de la API desde una dirección IP que aparece en una lista de amenazas que se ha cargado. La lista de amenazas asociada a este resultado aparece enumerada en la sección Información adicional de los detalles del resultado. La API observada suele asociarse a las tácticas de evasión de la defensa, en las que un adversario intenta ocultar sus acciones para evitar ser detectado.

Recomendaciones de corrección:

Si el usuario mencionado en la conclusión de la KubernetesUserDetails sección essystem:anonymous, investigue por qué se le permitió al usuario anónimo invocar la API y revocar los permisos, si fuera necesario, siguiendo las instrucciones de las prácticas recomendadas de seguridad para Amazon EKS de la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

Un usuario no autenticado ha invocado una API que se suele utilizar para evadir medidas defensivas.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que el usuario system:anonymous ha invocado correctamente una operación de la API. No se han autenticado las llamadas a la API que ha hecho system:anonymous. La API observada suele asociarse a las tácticas de evasión de la defensa, en las que un adversario intenta ocultar sus acciones para evitar ser detectado. Esta actividad indica que se permite el acceso anónimo o no autenticado a la acción de la API descrita en el resultado y que se puede permitir a otras acciones. Si no se espera este comportamiento, puede indicar un error de configuración o que sus credenciales se han visto afectadas.

Recomendaciones de corrección:

Debe examinar los permisos que se han otorgado al usuario system:anonymous en su clúster y asegurarse de que todos los permisos sean necesarios. Si los permisos se han concedido por error o de forma maliciosa, debe revocar el acceso del usuario y anular cualquier cambio hecho por un adversario en el clúster. Para obtener más información, consulte Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS.

Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

DefenseEvasion:Kubernetes/TorIPCaller

Se ha invocado una API que se suele utilizar para evadir medidas defensivas desde una dirección IP de nodo de salida de Tor.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una API desde una dirección IP de un nodo de salida de Tor. La API observada suele asociarse a las tácticas de evasión de la defensa, en las que un adversario intenta ocultar sus acciones para evitar ser detectado. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado al clúster de Kubernetes con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si el usuario mencionado en la conclusión de la KubernetesUserDetails sección essystem:anonymous, investigue por qué se le permitió al usuario anónimo invocar la API y revocar los permisos, si fuera necesario, siguiendo las instrucciones de las prácticas recomendadas de seguridad para Amazon EKS de la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Discovery:Kubernetes/MaliciousIPCaller

Se ha invocado una API que se suele utilizar para descubrir recursos en un clúster de Kubernetes desde una dirección IP.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una operación de API desde una dirección IP asociada a una actividad maliciosa conocida. La API observada se suele utilizar en la fase de detección de un ataque, en la que un atacante recopila información para determinar si el clúster de Kubernetes es susceptible a un ataque más amplio.

Recomendaciones de corrección:

Si el usuario mencionado en la conclusión de la KubernetesUserDetails sección essystem:anonymous, investigue por qué se le permitió al usuario anónimo invocar la API y revocar los permisos, si fuera necesario, siguiendo las instrucciones de las prácticas recomendadas de seguridad para Amazon EKS de la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Discovery:Kubernetes/MaliciousIPCaller.Custom

Se ha invocado una API que se suele utilizar para detectar recursos en un clúster de Kubernetes desde una dirección IP de una lista de amenazas personalizada.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una API desde una dirección IP que aparece en una lista de amenazas que se ha cargado. La lista de amenazas asociada a este resultado aparece enumerada en la sección Información adicional de los detalles del resultado. La API observada se suele utilizar en la fase de detección de un ataque, en la que un atacante recopila información para determinar si el clúster de Kubernetes es susceptible a un ataque más amplio.

Recomendaciones de corrección:

Si el usuario mencionado en la conclusión de la KubernetesUserDetails sección essystem:anonymous, investigue por qué se le permitió al usuario anónimo invocar la API y revocar los permisos, si fuera necesario, siguiendo las instrucciones de las prácticas recomendadas de seguridad para Amazon EKS de la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Discovery:Kubernetes/SuccessfulAnonymousAccess

Un usuario no autenticado ha invocado una API que se suele utilizar para descubrir recursos en un clúster de Kubernetes.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que el usuario system:anonymous ha invocado correctamente una operación de la API. No se han autenticado las llamadas a la API que ha hecho system:anonymous. La API observada suele asociarse a la fase de detección de un ataque, cuando un adversario recopila información sobre el clúster de Kubernetes. Esta actividad indica que se permite el acceso anónimo o no autenticado a la acción de la API descrita en el resultado y que se puede permitir a otras acciones. Si no se espera este comportamiento, puede indicar un error de configuración o que sus credenciales se han visto afectadas.

Recomendaciones de corrección:

Debe examinar los permisos que se han otorgado al usuario system:anonymous en su clúster y asegurarse de que todos los permisos sean necesarios. Si los permisos se han concedido por error o de forma maliciosa, debe revocar el acceso del usuario y anular cualquier cambio hecho por un adversario en el clúster. Para obtener más información, consulte Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS.

Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Discovery:Kubernetes/TorIPCaller

Se ha invocado una API que se suele utilizar para detectar recursos en un clúster de Kubernetes desde una dirección IP de nodo de salida de Tor.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una API desde una dirección IP de un nodo de salida de Tor. La API observada se suele utilizar en la fase de detección de un ataque, en la que un atacante recopila información para determinar si el clúster de Kubernetes es susceptible a un ataque más amplio. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado al clúster de Kubernetes con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si el usuario mencionado en la conclusión de la KubernetesUserDetails sección essystem:anonymous, investigue por qué se le permitió al usuario anónimo invocar la API y revoque los permisos, si fuera necesario, siguiendo las instrucciones de las prácticas recomendadas de seguridad para Amazon EKS de la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Execution:Kubernetes/ExecInKubeSystemPod

Se ha ejecutado un comando en un pod dentro del espacio de nombres kube-system

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado indica que se ha ejecutado un comando en un pod dentro del espacio de nombres kube-system mediante la API exec de Kubernetes. El espacio de nombres kube-system es un espacio de nombres predeterminado, que se utiliza principalmente para componentes de nivel de sistema, como kube-dns y kube-proxy. Es muy poco común ejecutar comandos dentro de pods o contenedores de un espacio de nombres kube-system, lo que puede indicar una actividad sospechosa.

Recomendaciones de corrección:

Si la ejecución de este comando es inesperada, es posible que las credenciales de identidad de usuario utilizada para ejecutar el comando se hayan visto afectadas. Revoque el acceso del usuario y anule cualquier cambio que haya hecho un adversario en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Impact:Kubernetes/MaliciousIPCaller

Se ha invocado una API que se suele utilizar para manipular recursos en un clúster de Kubernetes desde una dirección IP maliciosa conocida.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una operación de API desde una dirección IP asociada a una actividad maliciosa conocida. La API observada suele asociarse a tácticas de impacto en las que un adversario intenta manipular, interrumpir o destruir los datos de su AWS entorno.

Recomendaciones de corrección:

Si el usuario mencionado en la conclusión de la KubernetesUserDetails sección essystem:anonymous, investigue por qué se le permitió al usuario anónimo invocar la API y revocar los permisos, si fuera necesario, siguiendo las instrucciones de las prácticas recomendadas de seguridad para Amazon EKS de la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Impact:Kubernetes/MaliciousIPCaller.Custom

Se ha invocado una API que se suele utilizar para manipular los recursos de un clúster de Kubernetes desde una dirección IP de una lista de amenazas personalizada.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una operación de la API desde una dirección IP que aparece en una lista de amenazas que se ha cargado. La lista de amenazas asociada a este resultado aparece enumerada en la sección Información adicional de los detalles del resultado. La API observada suele asociarse a tácticas de impacto en las que un adversario intenta manipular, interrumpir o destruir los datos de su AWS entorno.

Recomendaciones de corrección:

Si el usuario mencionado en la conclusión de la KubernetesUserDetails sección essystem:anonymous, investigue por qué se le permitió al usuario anónimo invocar la API y revocar los permisos, si fuera necesario, siguiendo las instrucciones de las prácticas recomendadas de seguridad para Amazon EKS de la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Impact:Kubernetes/SuccessfulAnonymousAccess

Un usuario no autenticado ha invocado una API que se suele utilizar para manipular los recursos de un clúster de Kubernetes.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que el usuario system:anonymous ha invocado correctamente una operación de la API. No se han autenticado las llamadas a la API que ha hecho system:anonymous. La API observada suele asociarse a la fase de impacto de un ataque, cuando un adversario está manipulando los recursos del clúster. Esta actividad indica que se permite el acceso anónimo o no autenticado a la acción de la API descrita en el resultado y que se puede permitir a otras acciones. Si no se espera este comportamiento, puede indicar un error de configuración o que sus credenciales se han visto afectadas.

Recomendaciones de corrección:

Debe examinar los permisos que se han otorgado al usuario system:anonymous en su clúster y asegurarse de que todos los permisos sean necesarios. Si los permisos se han concedido por error o de forma maliciosa, debe revocar el acceso del usuario y anular cualquier cambio hecho por un adversario en el clúster. Para obtener más información, consulte Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS.

Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Impact:Kubernetes/TorIPCaller

Se ha invocado una API que se suele utilizar para manipular los recursos de un clúster de Kubernetes desde una dirección IP de nodo de salida de Tor.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una API desde una dirección IP de un nodo de salida de Tor. La API observada suele asociarse a tácticas de impacto, en las que un adversario intenta manipular, interrumpir o destruir los datos que están dentro de su entorno de AWS . Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado al clúster de Kubernetes con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si el usuario mencionado en la conclusión de la KubernetesUserDetails sección essystem:anonymous, investigue por qué se le permitió al usuario anónimo invocar la API y revocar los permisos, si fuera necesario, siguiendo las instrucciones de las prácticas recomendadas de seguridad para Amazon EKS de la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Persistence:Kubernetes/ContainerWithSensitiveMount

Se ha lanzado un contenedor con una ruta de host externa confidencial montada en su interior.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado indica que se ha lanzado un contenedor con una configuración que incluía una ruta de host confidencial con acceso de escritura en la sección volumeMounts. Esto hace que la ruta confidencial del host sea accesible y se pueda sobrescribir desde el interior del contenedor. Los adversarios suelen utilizar esta técnica para acceder al sistema de archivos del host.

Recomendaciones de corrección:

Si el lanzamiento de este contenedor es inesperado, es posible que las credenciales de identidad de usuario utilizadas para lanzarlo se hayan visto afectadas. Revoque el acceso del usuario y anule cualquier cambio que haya hecho un adversario en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Si el lanzamiento de este contenedor es esperado, se recomienda utilizar una regla de supresión que consista en un criterio de filtrado basado en el campo resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. En los criterios de filtrado, el campo imagePrefix debe ser el mismo que el imagePrefix especificado en el resultado. Para obtener más información sobre la creación de reglas de supresión, consulte Reglas de supresión.

Persistence:Kubernetes/MaliciousIPCaller

Se ha invocado una API que se suele utilizar para acceder a un clúster de Kubernetes desde una dirección IP maliciosa conocida.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una operación de API desde una dirección IP asociada a una actividad maliciosa conocida. La API observada suele asociarse a tácticas de persistencia, en las que un adversario ha logrado acceder al clúster de Kubernetes e intenta conservar ese acceso.

Recomendaciones de corrección:

Si el usuario mencionado en la conclusión de la KubernetesUserDetails sección essystem:anonymous, investigue por qué se le permitió al usuario anónimo invocar la API y revocar los permisos, si fuera necesario, siguiendo las instrucciones de las prácticas recomendadas de seguridad para Amazon EKS de la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Persistence:Kubernetes/MaliciousIPCaller.Custom

Se ha invocado una API que se suele utilizar para obtener acceso persistente a un clúster de Kubernetes desde una dirección IP de una lista de amenazas personalizada.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una operación de la API desde una dirección IP que aparece en una lista de amenazas que se ha cargado. La lista de amenazas asociada a este resultado aparece enumerada en la sección Información adicional de los detalles del resultado. La API observada suele asociarse a tácticas de persistencia, en las que un adversario ha logrado acceder al clúster de Kubernetes e intenta conservar ese acceso.

Recomendaciones de corrección:

Si el usuario mencionado en la conclusión de la KubernetesUserDetails sección essystem:anonymous, investigue por qué se le permitió al usuario anónimo invocar la API y revocar los permisos, si fuera necesario, siguiendo las instrucciones de las prácticas recomendadas de seguridad para Amazon EKS de la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Persistence:Kubernetes/SuccessfulAnonymousAccess

Un usuario no autenticado ha invocado una API que se suele utilizar para obtener permisos de nivel superior a un clúster de Kubernetes.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que el usuario system:anonymous ha invocado correctamente una operación de la API. No se han autenticado las llamadas a la API que ha hecho system:anonymous. La API observada suele asociarse a tácticas de persistencia, en las que un adversario ha logrado acceder al clúster e intenta conservar ese acceso. Esta actividad indica que se permite el acceso anónimo o no autenticado a la acción de la API descrita en el resultado y que se puede permitir a otras acciones. Si no se espera este comportamiento, puede indicar un error de configuración o que sus credenciales se han visto afectadas.

Recomendaciones de corrección:

Debe examinar los permisos que se han otorgado al usuario system:anonymous en su clúster y asegurarse de que todos los permisos sean necesarios. Si los permisos se han concedido por error o de forma maliciosa, debe revocar el acceso del usuario y anular cualquier cambio hecho por un adversario en el clúster. Para obtener más información, consulte Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS.

Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Persistence:Kubernetes/TorIPCaller

Se ha invocado una API que se suele utilizar para acceder a un clúster de Kubernetes desde una dirección IP de nodo de salida de Tor.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una API desde una dirección IP de un nodo de salida de Tor. La API observada suele asociarse a tácticas de persistencia, en las que un adversario ha logrado acceder al clúster de Kubernetes e intenta conservar ese acceso. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado a sus AWS recursos con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si el usuario mencionado en la conclusión de la KubernetesUserDetails sección essystem:anonymous, investigue por qué se le permitió al usuario anónimo invocar la API y revocar los permisos, si fuera necesario, siguiendo las instrucciones de las prácticas recomendadas de seguridad para Amazon EKS de la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

Se concedieron privilegios de administrador en un clúster de Kubernetes a la cuenta de servicio predeterminada.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se han concedido privilegios de administrador a la cuenta de servicio predeterminada de un espacio de nombres de su clúster de Kubernetes. Kubernetes crea una cuenta de servicio predeterminada para todos los espacios de nombres del clúster. Asigna automáticamente la cuenta de servicio predeterminada como identidad a los pods que no se han asociado explícitamente a otra cuenta de servicio. Si la cuenta de servicio predeterminada tiene privilegios de administrador, es posible que los pods se inicien involuntariamente con privilegios de administrador. Si no se espera este comportamiento, puede indicar un error de configuración o que sus credenciales se han visto afectadas.

Recomendaciones de corrección:

No debe utilizar la cuenta de servicio predeterminada para conceder permisos a los pods. En su lugar, debe crear una cuenta de servicio dedicada para cada carga de trabajo y conceder el permiso a esa cuenta en función de sus necesidades. Para solucionar este problema, debe crear cuentas de servicio dedicadas para todos sus pods y cargas de trabajo, además de actualizar los pods y las cargas de trabajo para migrarlos de la cuenta de servicio predeterminada a sus cuentas dedicadas. A continuación, debe eliminar el permiso de administrador de la cuenta de servicio predeterminada. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Policy:Kubernetes/AnonymousAccessGranted

Se ha concedido un permiso de API al usuario system:anonymous en un clúster de Kubernetes.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que un usuario de su clúster de Kubernetes ha creado correctamente un ClusterRoleBinding o RoleBinding para enlazar al usuario system:anonymous a un rol. Esto permite el acceso no autenticado a las operaciones de la API permitidas por el rol. Si no se espera este comportamiento, puede indicar un error de configuración o que sus credenciales se han visto afectadas

Recomendaciones de corrección:

Debe examinar los permisos que se han otorgado al usuario system:anonymous o grupo system:unauthenticated en su clúster y revocar el acceso anónimo innecesario. Para obtener más información, consulte Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS. Si los permisos se han concedido de forma maliciosa, debe revocar el acceso del usuario que concedió los permisos y anular cualquier cambio hecho por un adversario en el clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Policy:Kubernetes/ExposedDashboard

El panel de un clúster de Kubernetes estaba expuesto a Internet

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que el servicio de equilibrador de carga ha expuesto el panel de Kubernetes de su clúster a Internet. Un panel expuesto hace que la interfaz de administración del clúster sea accesible desde Internet y permite a los adversarios aprovechar cualquier brecha de autenticación y control de acceso que pueda existir.

Recomendaciones de corrección:

Debe asegurarse de que se apliquen una autenticación y una autorización sólidas en el panel de Kubernetes. También debe implementar un control de acceso a la red para restringir el acceso al panel desde direcciones IP específicas.

Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Policy:Kubernetes/KubeflowDashboardExposed

El panel de Kubeflow de un clúster de Kubernetes estaba expuesto a Internet

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que el servicio de equilibrador de carga ha expuesto el panel de Kubeflow de su clúster a Internet. Un panel de Kubeflow expuesto hace que la interfaz de administración del entorno de Kubeflow sea accesible desde Internet y permite a los adversarios aprovechar cualquier brecha de autenticación y control de acceso que pueda existir.

Recomendaciones de corrección:

Debe asegurarse de que se apliquen una autenticación y una autorización sólidas en el panel de Kubeflow. También debe implementar un control de acceso a la red para restringir el acceso al panel desde direcciones IP específicas.

Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

PrivilegeEscalation:Kubernetes/PrivilegedContainer

Se ha lanzado un contenedor privilegiado con acceso a nivel raíz en su clúster de Kubernetes.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha lanzado un contenedor privilegiado en su clúster de Kubernetes mediante una imagen que nunca antes se había utilizado para lanzar contenedores privilegiados en su clúster. Un contenedor privilegiado tiene acceso de nivel raíz al host. Los adversarios pueden lanzar contenedores privilegiados como una táctica de derivación de privilegios para acceder al host y, posteriormente, ponerlo en peligro.

Recomendaciones de corrección:

Si el lanzamiento de este contenedor es inesperado, es posible que las credenciales de identidad de usuario utilizadas para lanzarlo se hayan visto afectadas. Revoque el acceso del usuario y anule cualquier cambio que haya hecho un adversario en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed

Se invocó de forma anómala una API de Kubernetes que se utiliza habitualmente para acceder a los secretos.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este hallazgo le informa de que un usuario de Kubernetes de su clúster ha invocado una operación de API anómala para recuperar secretos confidenciales del clúster. La API observada suele estar asociada a tácticas de acceso a las credenciales que pueden provocar una escalada de privilegios y un mayor acceso dentro del clúster. Si no se espera este comportamiento, puede indicar un error de configuración o que tus AWS credenciales están comprometidas.

El modelo de aprendizaje automático (ML) de detección de GuardDuty anomalías identificó la API observada como anómala. El modelo ML evalúa toda la actividad de las API de los usuarios dentro del clúster de EKS e identifica los eventos anómalos asociados a las técnicas utilizadas por usuarios no autorizados. El modelo de aprendizaje automático rastrea varios factores del funcionamiento de la API, como el usuario que realiza la solicitud, la ubicación desde la que se realizó la solicitud, el agente de usuario utilizado y el espacio de nombres que operó el usuario. Puedes encontrar los detalles de la solicitud de API que no son habituales en el panel de búsqueda de detalles de la GuardDuty consola.

Recomendaciones de corrección:

Examina los permisos concedidos al usuario de Kubernetes en tu clúster y asegúrate de que todos estos permisos son necesarios. Si los permisos se concedieron por error o de forma malintencionada, revoca el acceso del usuario y anula cualquier cambio realizado por un usuario no autorizado en el clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Si sus AWS credenciales están comprometidas, consulte. Corregir las credenciales potencialmente comprometidas AWS

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated

Se creó RoleBinding o ClusterRoleBinding modificó un rol o un espacio de nombres confidencial demasiado permisivo en tu clúster de Kubernetes.

Gravedad predeterminada: media*

nota

La gravedad predeterminada de este resultado es media. Sin embargo, si una RoleBinding o ClusterRoleBinding incluye la tecla o, la ClusterRoles admin gravedad es alta. cluster-admin

  • Característica: registros de auditoría de EKS

Este hallazgo le informa de que un usuario de su clúster de Kubernetes creó RoleBinding o vinculó a un usuario ClusterRoleBinding a un rol con permisos de administrador o espacios de nombres confidenciales. Si no se espera este comportamiento, puede indicar un error de configuración o que tus credenciales están comprometidas. AWS

El modelo de aprendizaje automático (ML) de detección de GuardDuty anomalías identificó la API observada como anómala. El modelo ML evalúa toda la actividad de las API de los usuarios dentro del clúster de EKS. Este modelo de aprendizaje automático también identifica los eventos anómalos asociados a las técnicas utilizadas por un usuario no autorizado. El modelo de aprendizaje automático también rastrea varios factores del funcionamiento de la API, como el usuario que realiza la solicitud, la ubicación desde la que se realizó la solicitud, el agente de usuario utilizado y el espacio de nombres que utilizó el usuario. Puedes encontrar los detalles de la solicitud de API que no son habituales en el panel de búsqueda de detalles de la GuardDuty consola.

Recomendaciones de corrección:

Examina los permisos concedidos al usuario de Kubernetes. Estos permisos se definen en el rol y los sujetos involucrados en y. RoleBinding ClusterRoleBinding Si los permisos se concedieron por error o de forma malintencionada, revoque el acceso de los usuarios y anule cualquier cambio realizado por un usuario no autorizado en su clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Si sus AWS credenciales están comprometidas, consulte. Corregir las credenciales potencialmente comprometidas AWS

Execution:Kubernetes/AnomalousBehavior.ExecInPod

Se ejecutó un comando dentro de un pod de forma anómala.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este hallazgo indica que se ejecutó un comando en un pod mediante la API exec de Kubernetes. La API exec de Kubernetes permite ejecutar comandos arbitrarios en un pod. Si este comportamiento no es el esperado para el usuario, el espacio de nombres o el pod, puede indicar un error de configuración o que tus credenciales están comprometidas. AWS

El modelo de aprendizaje automático (ML) con detección de GuardDuty anomalías identificó la API observada como anómala. El modelo ML evalúa toda la actividad de las API de los usuarios dentro del clúster de EKS. Este modelo de aprendizaje automático también identifica los eventos anómalos asociados a las técnicas utilizadas por un usuario no autorizado. El modelo de aprendizaje automático también rastrea varios factores del funcionamiento de la API, como el usuario que realiza la solicitud, la ubicación desde la que se realizó la solicitud, el agente de usuario utilizado y el espacio de nombres que utilizó el usuario. Puedes encontrar los detalles de la solicitud de API que no son habituales en el panel de búsqueda de detalles de la GuardDuty consola.

Recomendaciones de corrección:

Si la ejecución de este comando es inesperada, es posible que las credenciales de la identidad de usuario utilizada para ejecutar el comando estén comprometidas. Revoca el acceso de los usuarios y anula cualquier cambio realizado por un usuario no autorizado en el clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Si sus AWS credenciales están comprometidas, consulteCorregir las credenciales potencialmente comprometidas AWS.

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

Se lanzó una carga de trabajo con un contenedor privilegiado de forma anómala.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este hallazgo le informa de que se lanzó una carga de trabajo con un contenedor privilegiado en su clúster de Amazon EKS. Un contenedor privilegiado tiene acceso de nivel raíz al host. Los usuarios no autorizados pueden lanzar contenedores privilegiados como una táctica de escalada de privilegios para obtener primero acceso al host y, después, ponerlo en peligro.

El modelo de aprendizaje automático (ML) con detección de GuardDuty anomalías identificó la creación o modificación del contenedor observada como anómala. El modelo ML evalúa toda la actividad de la API del usuario y de las imágenes del contenedor dentro del clúster de EKS. Este modelo de aprendizaje automático también identifica los eventos anómalos asociados a las técnicas utilizadas por un usuario no autorizado. El modelo de aprendizaje automático también rastrea varios factores del funcionamiento de la API, como el usuario que realiza la solicitud, la ubicación desde la que se realizó la solicitud, el agente de usuario utilizado, las imágenes del contenedor observadas en la cuenta y el espacio de nombres que utilizó el usuario. Puedes encontrar los detalles de la solicitud de API que no sean habituales en el panel de detalles de búsqueda de la GuardDuty consola.

Recomendaciones de corrección:

Si el lanzamiento de este contenedor es inesperado, es posible que las credenciales de la identidad de usuario utilizada para lanzar el contenedor estén comprometidas. Revoca el acceso de los usuarios y anula cualquier cambio realizado por un usuario no autorizado en tu clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Si sus AWS credenciales están comprometidas, consulteCorregir las credenciales potencialmente comprometidas AWS.

Si se espera el lanzamiento de este contenedor, se recomienda utilizar una regla de supresión con un criterio de filtrado basado en el resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix campo. En los criterios de filtro, el imagePrefix campo debe tener el mismo valor que el imagePrefix campo especificado en la búsqueda. Para obtener más información, consulte Reglas de supresión.

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

Se desplegó una carga de trabajo de forma anómala, con una ruta de host confidencial integrada en la carga de trabajo.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este hallazgo indica que se lanzó una carga de trabajo con un contenedor que incluía una ruta de host confidencial en la volumeMounts sección. Esto podría hacer que la ruta confidencial del host fuera accesible y grabable desde el interior del contenedor. Los usuarios no autorizados suelen utilizar esta técnica para acceder al sistema de archivos del host.

El modelo de aprendizaje automático (ML) de detección de GuardDuty anomalías identificó la creación o modificación del contenedor observada como anómala. El modelo ML evalúa toda la actividad de la API del usuario y de las imágenes del contenedor dentro del clúster de EKS. Este modelo de aprendizaje automático también identifica los eventos anómalos asociados a las técnicas utilizadas por un usuario no autorizado. El modelo de aprendizaje automático también rastrea varios factores del funcionamiento de la API, como el usuario que realiza la solicitud, la ubicación desde la que se realizó la solicitud, el agente de usuario utilizado, las imágenes del contenedor observadas en la cuenta y el espacio de nombres que utilizó el usuario. Puedes encontrar los detalles de la solicitud de API que no sean habituales en el panel de detalles de búsqueda de la GuardDuty consola.

Recomendaciones de corrección:

Si el lanzamiento de este contenedor es inesperado, es posible que las credenciales de la identidad de usuario utilizada para lanzar el contenedor estén comprometidas. Revoca el acceso de los usuarios y anula cualquier cambio realizado por un usuario no autorizado en tu clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Si sus AWS credenciales están comprometidas, consulteCorregir las credenciales potencialmente comprometidas AWS.

Si se espera el lanzamiento de este contenedor, se recomienda utilizar una regla de supresión con un criterio de filtrado basado en el resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix campo. En los criterios de filtro, el imagePrefix campo debe tener el mismo valor que el imagePrefix campo especificado en la búsqueda. Para obtener más información, consulte Reglas de supresión.

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

Se lanzó una carga de trabajo de forma anómala.

Gravedad predeterminada: baja*

nota

La gravedad predeterminada es Baja. Sin embargo, si la carga de trabajo contiene un nombre de imagen potencialmente sospechoso, como una herramienta de prueba conocida, o un contenedor que ejecuta un comando potencialmente sospechoso en el momento del lanzamiento, como los comandos reverse shell, la gravedad de este tipo de hallazgo se considerará media.

  • Característica: registros de auditoría de EKS

Este hallazgo le informa de que una carga de trabajo de Kubernetes se creó o modificó de forma anómala, como una actividad de API, nuevas imágenes de contenedores o una configuración de carga de trabajo riesgosa, dentro de su clúster de Amazon EKS. Los usuarios no autorizados pueden lanzar contenedores como táctica para ejecutar código arbitrario con el fin de acceder primero al host y, después, ponerlo en peligro.

El modelo de aprendizaje automático (ML) con detección de GuardDuty anomalías identificó la creación o modificación del contenedor observada como anómala. El modelo ML evalúa toda la actividad de la API del usuario y de las imágenes del contenedor dentro del clúster de EKS. Este modelo de aprendizaje automático también identifica los eventos anómalos asociados a las técnicas utilizadas por un usuario no autorizado. El modelo de aprendizaje automático también rastrea varios factores del funcionamiento de la API, como el usuario que realiza la solicitud, la ubicación desde la que se realizó la solicitud, el agente de usuario utilizado, las imágenes del contenedor observadas en la cuenta y el espacio de nombres que utilizó el usuario. Puedes encontrar los detalles de la solicitud de API que no sean habituales en el panel de detalles de búsqueda de la GuardDuty consola.

Recomendaciones de corrección:

Si el lanzamiento de este contenedor es inesperado, es posible que las credenciales de la identidad de usuario utilizada para lanzar el contenedor estén comprometidas. Revoca el acceso de los usuarios y anula cualquier cambio realizado por un usuario no autorizado en tu clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Si sus AWS credenciales están comprometidas, consulteCorregir las credenciales potencialmente comprometidas AWS.

Si se espera el lanzamiento de este contenedor, se recomienda utilizar una regla de supresión con un criterio de filtrado basado en el resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix campo. En los criterios de filtro, el imagePrefix campo debe tener el mismo valor que el imagePrefix campo especificado en la búsqueda. Para obtener más información, consulte Reglas de supresión.

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

Un rol muy permisivo o que ClusterRole se creó o modificó de forma anómala.

Gravedad predeterminada: baja

  • Característica: registros de auditoría de EKS

Este hallazgo le informa de que un usuario de Kubernetes en su clúster de Amazon EKS ejecutó una operación de API anómala para crear un Role o ClusterRole con permisos excesivos. Los actores pueden utilizar la creación de roles con permisos potentes para evitar el uso de roles integrados similares a los de los administradores y evitar ser detectados. El exceso de permisos puede provocar una escalada de privilegios, la ejecución remota de código y, potencialmente, el control de un espacio de nombres o un clúster. Si no se espera este comportamiento, puede indicar un error de configuración o que sus credenciales están comprometidas.

El modelo de aprendizaje automático (ML) de detección de GuardDuty anomalías identificó la API observada como anómala. El modelo ML evalúa toda la actividad de las API de los usuarios dentro del clúster de Amazon EKS e identifica los eventos anómalos asociados a las técnicas utilizadas por los usuarios no autorizados. El modelo de aprendizaje automático también rastrea varios factores del funcionamiento de la API, como el usuario que realiza la solicitud, la ubicación desde la que se realizó la solicitud, el agente de usuario utilizado, las imágenes del contenedor observadas en su cuenta y el espacio de nombres que utilizó el usuario. Puedes encontrar los detalles de la solicitud de API que no sean habituales en el panel de detalles de búsqueda de la GuardDuty consola.

Recomendaciones de corrección:

Examine los permisos definidos en Role o ClusterRole para asegurarse de que todos los permisos son necesarios y siga los principios de privilegios mínimos. Si los permisos se concedieron por error o de forma malintencionada, revoque el acceso de los usuarios y anule cualquier cambio realizado por un usuario no autorizado en el clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Si sus AWS credenciales están comprometidas, consulte. Corregir las credenciales potencialmente comprometidas AWS

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

Un usuario comprobó su permiso de acceso de forma anómala.

Gravedad predeterminada: baja

  • Característica: registros de auditoría de EKS

Este hallazgo le informa de que un usuario de su clúster de Kubernetes ha comprobado correctamente si están permitidos o no los potentes permisos conocidos que pueden conducir a la escalada de privilegios y a la ejecución remota de código. Por ejemplo, un comando común que se utiliza para comprobar los permisos de un usuario es. kubectl auth can-i Si no se espera este comportamiento, puede indicar un error de configuración o que sus credenciales se han visto comprometidas.

El modelo de aprendizaje automático (ML) con detección de GuardDuty anomalías identificó la API observada como anómala. El modelo ML evalúa toda la actividad de las API de los usuarios dentro del clúster de Amazon EKS e identifica los eventos anómalos asociados a las técnicas utilizadas por los usuarios no autorizados. El modelo de aprendizaje automático también rastrea varios factores del funcionamiento de la API, como el usuario que realiza la solicitud, la ubicación desde la que se realizó la solicitud, la verificación de los permisos y el espacio de nombres que utilizó el usuario. Puedes encontrar los detalles de la solicitud de API que no son habituales en el panel de búsqueda de detalles de la GuardDuty consola.

Recomendaciones de corrección:

Examina los permisos concedidos al usuario de Kubernetes para asegurarte de que todos los permisos son necesarios. Si los permisos se concedieron por error o de forma malintencionada, revoca el acceso del usuario y anula cualquier cambio realizado por un usuario no autorizado en tu clúster. Para obtener más información, consulte Corrección de los resultados de la supervisión de registros de auditoría de EKS.

Si sus AWS credenciales están comprometidas, consulte. Corregir las credenciales potencialmente comprometidas AWS