EKS audit log menemukan jenis - Amazon GuardDuty
CredentialAccess:Kubernetes/MaliciousIPCallerCredentialAccess:Kubernetes/MaliciousIPCaller.CustomCredentialAccess:Kubernetes/SuccessfulAnonymousAccessCredentialAccess:Kubernetes/TorIPCallerDefenseEvasion:Kubernetes/MaliciousIPCallerDefenseEvasion:Kubernetes/MaliciousIPCaller.CustomDefenseEvasion:Kubernetes/SuccessfulAnonymousAccessDefenseEvasion:Kubernetes/TorIPCallerDiscovery:Kubernetes/MaliciousIPCallerDiscovery:Kubernetes/MaliciousIPCaller.CustomDiscovery:Kubernetes/SuccessfulAnonymousAccessDiscovery:Kubernetes/TorIPCallerExecution:Kubernetes/ExecInKubeSystemPodImpact:Kubernetes/MaliciousIPCallerImpact:Kubernetes/MaliciousIPCaller.CustomImpact:Kubernetes/SuccessfulAnonymousAccessImpact:Kubernetes/TorIPCallerPersistence:Kubernetes/ContainerWithSensitiveMountPersistence:Kubernetes/MaliciousIPCallerPersistence:Kubernetes/MaliciousIPCaller.CustomPersistence:Kubernetes/SuccessfulAnonymousAccessPersistence:Kubernetes/TorIPCallerPolicy:Kubernetes/AdminAccessToDefaultServiceAccountPolicy:Kubernetes/AnonymousAccessGrantedPolicy:Kubernetes/ExposedDashboardPolicy:Kubernetes/KubeflowDashboardExposedPrivilegeEscalation:Kubernetes/PrivilegedContainerCredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreatedExecution:Kubernetes/AnomalousBehavior.ExecInPodPrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainerPersistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMountExecution:Kubernetes/AnomalousBehavior.WorkloadDeployedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreatedDiscovery:Kubernetes/AnomalousBehavior.PermissionChecked

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

EKS audit log menemukan jenis

Temuan berikut ini khusus untuk sumber daya Kubernetes dan memiliki resource_type. EKSCluster Tingkat keparahan dan detail temuan berbeda berdasarkan jenis temuan.

Untuk semua temuan tipe Kubernetes, kami sarankan Anda memeriksa sumber daya yang dimaksud untuk menentukan apakah aktivitas tersebut diharapkan atau berpotensi berbahaya. Untuk panduan tentang remediasi sumber daya Kubernetes yang dikompromikan yang diidentifikasi oleh sebuah temuan, lihat. GuardDuty Memediasi temuan Pemantauan Log Audit EKS

catatan

Jika aktivitas yang menghasilkan temuan ini diharapkan, pertimbangkan Aturan penekanan untuk menambahkan untuk mencegah peringatan masa depan.

Topik
catatan

Sebelum Kubernetes versi 1.14, system:unauthenticated grup ini dikaitkan dengan dan secara default. system:discovery system:basic-user ClusterRoles Asosiasi ini memungkinkan akses yang tidak diinginkan dari pengguna anonim. Pembaruan cluster tidak mencabut izin ini. Bahkan jika Anda memperbarui klaster Anda ke versi 1.14 atau lebih tinggi, izin ini mungkin masih diaktifkan. Kami menyarankan Anda untuk memisahkan izin ini dari grup. system:unauthenticated Untuk panduan tentang mencabut izin ini, lihat Praktik terbaik keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS.

CredentialAccess:Kubernetes/MaliciousIPCaller

API yang biasa digunakan untuk mengakses kredensi atau rahasia di klaster Kubernetes dipanggil dari alamat IP berbahaya yang diketahui.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API dipanggil dari alamat IP yang terkait dengan aktivitas berbahaya yang diketahui. API yang diamati biasanya dikaitkan dengan taktik akses kredenal di mana musuh mencoba mengumpulkan kata sandi, nama pengguna, dan kunci akses untuk klaster Kubernetes Anda.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah KubernetesUserDetails bagian ini adalahsystem:anonymous, selidiki mengapa pengguna anonim diizinkan untuk memanggil API dan mencabut izin, jika diperlukan, dengan mengikuti petunjuk dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas berbahaya, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

API yang biasa digunakan untuk mengakses kredensi atau rahasia di klaster Kubernetes dipanggil dari alamat IP pada daftar ancaman kustom.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API dipanggil dari alamat IP yang disertakan dalam daftar ancaman yang Anda unggah. Daftar ancaman yang terkait dengan temuan ini tercantum di bagian Informasi Tambahan dari detail temuan. API yang diamati biasanya dikaitkan dengan taktik akses kredenal di mana musuh mencoba mengumpulkan kata sandi, nama pengguna, dan kunci akses untuk klaster Kubernetes Anda.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah KubernetesUserDetails bagian ini adalahsystem:anonymous, selidiki mengapa pengguna anonim diizinkan untuk memanggil API dan dan mencabut izin, jika diperlukan, dengan mengikuti petunjuk dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas berbahaya, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

API yang biasa digunakan untuk mengakses kredensi atau rahasia di klaster Kubernetes dipanggil oleh pengguna yang tidak diautentikasi.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API berhasil dipanggil oleh pengguna. system:anonymous Panggilan API yang dibuat oleh tidak system:anonymous diautentikasi. API yang diamati biasanya dikaitkan dengan taktik akses kredenal di mana musuh mencoba mengumpulkan kata sandi, nama pengguna, dan kunci akses untuk klaster Kubernetes Anda. Aktivitas ini menunjukkan bahwa akses anonim atau tidak diautentikasi diizinkan pada tindakan API yang dilaporkan dalam temuan dan mungkin diizinkan pada tindakan lain. Jika perilaku ini tidak diharapkan, ini mungkin menunjukkan kesalahan konfigurasi atau kredenal Anda dikompromikan.

Rekomendasi remediasi:

Anda harus memeriksa izin yang telah diberikan kepada system:anonymous pengguna di klaster Anda dan memastikan bahwa semua izin diperlukan. Jika izin diberikan secara keliru atau jahat, Anda harus mencabut akses pengguna dan membalikkan setiap perubahan yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS.

Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

CredentialAccess:Kubernetes/TorIPCaller

API yang biasa digunakan untuk mengakses kredensi atau rahasia di klaster Kubernetes dipanggil dari alamat IP node keluar Tor.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa API dipanggil dari alamat IP node keluar Tor. API yang diamati biasanya dikaitkan dengan taktik akses kredenal di mana musuh mencoba mengumpulkan kata sandi, nama pengguna, dan kunci akses untuk klaster Kubernetes Anda. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relay antara serangkaian node jaringan. Node Tor terakhir disebut sebagai nod keluar. Hal ini dapat menunjukkan akses tidak sah ke sumber daya klaster Kubernetes Anda dengan maksud menyembunyikan identitas asli penyerang.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah KubernetesUserDetails bagian ini adalahsystem:anonymous, selidiki mengapa pengguna anonim diizinkan untuk memanggil API dan mencabut izin, jika diperlukan, dengan mengikuti petunjuk dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas berbahaya, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

DefenseEvasion:Kubernetes/MaliciousIPCaller

API yang biasa digunakan untuk menghindari tindakan defensif dipanggil dari alamat IP berbahaya yang diketahui.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API dipanggil dari alamat IP yang terkait dengan aktivitas berbahaya yang diketahui. API yang diamati umumnya dikaitkan dengan taktik penghindaran pertahanan di mana musuh mencoba menyembunyikan tindakan mereka untuk menghindari deteksi.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah KubernetesUserDetails bagian ini adalahsystem:anonymous, selidiki mengapa pengguna anonim diizinkan untuk memanggil API dan mencabut izin, jika diperlukan, dengan mengikuti petunjuk dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas berbahaya, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

API yang biasa digunakan untuk menghindari tindakan defensif dipanggil dari alamat IP pada daftar ancaman khusus.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API dipanggil dari alamat IP yang disertakan dalam daftar ancaman yang Anda unggah. Daftar ancaman yang terkait dengan temuan ini tercantum di bagian Informasi Tambahan dari detail temuan. API yang diamati umumnya dikaitkan dengan taktik penghindaran pertahanan di mana musuh mencoba menyembunyikan tindakan mereka untuk menghindari deteksi.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah KubernetesUserDetails bagian ini adalahsystem:anonymous, selidiki mengapa pengguna anonim diizinkan untuk memanggil API dan mencabut izin, jika diperlukan, dengan mengikuti petunjuk dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas berbahaya, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

API yang biasa digunakan untuk menghindari tindakan defensif dipanggil oleh pengguna yang tidak diautentikasi.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API berhasil dipanggil oleh pengguna. system:anonymous Panggilan API yang dibuat oleh tidak system:anonymous diautentikasi. API yang diamati umumnya dikaitkan dengan taktik penghindaran pertahanan di mana musuh mencoba menyembunyikan tindakan mereka untuk menghindari deteksi. Aktivitas ini menunjukkan bahwa akses anonim atau tidak diautentikasi diizinkan pada tindakan API yang dilaporkan dalam temuan dan mungkin diizinkan pada tindakan lain. Jika perilaku ini tidak diharapkan, ini mungkin menunjukkan kesalahan konfigurasi atau kredenal Anda dikompromikan.

Rekomendasi remediasi:

Anda harus memeriksa izin yang telah diberikan kepada system:anonymous pengguna di klaster Anda dan memastikan bahwa semua izin diperlukan. Jika izin diberikan secara keliru atau jahat, Anda harus mencabut akses pengguna dan membalikkan setiap perubahan yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS.

Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

DefenseEvasion:Kubernetes/TorIPCaller

API yang biasa digunakan untuk menghindari tindakan defensif dipanggil dari alamat IP node keluar Tor.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa API dipanggil dari alamat IP node keluar Tor. API yang diamati umumnya dikaitkan dengan taktik penghindaran pertahanan di mana musuh mencoba menyembunyikan tindakan mereka untuk menghindari deteksi. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relay antara serangkaian node jaringan. Node Tor terakhir disebut sebagai nod keluar. Hal ini dapat menunjukkan akses tidak sah ke klaster Kubernetes Anda dengan maksud menyembunyikan identitas asli musuh.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah KubernetesUserDetails bagian ini adalahsystem:anonymous, selidiki mengapa pengguna anonim diizinkan untuk memanggil API dan mencabut izin, jika diperlukan, dengan mengikuti petunjuk dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas berbahaya, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Discovery:Kubernetes/MaliciousIPCaller

API yang biasa digunakan untuk menemukan sumber daya di klaster Kubernetes dipanggil dari alamat IP.

Tingkat keparahan default: Sedang

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API dipanggil dari alamat IP yang terkait dengan aktivitas berbahaya yang diketahui. API yang diamati biasanya digunakan dengan tahap penemuan serangan di mana penyerang mengumpulkan informasi untuk menentukan apakah cluster Kubernetes Anda rentan terhadap serangan yang lebih luas.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah KubernetesUserDetails bagian ini adalahsystem:anonymous, selidiki mengapa pengguna anonim diizinkan untuk memanggil API dan mencabut izin, jika diperlukan, dengan mengikuti petunjuk dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas berbahaya, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Discovery:Kubernetes/MaliciousIPCaller.Custom

API yang biasa digunakan untuk menemukan sumber daya di klaster Kubernetes dipanggil dari alamat IP pada daftar ancaman khusus.

Tingkat keparahan default: Sedang

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa API dipanggil dari alamat IP yang disertakan dalam daftar ancaman yang Anda unggah. Daftar ancaman yang terkait dengan temuan ini tercantum di bagian Informasi Tambahan dari detail temuan. API yang diamati biasanya digunakan dengan tahap penemuan serangan di mana penyerang mengumpulkan informasi untuk menentukan apakah cluster Kubernetes Anda rentan terhadap serangan yang lebih luas.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah KubernetesUserDetails bagian ini adalahsystem:anonymous, selidiki mengapa pengguna anonim diizinkan untuk memanggil API dan mencabut izin, jika diperlukan, dengan mengikuti petunjuk dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas berbahaya, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Discovery:Kubernetes/SuccessfulAnonymousAccess

API yang biasa digunakan untuk menemukan sumber daya di klaster Kubernetes dipanggil oleh pengguna yang tidak diautentikasi.

Tingkat keparahan default: Sedang

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API berhasil dipanggil oleh pengguna. system:anonymous Panggilan API yang dibuat oleh tidak system:anonymous diautentikasi. API yang diamati biasanya dikaitkan dengan tahap penemuan serangan ketika musuh mengumpulkan informasi di cluster Kubernetes Anda. Aktivitas ini menunjukkan bahwa akses anonim atau tidak diautentikasi diizinkan pada tindakan API yang dilaporkan dalam temuan dan mungkin diizinkan pada tindakan lain. Jika perilaku ini tidak diharapkan, ini mungkin menunjukkan kesalahan konfigurasi atau kredenal Anda dikompromikan.

Rekomendasi remediasi:

Anda harus memeriksa izin yang telah diberikan kepada system:anonymous pengguna di klaster Anda dan memastikan bahwa semua izin diperlukan. Jika izin diberikan secara keliru atau jahat, Anda harus mencabut akses pengguna dan membalikkan setiap perubahan yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS.

Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Discovery:Kubernetes/TorIPCaller

API yang biasa digunakan untuk menemukan sumber daya dalam klaster Kubernetes dipanggil dari alamat IP node keluar Tor.

Tingkat keparahan default: Sedang

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa API dipanggil dari alamat IP node keluar Tor. API yang diamati biasanya digunakan dengan tahap penemuan serangan di mana penyerang mengumpulkan informasi untuk menentukan apakah cluster Kubernetes Anda rentan terhadap serangan yang lebih luas. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relay antara serangkaian node jaringan. Node Tor terakhir disebut sebagai nod keluar. Hal ini dapat menunjukkan akses tidak sah ke klaster Kubernetes Anda dengan maksud menyembunyikan identitas asli musuh.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah KubernetesUserDetails bagian ini adalahsystem:anonymous, selidiki mengapa pengguna anonim diizinkan untuk memanggil APIDan mencabut izin, jika diperlukan, dengan mengikuti petunjuk dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas berbahaya, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Execution:Kubernetes/ExecInKubeSystemPod

Sebuah perintah dieksekusi di dalam pod di dalam kube-system namespace

Tingkat keparahan default: Sedang

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa sebuah perintah telah dijalankan di sebuah pod di dalam kube-system namespace menggunakan Kubernetes exec API. kube-systemnamespace adalah ruang nama default, yang terutama digunakan untuk komponen tingkat sistem seperti dan. kube-dns kube-proxy Sangat jarang untuk mengeksekusi perintah di dalam pod atau kontainer di bawah kube-system namespace dan mungkin menunjukkan aktivitas yang mencurigakan.

Rekomendasi remediasi:

Jika eksekusi perintah ini tidak terduga, kredensi identitas pengguna yang digunakan untuk menjalankan perintah dapat dikompromikan. Cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Impact:Kubernetes/MaliciousIPCaller

API yang biasa digunakan untuk mengutak-atik sumber daya di klaster Kubernetes dipanggil dari alamat IP berbahaya yang diketahui.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API dipanggil dari alamat IP yang terkait dengan aktivitas berbahaya yang diketahui. API yang diamati umumnya dikaitkan dengan taktik dampak di mana musuh mencoba memanipulasi, mengganggu, atau menghancurkan data dalam lingkungan Anda. AWS

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah KubernetesUserDetails bagian ini adalahsystem:anonymous, selidiki mengapa pengguna anonim diizinkan untuk memanggil API dan mencabut izin, jika diperlukan, dengan mengikuti petunjuk dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas berbahaya, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Impact:Kubernetes/MaliciousIPCaller.Custom

API yang biasa digunakan untuk mengutak-atik sumber daya di klaster Kubernetes dipanggil dari alamat IP pada daftar ancaman khusus.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API dipanggil dari alamat IP yang disertakan dalam daftar ancaman yang Anda unggah. Daftar ancaman yang terkait dengan temuan ini tercantum di bagian Informasi Tambahan dari detail temuan. API yang diamati umumnya dikaitkan dengan taktik dampak di mana musuh mencoba memanipulasi, mengganggu, atau menghancurkan data dalam lingkungan Anda. AWS

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah KubernetesUserDetails bagian ini adalahsystem:anonymous, selidiki mengapa pengguna anonim diizinkan untuk memanggil API dan mencabut izin, jika diperlukan, dengan mengikuti petunjuk dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas berbahaya, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Impact:Kubernetes/SuccessfulAnonymousAccess

API yang biasa digunakan untuk mengutak-atik sumber daya di klaster Kubernetes dipanggil oleh pengguna yang tidak diautentikasi.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API berhasil dipanggil oleh pengguna. system:anonymous Panggilan API yang dibuat oleh tidak system:anonymous diautentikasi. API yang diamati umumnya dikaitkan dengan tahap dampak serangan saat musuh merusak sumber daya di cluster Anda. Aktivitas ini menunjukkan bahwa akses anonim atau tidak diautentikasi diizinkan pada tindakan API yang dilaporkan dalam temuan dan mungkin diizinkan pada tindakan lain. Jika perilaku ini tidak diharapkan, ini mungkin menunjukkan kesalahan konfigurasi atau kredenal Anda dikompromikan.

Rekomendasi remediasi:

Anda harus memeriksa izin yang telah diberikan kepada system:anonymous pengguna di klaster Anda dan memastikan bahwa semua izin diperlukan. Jika izin diberikan secara keliru atau jahat, Anda harus mencabut akses pengguna dan membalikkan setiap perubahan yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS.

Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Impact:Kubernetes/TorIPCaller

API yang biasa digunakan untuk mengutak-atik sumber daya di klaster Kubernetes dipanggil dari alamat IP node keluar Tor.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa API dipanggil dari alamat IP node keluar Tor. API yang diamati umumnya dikaitkan dengan taktik dampak di mana musuh mencoba memanipulasi, mengganggu, atau menghancurkan data dalam lingkungan Anda. AWS Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relay antara serangkaian node jaringan. Node Tor terakhir disebut sebagai nod keluar. Hal ini dapat menunjukkan akses tidak sah ke klaster Kubernetes Anda dengan maksud menyembunyikan identitas asli musuh.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah KubernetesUserDetails bagian ini adalahsystem:anonymous, selidiki mengapa pengguna anonim diizinkan untuk memanggil API dan mencabut izin, jika diperlukan, dengan mengikuti petunjuk dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas berbahaya, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Persistence:Kubernetes/ContainerWithSensitiveMount

Sebuah wadah diluncurkan dengan jalur host eksternal sensitif yang dipasang di dalamnya.

Tingkat keparahan default: Sedang

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa wadah diluncurkan dengan konfigurasi yang menyertakan jalur host sensitif dengan akses tulis di volumeMounts bagian tersebut. Ini membuat jalur host sensitif dapat diakses dan dapat ditulis dari dalam wadah. Teknik ini biasanya digunakan oleh musuh untuk mendapatkan akses ke sistem file host.

Rekomendasi remediasi:

Jika peluncuran kontainer ini tidak terduga, kredensional identitas pengguna yang digunakan untuk meluncurkan penampung dapat dikompromikan. Cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Jika peluncuran kontainer ini diharapkan, Anda disarankan untuk menggunakan aturan penekanan yang terdiri dari kriteria filter berdasarkan resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix bidang. Dalam kriteria filter imagePrefix bidang harus sama dengan yang imagePrefix ditentukan dalam temuan. Untuk mempelajari selengkapnya tentang cara membuat aturan penekanan, lihat Aturan penekanan.

Persistence:Kubernetes/MaliciousIPCaller

API yang biasa digunakan untuk mendapatkan akses persisten ke klaster Kubernetes dipanggil dari alamat IP berbahaya yang diketahui.

Tingkat keparahan default: Sedang

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API dipanggil dari alamat IP yang terkait dengan aktivitas berbahaya yang diketahui. API yang diamati umumnya dikaitkan dengan taktik persistensi di mana musuh telah memperoleh akses ke klaster Kubernetes Anda dan berusaha mempertahankan akses tersebut.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah KubernetesUserDetails bagian ini adalahsystem:anonymous, selidiki mengapa pengguna anonim diizinkan untuk memanggil API dan mencabut izin, jika diperlukan, dengan mengikuti petunjuk dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas berbahaya, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Persistence:Kubernetes/MaliciousIPCaller.Custom

API yang biasa digunakan untuk mendapatkan akses persisten ke klaster Kubernetes dipanggil dari alamat IP pada daftar ancaman khusus.

Tingkat keparahan default: Sedang

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API dipanggil dari alamat IP yang disertakan dalam daftar ancaman yang Anda unggah. Daftar ancaman yang terkait dengan temuan ini tercantum di bagian Informasi Tambahan dari detail temuan. API yang diamati umumnya dikaitkan dengan taktik persistensi di mana musuh telah memperoleh akses ke klaster Kubernetes Anda dan berusaha mempertahankan akses tersebut.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah KubernetesUserDetails bagian ini adalahsystem:anonymous, selidiki mengapa pengguna anonim diizinkan untuk memanggil API dan mencabut izin, jika diperlukan, dengan mengikuti petunjuk dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas berbahaya, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Persistence:Kubernetes/SuccessfulAnonymousAccess

API yang biasa digunakan untuk mendapatkan izin tingkat tinggi ke klaster Kubernetes dipanggil oleh pengguna yang tidak diautentikasi.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API berhasil dipanggil oleh pengguna. system:anonymous Panggilan API yang dibuat oleh tidak system:anonymous diautentikasi. API yang diamati umumnya dikaitkan dengan taktik persistensi di mana musuh telah mendapatkan akses ke cluster Anda dan berusaha mempertahankan akses itu. Aktivitas ini menunjukkan bahwa akses anonim atau tidak diautentikasi diizinkan pada tindakan API yang dilaporkan dalam temuan dan mungkin diizinkan pada tindakan lain. Jika perilaku ini tidak diharapkan, ini mungkin menunjukkan kesalahan konfigurasi atau kredenal Anda dikompromikan.

Rekomendasi remediasi:

Anda harus memeriksa izin yang telah diberikan kepada system:anonymous pengguna di klaster Anda dan memastikan bahwa semua izin diperlukan. Jika izin diberikan secara keliru atau jahat, Anda harus mencabut akses pengguna dan membalikkan setiap perubahan yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS.

Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Persistence:Kubernetes/TorIPCaller

API yang biasa digunakan untuk mendapatkan akses persisten ke klaster Kubernetes dipanggil dari alamat IP node keluar Tor.

Tingkat keparahan default: Sedang

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa API dipanggil dari alamat IP node keluar Tor. API yang diamati umumnya dikaitkan dengan taktik persistensi di mana musuh telah memperoleh akses ke klaster Kubernetes Anda dan berusaha mempertahankan akses tersebut. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relay antara serangkaian node jaringan. Node Tor terakhir disebut sebagai nod keluar. Ini dapat menunjukkan akses tidak sah ke AWS sumber daya Anda dengan maksud menyembunyikan identitas asli penyerang.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah KubernetesUserDetails bagian ini adalahsystem:anonymous, selidiki mengapa pengguna anonim diizinkan untuk memanggil API dan mencabut izin, jika diperlukan, dengan mengikuti petunjuk dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas berbahaya, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

Akun layanan default diberikan hak istimewa admin pada klaster Kubernetes.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa akun layanan default untuk namespace di klaster Kubernetes Anda telah diberikan hak istimewa admin. Kubernetes membuat akun layanan default untuk semua namespace di cluster. Ini secara otomatis menetapkan akun layanan default sebagai identitas ke pod yang belum secara eksplisit dikaitkan dengan akun layanan lain. Jika akun layanan default memiliki hak istimewa admin, hal itu dapat mengakibatkan pod diluncurkan secara tidak sengaja dengan hak istimewa admin. Jika perilaku ini tidak diharapkan, ini mungkin menunjukkan kesalahan konfigurasi atau kredenal Anda dikompromikan.

Rekomendasi remediasi:

Anda tidak boleh menggunakan akun layanan default untuk memberikan izin ke Pod. Sebagai gantinya, Anda harus membuat akun layanan khusus untuk setiap beban kerja dan memberikan izin ke akun tersebut berdasarkan kebutuhan. Untuk memperbaiki masalah ini, Anda harus membuat akun layanan khusus untuk semua pod dan beban kerja Anda dan memperbarui pod dan beban kerja untuk bermigrasi dari akun layanan default ke akun khusus mereka. Maka Anda harus menghapus izin admin dari akun layanan default. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Policy:Kubernetes/AnonymousAccessGranted

system:anonymousPengguna diberikan izin API pada klaster Kubernetes.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa pengguna di klaster Kubernetes Anda berhasil membuat ClusterRoleBinding atau mengikat pengguna RoleBinding ke peran. system:anonymous Ini memungkinkan akses tidak terautentikasi ke operasi API yang diizinkan oleh peran. Jika perilaku ini tidak diharapkan, ini mungkin menunjukkan kesalahan konfigurasi atau kredensi Anda dikompromikan

Rekomendasi remediasi:

Anda harus memeriksa izin yang telah diberikan kepada system:anonymous pengguna atau system:unauthenticated grup di klaster Anda dan mencabut akses anonim yang tidak perlu. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika izin diberikan secara berbahaya, Anda harus mencabut akses pengguna yang memberikan izin dan membalikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Policy:Kubernetes/ExposedDashboard

Dasbor untuk cluster Kubernetes terpapar ke internet

Tingkat keparahan default: Sedang

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa dasbor Kubernetes untuk klaster Anda diekspos ke internet oleh layanan Load Balancer. Dasbor yang terbuka membuat antarmuka manajemen cluster Anda dapat diakses dari internet dan memungkinkan musuh untuk mengeksploitasi kesenjangan otentikasi dan kontrol akses apa pun yang mungkin ada.

Rekomendasi remediasi:

Anda harus memastikan bahwa otentikasi dan otorisasi yang kuat diberlakukan di Dasbor Kubernetes. Anda juga harus menerapkan kontrol akses jaringan untuk membatasi akses ke dasbor dari alamat IP tertentu.

Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Policy:Kubernetes/KubeflowDashboardExposed

Dasbor Kubeflow untuk cluster Kubernetes diekspos ke Internet

Tingkat keparahan default: Sedang

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa dasbor Kubeflow untuk klaster Anda diekspos ke Internet oleh layanan Load Balancer. Dasbor Kubeflow yang terbuka membuat antarmuka manajemen lingkungan Kubeflow Anda dapat diakses dari Internet dan memungkinkan musuh untuk mengeksploitasi celah otentikasi dan kontrol akses apa pun yang mungkin ada.

Rekomendasi remediasi:

Anda harus memastikan bahwa otentikasi dan otorisasi yang kuat diberlakukan di Dasbor Kubeflow. Anda juga harus menerapkan kontrol akses jaringan untuk membatasi akses ke dasbor dari alamat IP tertentu.

Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

PrivilegeEscalation:Kubernetes/PrivilegedContainer

Kontainer istimewa dengan akses tingkat root diluncurkan di klaster Kubernetes Anda.

Tingkat keparahan default: Sedang

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa kontainer istimewa diluncurkan di klaster Kubernetes Anda menggunakan gambar yang belum pernah digunakan sebelumnya untuk meluncurkan kontainer istimewa di klaster Anda. Wadah istimewa memiliki akses tingkat root ke host. Musuh dapat meluncurkan wadah istimewa sebagai taktik eskalasi hak istimewa untuk mendapatkan akses ke dan kemudian membahayakan tuan rumah.

Rekomendasi remediasi:

Jika peluncuran kontainer ini tidak terduga, kredensional identitas pengguna yang digunakan untuk meluncurkan penampung dapat dikompromikan. Cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh musuh ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed

API Kubernetes yang biasa digunakan untuk mengakses rahasia dipanggil dengan cara yang anomali.

Tingkat keparahan default: Sedang

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API anomali untuk mengambil rahasia klaster sensitif telah dipanggil oleh pengguna Kubernetes di klaster Anda. API yang diamati umumnya dikaitkan dengan taktik akses kredenal yang dapat menyebabkan eskalasi istimewa dan akses lebih lanjut dalam klaster Anda. Jika perilaku ini tidak diharapkan, ini mungkin menunjukkan kesalahan konfigurasi atau AWS kredensional Anda dikompromikan.

API yang diamati diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua aktivitas API pengguna dalam kluster EKS Anda dan mengidentifikasi kejadian anomali yang terkait dengan teknik yang digunakan oleh pengguna yang tidak sah. Model ML melacak beberapa faktor operasi API seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, agen pengguna yang digunakan, dan namespace yang dioperasikan pengguna. Anda dapat menemukan detail permintaan API yang tidak biasa, di panel detail pencarian di GuardDuty konsol.

Rekomendasi remediasi:

Periksa izin yang diberikan kepada pengguna Kubernetes di klaster Anda dan pastikan bahwa semua izin ini diperlukan. Jika izin diberikan secara keliru atau jahat, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh pengguna yang tidak sah ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Jika AWS kredensialnya dikompromikan, lihat. Memulihkan kredensi yang berpotensi dikompromikan AWS

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated

Sebuah RoleBinding atau ClusterRoleBinding ke peran yang terlalu permisif atau namespace yang sensitif telah dibuat atau dimodifikasi di klaster Kubernetes Anda.

Tingkat keparahan default: Sedang*

catatan

Tingkat kepelikan default temuan ini adalah Medium. Namun, jika RoleBinding atau ClusterRoleBinding melibatkan ClusterRoles admin ataucluster-admin, tingkat keparahannya Tinggi.

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa pengguna di klaster Kubernetes Anda membuat RoleBinding atau ClusterRoleBinding untuk mengikat pengguna ke peran dengan izin admin atau ruang nama sensitif. Jika perilaku ini tidak diharapkan, ini mungkin menunjukkan kesalahan konfigurasi atau AWS kredensional Anda dikompromikan.

API yang diamati diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua aktivitas API pengguna dalam kluster EKS Anda. Model ML ini juga mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh pengguna yang tidak sah. Model ML juga melacak beberapa faktor operasi API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, agen pengguna yang digunakan, dan namespace yang dioperasikan pengguna. Anda dapat menemukan detail permintaan API yang tidak biasa, di panel detail pencarian di GuardDuty konsol.

Rekomendasi remediasi:

Periksa izin yang diberikan kepada pengguna Kubernetes. Izin ini didefinisikan dalam peran dan subjek yang terlibat dalam RoleBinding danClusterRoleBinding. Jika izin diberikan secara keliru atau jahat, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh pengguna yang tidak sah ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Jika AWS kredensialnya dikompromikan, lihat. Memulihkan kredensi yang berpotensi dikompromikan AWS

Execution:Kubernetes/AnomalousBehavior.ExecInPod

Sebuah perintah dieksekusi di dalam pod dengan cara yang anomali.

Tingkat keparahan default: Sedang

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa sebuah perintah dieksekusi di sebuah pod menggunakan API exec Kubernetes. Exec API Kubernetes memungkinkan menjalankan perintah arbitrer dalam sebuah pod. Jika perilaku ini tidak diharapkan untuk pengguna, namespace, atau pod, ini mungkin menunjukkan kesalahan konfigurasi atau AWS kredensialmu disusupi.

API yang diamati diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua aktivitas API pengguna dalam kluster EKS Anda. Model ML ini juga mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh pengguna yang tidak sah. Model ML juga melacak beberapa faktor operasi API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, agen pengguna yang digunakan, dan namespace yang dioperasikan pengguna. Anda dapat menemukan detail permintaan API yang tidak biasa, di panel detail pencarian di GuardDuty konsol.

Rekomendasi remediasi:

Jika eksekusi perintah ini tidak terduga, kredensil identitas pengguna yang digunakan untuk menjalankan perintah mungkin telah dikompromikan. Cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh pengguna yang tidak sah ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Jika AWS kredensialnya dikompromikan, lihat. Memulihkan kredensi yang berpotensi dikompromikan AWS

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

Beban kerja diluncurkan dengan wadah istimewa dengan cara yang anomali.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa beban kerja diluncurkan dengan wadah istimewa di klaster Amazon EKS Anda. Wadah istimewa memiliki akses tingkat root ke host. Pengguna yang tidak sah dapat meluncurkan kontainer istimewa sebagai taktik eskalasi hak istimewa untuk terlebih dahulu mendapatkan akses ke host dan kemudian mengkompromikannya.

Pembuatan atau modifikasi wadah yang diamati diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua API pengguna dan aktivitas image container dalam kluster EKS Anda. Model ML ini juga mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh pengguna yang tidak sah. Model ML juga melacak beberapa faktor operasi API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, agen pengguna yang digunakan, gambar kontainer yang diamati di akun Anda, dan namespace yang dioperasikan pengguna. Anda dapat menemukan detail permintaan API yang tidak biasa, di panel detail pencarian di GuardDuty konsol.

Rekomendasi remediasi:

Jika peluncuran kontainer ini tidak terduga, kredensional identitas pengguna yang digunakan untuk meluncurkan penampung mungkin telah disusupi. Cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh pengguna yang tidak sah ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Jika AWS kredensialnya dikompromikan, lihat. Memulihkan kredensi yang berpotensi dikompromikan AWS

Jika peluncuran kontainer ini diharapkan, Anda disarankan untuk menggunakan aturan penekanan dengan kriteria filter berdasarkan resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix bidang. Dalam kriteria filter, imagePrefix bidang harus memiliki nilai yang sama dengan imagePrefix bidang yang ditentukan dalam temuan. Untuk informasi selengkapnya, lihat Aturan penekanan.

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

Beban kerja diterapkan dengan cara yang anomali, dengan jalur host sensitif dipasang di dalam beban kerja.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa beban kerja diluncurkan dengan wadah yang menyertakan jalur host sensitif di bagian tersebutvolumeMounts. Ini berpotensi membuat jalur host sensitif dapat diakses dan dapat ditulis dari dalam wadah. Teknik ini biasanya digunakan oleh pengguna yang tidak sah untuk mendapatkan akses ke sistem file host.

Pembuatan atau modifikasi wadah yang diamati diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua API pengguna dan aktivitas image container dalam kluster EKS Anda. Model ML ini juga mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh pengguna yang tidak sah. Model ML juga melacak beberapa faktor operasi API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, agen pengguna yang digunakan, gambar kontainer yang diamati di akun Anda, dan namespace yang dioperasikan pengguna. Anda dapat menemukan detail permintaan API yang tidak biasa, di panel detail pencarian di GuardDuty konsol.

Rekomendasi remediasi:

Jika peluncuran kontainer ini tidak terduga, kredensional identitas pengguna yang digunakan untuk meluncurkan penampung mungkin telah disusupi. Cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh pengguna yang tidak sah ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Jika AWS kredensialnya dikompromikan, lihat. Memulihkan kredensi yang berpotensi dikompromikan AWS

Jika peluncuran kontainer ini diharapkan, Anda disarankan untuk menggunakan aturan penekanan dengan kriteria filter berdasarkan resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix bidang. Dalam kriteria filter, imagePrefix bidang harus memiliki nilai yang sama dengan imagePrefix bidang yang ditentukan dalam temuan. Untuk informasi selengkapnya, lihat Aturan penekanan.

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

Beban kerja diluncurkan dengan cara yang anomali.

Tingkat keparahan default: Rendah*

catatan

Tingkat keparahan default adalah Rendah. Namun, jika beban kerja berisi nama gambar yang berpotensi mencurigakan, seperti alat pentest yang dikenal, atau wadah yang menjalankan perintah yang berpotensi mencurigakan saat peluncuran, seperti perintah shell terbalik, maka tingkat keparahan jenis temuan ini akan dianggap sebagai Medium.

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa beban kerja Kubernetes dibuat atau dimodifikasi secara anomali, seperti aktivitas API, image container baru, atau konfigurasi beban kerja berisiko, di dalam klaster Amazon EKS Anda. Pengguna yang tidak sah dapat meluncurkan kontainer sebagai taktik untuk mengeksekusi kode arbitrer untuk terlebih dahulu mendapatkan akses ke host dan kemudian mengkompromikannya.

Pembuatan atau modifikasi wadah yang diamati diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua API pengguna dan aktivitas image container dalam kluster EKS Anda. Model ML ini juga mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh pengguna yang tidak sah. Model ML juga melacak beberapa faktor operasi API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, agen pengguna yang digunakan, gambar kontainer yang diamati di akun Anda, dan namespace yang dioperasikan pengguna. Anda dapat menemukan detail permintaan API yang tidak biasa, di panel detail pencarian di GuardDuty konsol.

Rekomendasi remediasi:

Jika peluncuran kontainer ini tidak terduga, kredensional identitas pengguna yang digunakan untuk meluncurkan penampung mungkin telah disusupi. Cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh pengguna yang tidak sah ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Jika AWS kredensialnya dikompromikan, lihat. Memulihkan kredensi yang berpotensi dikompromikan AWS

Jika peluncuran kontainer ini diharapkan, Anda disarankan untuk menggunakan aturan penekanan dengan kriteria filter berdasarkan resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix bidang. Dalam kriteria filter, imagePrefix bidang harus memiliki nilai yang sama dengan imagePrefix bidang yang ditentukan dalam temuan. Untuk informasi selengkapnya, lihat Aturan penekanan.

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

Peran yang sangat permisif atau ClusterRole diciptakan atau dimodifikasi dengan cara yang anomali.

Tingkat keparahan default: Rendah

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API anomali untuk membuat Role atau ClusterRole dengan izin berlebihan dipanggil oleh pengguna Kubernetes di cluster Amazon EKS Anda. Aktor dapat menggunakan pembuatan peran dengan izin yang kuat untuk menghindari penggunaan peran mirip admin bawaan dan menghindari deteksi. Izin yang berlebihan dapat menyebabkan eskalasi istimewa, eksekusi kode jarak jauh, dan berpotensi mengontrol namespace atau cluster. Jika perilaku ini tidak diharapkan, ini mungkin menunjukkan kesalahan konfigurasi atau kredensional Anda dikompromikan.

API yang diamati diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua aktivitas API pengguna dalam klaster Amazon EKS Anda dan mengidentifikasi kejadian anomali yang terkait dengan teknik yang digunakan oleh pengguna yang tidak sah. Model ML juga melacak beberapa faktor operasi API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, agen pengguna yang digunakan, gambar kontainer yang diamati di akun Anda, dan namespace yang dioperasikan pengguna. Anda dapat menemukan detail permintaan API yang tidak biasa, di panel detail pencarian di GuardDuty konsol.

Rekomendasi remediasi:

Periksa izin yang ditentukan dalam Role atau ClusterRole untuk memastikan bahwa semua izin diperlukan dan ikuti prinsip hak istimewa paling sedikit. Jika izin diberikan secara keliru atau jahat, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh pengguna yang tidak sah ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Jika AWS kredensialnya dikompromikan, lihat. Memulihkan kredensi yang berpotensi dikompromikan AWS

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

Seorang pengguna memeriksa izin akses mereka dengan cara yang tidak wajar.

Tingkat keparahan default: Rendah

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa pengguna di klaster Kubernetes Anda berhasil memeriksa apakah izin kuat yang diketahui yang dapat menyebabkan eskalasi istimewa dan eksekusi kode jarak jauh, diizinkan atau tidak. Misalnya, perintah umum yang digunakan untuk memeriksa izin bagi pengguna adalahkubectl auth can-i. Jika perilaku ini tidak diharapkan, ini mungkin menunjukkan kesalahan konfigurasi atau kredensional Anda telah disusupi.

API yang diamati diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua aktivitas API pengguna dalam klaster Amazon EKS Anda dan mengidentifikasi kejadian anomali yang terkait dengan teknik yang digunakan oleh pengguna yang tidak sah. Model ML juga melacak beberapa faktor operasi API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, izin diperiksa, dan namespace yang dioperasikan pengguna. Anda dapat menemukan detail permintaan API yang tidak biasa, di panel detail pencarian di GuardDuty konsol.

Rekomendasi remediasi:

Periksa izin yang diberikan kepada pengguna Kubernetes untuk memastikan bahwa semua izin diperlukan. Jika izin diberikan secara keliru atau jahat, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh pengguna yang tidak sah ke klaster Anda. Untuk informasi selengkapnya, lihat Memediasi temuan Pemantauan Log Audit EKS.

Jika AWS kredensi Anda dikompromikan, lihat. Memulihkan kredensi yang berpotensi dikompromikan AWS