EKStipi di ricerca dei registri di controllo - Amazon GuardDuty
CredentialAccess:Kubernetes/MaliciousIPCallerCredentialAccess:Kubernetes/MaliciousIPCaller.CustomCredentialAccess:Kubernetes/SuccessfulAnonymousAccessCredentialAccess:Kubernetes/TorIPCallerDefenseEvasion:Kubernetes/MaliciousIPCallerDefenseEvasion:Kubernetes/MaliciousIPCaller.CustomDefenseEvasion:Kubernetes/SuccessfulAnonymousAccessDefenseEvasion:Kubernetes/TorIPCallerDiscovery:Kubernetes/MaliciousIPCallerDiscovery:Kubernetes/MaliciousIPCaller.CustomDiscovery:Kubernetes/SuccessfulAnonymousAccessDiscovery:Kubernetes/TorIPCallerExecution:Kubernetes/ExecInKubeSystemPodImpact:Kubernetes/MaliciousIPCallerImpact:Kubernetes/MaliciousIPCaller.CustomImpact:Kubernetes/SuccessfulAnonymousAccessImpact:Kubernetes/TorIPCallerPersistence:Kubernetes/ContainerWithSensitiveMountPersistence:Kubernetes/MaliciousIPCallerPersistence:Kubernetes/MaliciousIPCaller.CustomPersistence:Kubernetes/SuccessfulAnonymousAccessPersistence:Kubernetes/TorIPCallerPolicy:Kubernetes/AdminAccessToDefaultServiceAccountPolicy:Kubernetes/AnonymousAccessGrantedPolicy:Kubernetes/ExposedDashboardPolicy:Kubernetes/KubeflowDashboardExposedPrivilegeEscalation:Kubernetes/PrivilegedContainerCredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreatedExecution:Kubernetes/AnomalousBehavior.ExecInPodPrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainerPersistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMountExecution:Kubernetes/AnomalousBehavior.WorkloadDeployedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreatedDiscovery:Kubernetes/AnomalousBehavior.PermissionChecked

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

EKStipi di ricerca dei registri di controllo

I seguenti esiti sono specifici per le risorse Kubernetes e hanno un resource_type di EKSCluster. La gravità e i dettagli degli esiti variano in base al tipo di esito.

Per tutti i tipi di esiti di Kubernetes, ti consigliamo di esaminare la risorsa in questione per determinare se l'attività è prevista o potenzialmente dannosa. Per indicazioni su come correggere una risorsa Kubernetes compromessa identificata da un risultato, consulta. GuardDuty Correzione degli esiti del monitoraggio dei log di audit EKS

Nota

Se questi esiti vengono generati a causa di un'attività prevista, valuta la possibilità di aggiungere una Regole di eliminazione per evitare avvisi futuri.

Argomenti
Nota

Prima della versione 1.14 di Kubernetes, il gruppo era associato a e per impostazione predefinita. system:unauthenticated system:discovery system:basic-user ClusterRoles Questa associazione potrebbe consentire l'accesso non intenzionale a utenti anonimi. Gli aggiornamenti del cluster non revocano queste autorizzazioni. Anche se hai aggiornato il cluster alla versione 1.14 o successiva, le autorizzazioni in questione potrebbero essere ancora abilitate. Ti consigliamo di disassociare queste autorizzazioni dal gruppo system:unauthenticated. Per indicazioni sulla revoca di queste autorizzazioni, consulta le best practice di sicurezza per Amazon EKS nella Amazon EKS User Guide.

CredentialAccess:Kubernetes/MaliciousIPCaller

Un indirizzo API comunemente usato per accedere a credenziali o segreti in un cluster Kubernetes è stato richiamato da un indirizzo IP malevolo noto.

Gravità predefinita: alta

  • EKSFunzionalità: registri di controllo

Questo risultato indica che un'APIoperazione è stata richiamata da un indirizzo IP associato ad attività dannose note. L'APIosservazione è comunemente associata alle tattiche di accesso alle credenziali in cui un avversario tenta di raccogliere password, nomi utente e chiavi di accesso per il cluster Kubernetes.

Raccomandazioni per la correzione:

Se l'utente segnalato nella scoperta sotto la KubernetesUserDetails sezione lo èsystem:anonymous, scopri perché all'utente anonimo è stato consentito di richiamarlo API e revocare le autorizzazioni, se necessario, seguendo le istruzioni riportate nelle best practice di sicurezza per Amazon EKS nella Amazon User Guide. EKS Se l'utente è autenticato, effettua ulteriori verifiche per determinare se l'attività era legittima o dannosa. Se l'attività era dannosa, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

Un codice API comunemente usato per accedere a credenziali o segreti in un cluster Kubernetes è stato richiamato da un indirizzo IP presente in un elenco di minacce personalizzato.

Gravità predefinita: alta

  • Funzionalità: registri di controllo EKS

Questa scoperta ti informa che un'APIoperazione è stata richiamata da un indirizzo IP incluso in un elenco di minacce che hai caricato. L'elenco minacce associato a questo esito è elencato nella sezione Informazioni aggiuntive dei dettagli di un esito. L'APIosservazione è comunemente associata alle tattiche di accesso alle credenziali in cui un avversario tenta di raccogliere password, nomi utente e chiavi di accesso per il cluster Kubernetes.

Raccomandazioni per la correzione:

Se l'utente segnalato nella scoperta sotto la KubernetesUserDetails sezione lo èsystem:anonymous, scopri perché all'utente anonimo è stato consentito di invocare API e revoca le autorizzazioni, se necessario, seguendo le istruzioni riportate nelle best practice di sicurezza per Amazon EKS nella Amazon User Guide. EKS Se l'utente è autenticato, effettua ulteriori verifiche per determinare se l'attività era legittima o dannosa. Se l'attività era dannosa, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

Un comando API comunemente usato per accedere a credenziali o segreti in un cluster Kubernetes è stato richiamato da un utente non autenticato.

Gravità predefinita: alta

  • EKSFunzionalità: registri di controllo

Questo risultato indica che un'APIoperazione è stata richiamata con successo dall'utente. system:anonymous APIle chiamate effettuate da non system:anonymous sono autenticate. Ciò che API viene osservato è comunemente associato alle tattiche di accesso alle credenziali in cui un avversario tenta di raccogliere password, nomi utente e chiavi di accesso per il cluster Kubernetes. Questa attività indica che l'accesso anonimo o non autenticato è consentito all'azione riportata nel risultato e può essere consentito ad altre API azioni. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali sono compromesse.

Raccomandazioni per la correzione:

Esamina le autorizzazioni concesse all'utente system:anonymous sul cluster e assicurati che tutte le autorizzazioni siano necessarie. Se le autorizzazioni sono state concesse erroneamente o intenzionalmente, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta le best practice di sicurezza per Amazon EKS nella Amazon EKS User Guide.

Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

CredentialAccess:Kubernetes/TorIPCaller

Un indirizzo API IP comunemente usato per accedere a credenziali o segreti in un cluster Kubernetes è stato richiamato da un indirizzo IP del nodo di uscita Tor.

Gravità predefinita: alta

  • EKSFunzionalità: registri di controllo

Questa scoperta ti informa che un indirizzo IP API è stato richiamato da un indirizzo IP del nodo di uscita Tor. Quanto API osservato è comunemente associato alle tattiche di accesso alle credenziali in cui un avversario tenta di raccogliere password, nomi utente e chiavi di accesso per il cluster Kubernetes. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L'ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato alle risorse del cluster Kubernetes con l'intento di nascondere la vera identità dell'utente malintenzionato.

Raccomandazioni per la correzione:

Se l'utente segnalato nella scoperta sotto la KubernetesUserDetails sezione lo èsystem:anonymous, scopri perché all'utente anonimo è stato consentito di richiamarlo API e revocare le autorizzazioni, se necessario, seguendo le istruzioni riportate nelle best practice di sicurezza per Amazon EKS nella Amazon User Guide. EKS Se l'utente è autenticato, effettua ulteriori verifiche per determinare se l'attività era legittima o dannosa. Se l'attività era dannosa, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

DefenseEvasion:Kubernetes/MaliciousIPCaller

Una delle misure difensive API comunemente utilizzate per eludere le misure difensive è stata invocata da un indirizzo IP malevolo noto.

Gravità predefinita: alta

  • Caratteristica: registri di controllo EKS

Questo risultato indica che un'APIoperazione è stata richiamata da un indirizzo IP associato ad attività dannose note. L'APIosservazione è comunemente associata a tattiche di evasione difensiva in cui un avversario cerca di nascondere le proprie azioni per evitare di essere scoperto.

Raccomandazioni per la correzione:

Se l'utente segnalato nella scoperta sotto la KubernetesUserDetails sezione lo èsystem:anonymous, scopri perché all'utente anonimo è stato consentito di richiamarlo API e revocare le autorizzazioni, se necessario, seguendo le istruzioni riportate nelle best practice di sicurezza per Amazon EKS nella Amazon User Guide. EKS Se l'utente è autenticato, effettua ulteriori verifiche per determinare se l'attività era legittima o dannosa. Se l'attività era dannosa, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

Una delle misure difensive API comunemente utilizzate per eludere le misure difensive veniva invocata da un indirizzo IP presente in un elenco di minacce personalizzato.

Gravità predefinita: alta

  • Funzionalità: registri di controllo EKS

Questa scoperta ti informa che un'APIoperazione è stata richiamata da un indirizzo IP incluso in un elenco di minacce che hai caricato. L'elenco minacce associato a questo esito è elencato nella sezione Informazioni aggiuntive dei dettagli di un esito. L'APIosservazione è comunemente associata a tattiche di evasione difensiva in cui un avversario cerca di nascondere le proprie azioni per evitare di essere scoperto.

Raccomandazioni per la correzione:

Se l'utente segnalato nella scoperta sotto la KubernetesUserDetails sezione lo èsystem:anonymous, scopri perché all'utente anonimo è stato consentito di richiamarlo API e revocare le autorizzazioni, se necessario, seguendo le istruzioni riportate nelle best practice di sicurezza per Amazon EKS nella Amazon User Guide. EKS Se l'utente è autenticato, effettua ulteriori verifiche per determinare se l'attività era legittima o dannosa. Se l'attività era dannosa, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

Una misura API comunemente usata per eludere le misure difensive è stata invocata da un utente non autenticato.

Gravità predefinita: alta

  • EKSCaratteristica: registri di controllo

Questo risultato indica che un'APIoperazione è stata richiamata con successo dall'utente. system:anonymous APIle chiamate effettuate da non system:anonymous sono autenticate. L'osservazione API è comunemente associata a tattiche di evasione difensiva in cui un avversario cerca di nascondere le proprie azioni per evitare di essere scoperto. Questa attività indica che l'accesso anonimo o non autenticato è consentito all'APIazione segnalata nella rilevazione e può essere consentito per altre azioni. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali sono compromesse.

Raccomandazioni per la correzione:

Esamina le autorizzazioni concesse all'utente system:anonymous sul cluster e assicurati che tutte le autorizzazioni siano necessarie. Se le autorizzazioni sono state concesse erroneamente o intenzionalmente, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta le best practice di sicurezza per Amazon EKS nella Amazon EKS User Guide.

Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

DefenseEvasion:Kubernetes/TorIPCaller

Un indirizzo API IP comunemente usato per eludere le misure difensive è stato invocato da un indirizzo IP del nodo di uscita Tor.

Gravità predefinita: alta

  • Caratteristica: registri di controllo EKS

Questa scoperta ti informa che un indirizzo IP API è stato richiamato da un indirizzo IP del nodo di uscita Tor. L'APIosservazione è comunemente associata a tattiche di evasione difensiva in cui un avversario cerca di nascondere le proprie azioni per evitare di essere scoperto. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L'ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato al cluster Kubernetes con l'intento di nascondere la vera identità dell'utente malintenzionato.

Raccomandazioni per la correzione:

Se l'utente segnalato nella scoperta sotto la KubernetesUserDetails sezione lo èsystem:anonymous, scopri perché all'utente anonimo è stato consentito di richiamarlo API e revocare le autorizzazioni, se necessario, seguendo le istruzioni riportate nelle best practice di sicurezza per Amazon EKS nella Amazon User Guide. EKS Se l'utente è autenticato, effettua ulteriori verifiche per determinare se l'attività era legittima o dannosa. Se l'attività era dannosa, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Discovery:Kubernetes/MaliciousIPCaller

Un comando API comunemente usato per scoprire risorse in un cluster Kubernetes è stato richiamato da un indirizzo IP.

Gravità predefinita: media

  • Caratteristica: registri di controllo EKS

Questo risultato indica che un'APIoperazione è stata richiamata da un indirizzo IP associato ad attività dannose note. L'osservazione API viene comunemente utilizzata nella fase di scoperta di un attacco, in cui un utente malintenzionato raccoglie informazioni per determinare se il cluster Kubernetes è suscettibile a un attacco più ampio.

Per l'accesso non autenticato

MaliciousIPCalleri risultati non vengono generati per l'accesso non autenticato.

SuccessfulAnonymousAccessi risultati vengono generati per un accesso non autenticato o anonimo.

Raccomandazioni per la correzione:

Se l'utente segnalato nella scoperta sotto la KubernetesUserDetails sezione lo èsystem:anonymous, scopri perché all'utente anonimo è stato consentito di richiamarlo API e revocare le autorizzazioni, se necessario, seguendo le istruzioni riportate nelle best practice di sicurezza per Amazon EKS nella Amazon User Guide. EKS Se l'utente è autenticato, effettua ulteriori verifiche per determinare se l'attività era legittima o dannosa. Se l'attività era dannosa, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Discovery:Kubernetes/MaliciousIPCaller.Custom

Un comando API comunemente usato per scoprire risorse in un cluster Kubernetes è stato richiamato da un indirizzo IP su un elenco di minacce personalizzato.

Gravità predefinita: media

  • Funzionalità: registri di controllo EKS

Questa scoperta ti informa che API è stato richiamato un messaggio da un indirizzo IP incluso in un elenco di minacce che hai caricato. L'elenco minacce associato a questo esito è elencato nella sezione Informazioni aggiuntive dei dettagli di un esito. L'osservazione API viene comunemente utilizzata nella fase di scoperta di un attacco, in cui un utente malintenzionato raccoglie informazioni per determinare se il cluster Kubernetes è suscettibile a un attacco più ampio.

Raccomandazioni per la correzione:

Se l'utente segnalato nella scoperta sotto la KubernetesUserDetails sezione lo èsystem:anonymous, scopri perché all'utente anonimo è stato consentito di richiamarlo API e revocare le autorizzazioni, se necessario, seguendo le istruzioni riportate nelle best practice di sicurezza per Amazon EKS nella Amazon User Guide. EKS Se l'utente è autenticato, effettua ulteriori verifiche per determinare se l'attività era legittima o dannosa. Se l'attività era dannosa, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Discovery:Kubernetes/SuccessfulAnonymousAccess

Un comando API comunemente usato per scoprire risorse in un cluster Kubernetes è stato richiamato da un utente non autenticato.

Gravità predefinita: media

  • Funzionalità: registri di controllo EKS

Questo risultato indica che un'APIoperazione è stata richiamata con successo dall'utente. system:anonymous APIle chiamate effettuate da non system:anonymous sono autenticate. L'osservazione API è comunemente associata alla fase di scoperta di un attacco, quando un avversario sta raccogliendo informazioni sul cluster Kubernetes. Questa attività indica che l'accesso anonimo o non autenticato è consentito all'APIazione riportata nel risultato e può essere consentito per altre azioni. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali sono compromesse.

Questo tipo di risultato esclude gli API endpoint per il controllo dello stato di salute come/healthz,, /livez e. /readyz /version

Raccomandazioni per la correzione:

Esamina le autorizzazioni concesse all'utente system:anonymous sul cluster e assicurati che tutte le autorizzazioni siano necessarie. Se le autorizzazioni sono state concesse erroneamente o intenzionalmente, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta le best practice di sicurezza per Amazon EKS nella Amazon EKS User Guide.

Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Discovery:Kubernetes/TorIPCaller

Un indirizzo API IP comunemente usato per scoprire risorse in un cluster Kubernetes è stato richiamato da un indirizzo IP del nodo di uscita Tor.

Gravità predefinita: media

  • Funzionalità: registri di controllo EKS

Questa scoperta ti informa che un indirizzo IP API è stato richiamato da un indirizzo IP del nodo di uscita Tor. Quanto osservato API viene comunemente utilizzato nella fase di scoperta di un attacco, in cui un aggressore raccoglie informazioni per determinare se il cluster Kubernetes è suscettibile a un attacco più ampio. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L'ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato al cluster Kubernetes con l'intento di nascondere la vera identità dell'utente malintenzionato.

Raccomandazioni per la correzione:

Se l'utente segnalato nella scoperta sotto la KubernetesUserDetails sezione lo èsystem:anonymous, scopri perché all'utente anonimo è stato consentito di invocare la APIand revoca delle autorizzazioni, se necessario, seguendo le istruzioni contenute nelle migliori pratiche di sicurezza per Amazon EKS nella Amazon User Guide. EKS Se l'utente è autenticato, effettua ulteriori verifiche per determinare se l'attività era legittima o dannosa. Se l'attività era dannosa, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Execution:Kubernetes/ExecInKubeSystemPod

È stato eseguito un comando in un pod all'interno dello spazio dei nomi del kube-system.

Gravità predefinita: media

  • Funzionalità: registri di controllo EKS

Questa scoperta informa che un comando è stato eseguito in un pod all'interno del kube-system namespace utilizzando Kubernetes exec. API kube-systemnamespace è uno spazio dei nomi predefinito, utilizzato principalmente per componenti a livello di sistema come e. kube-dns kube-proxy L'esecuzione di comandi in pod o container all'interno dello spazio dei nomi del kube-system è molto rara e può indicare attività sospette.

Raccomandazioni per la correzione:

Se l'esecuzione di questo comando non è prevista, le credenziali dell'identità utente utilizzate per eseguirlo potrebbero essere compromesse. Revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Impact:Kubernetes/MaliciousIPCaller

Un indirizzo API comunemente usato per manomettere le risorse in un cluster Kubernetes veniva richiamato da un indirizzo IP malevolo noto.

Gravità predefinita: alta

  • EKSFunzionalità: registri di controllo

Questo risultato indica che un'APIoperazione è stata richiamata da un indirizzo IP associato ad attività dannose note. L'osservazione API è comunemente associata a tattiche di impatto in cui un avversario tenta di manipolare, interrompere o distruggere i dati all'interno dell'ambiente. AWS

Raccomandazioni per la correzione:

Se l'utente segnalato nella scoperta sotto la KubernetesUserDetails sezione lo èsystem:anonymous, scopri perché all'utente anonimo è stato consentito di richiamarlo API e revocare le autorizzazioni, se necessario, seguendo le istruzioni riportate nelle best practice di sicurezza per Amazon EKS nella Amazon User Guide. EKS Se l'utente è autenticato, effettua ulteriori verifiche per determinare se l'attività era legittima o dannosa. Se l'attività era dannosa, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Impact:Kubernetes/MaliciousIPCaller.Custom

Un comando API comunemente usato per manomettere le risorse in un cluster Kubernetes è stato richiamato da un indirizzo IP su un elenco di minacce personalizzato.

Gravità predefinita: alta

  • Funzionalità: registri di controllo EKS

Questa scoperta ti informa che un'APIoperazione è stata richiamata da un indirizzo IP incluso in un elenco di minacce che hai caricato. L'elenco minacce associato a questo esito è elencato nella sezione Informazioni aggiuntive dei dettagli di un esito. L'osservazione API è comunemente associata a tattiche di impatto in cui un avversario cerca di manipolare, interrompere o distruggere i dati all'interno dell'ambiente. AWS

Raccomandazioni per la correzione:

Se l'utente segnalato nella scoperta sotto la KubernetesUserDetails sezione lo èsystem:anonymous, scopri perché all'utente anonimo è stato consentito di richiamarlo API e revocare le autorizzazioni, se necessario, seguendo le istruzioni riportate nelle best practice di sicurezza per Amazon EKS nella Amazon User Guide. EKS Se l'utente è autenticato, effettua ulteriori verifiche per determinare se l'attività era legittima o dannosa. Se l'attività era dannosa, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Impact:Kubernetes/SuccessfulAnonymousAccess

Un comando API comunemente usato per manomettere le risorse in un cluster Kubernetes è stato richiamato da un utente non autenticato.

Gravità predefinita: alta

  • Funzionalità: registri di controllo EKS

Questo risultato indica che un'APIoperazione è stata richiamata con successo dall'utente. system:anonymous APIle chiamate effettuate da non system:anonymous sono autenticate. Ciò che API viene osservato è in genere associato alla fase di impatto di un attacco, quando un avversario sta manomettendo le risorse del cluster. Questa attività indica che l'accesso anonimo o non autenticato è consentito all'APIazione riportata nel risultato e può essere consentito per altre azioni. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali sono compromesse.

Raccomandazioni per la correzione:

Esamina le autorizzazioni concesse all'utente system:anonymous sul cluster e assicurati che tutte le autorizzazioni siano necessarie. Se le autorizzazioni sono state concesse erroneamente o intenzionalmente, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta le best practice di sicurezza per Amazon EKS nella Amazon EKS User Guide.

Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Impact:Kubernetes/TorIPCaller

Un indirizzo API IP comunemente usato per manomettere le risorse in un cluster Kubernetes è stato richiamato da un indirizzo IP del nodo di uscita Tor.

Gravità predefinita: alta

  • Funzionalità: registri di controllo EKS

Questa scoperta ti informa che un indirizzo IP API è stato richiamato da un indirizzo IP del nodo di uscita Tor. Quanto API osservato è comunemente associato a tattiche di impatto in cui un avversario cerca di manipolare, interrompere o distruggere i dati all'interno dell'ambiente. AWS Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L'ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato al cluster Kubernetes con l'intento di nascondere la vera identità dell'utente malintenzionato.

Raccomandazioni per la correzione:

Se l'utente segnalato nella scoperta sotto la KubernetesUserDetails sezione lo èsystem:anonymous, scopri perché all'utente anonimo è stato consentito di richiamarlo API e revocare le autorizzazioni, se necessario, seguendo le istruzioni riportate nelle best practice di sicurezza per Amazon EKS nella Amazon User Guide. EKS Se l'utente è autenticato, effettua ulteriori verifiche per determinare se l'attività era legittima o dannosa. Se l'attività era dannosa, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Persistence:Kubernetes/ContainerWithSensitiveMount

È stato avviato un container con un percorso host esterno sensibile montato all'interno.

Gravità predefinita: media

  • Caratteristica: registri di controllo EKS

Questo esito segnala che un container è stato avviato con una configurazione che includeva un percorso host sensibile con accesso in scrittura nella sezione volumeMounts. Ciò rende questo percorso accessibile e scrivibile dall'interno del container. Questa tecnica viene comunemente utilizzata dagli avversari per accedere al file system dell'host.

Raccomandazioni per la correzione:

Se l'avvio del container non è previsto, le credenziali dell'identità utente utilizzate per avviarlo potrebbero essere compromesse. Revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Se l'avvio di questo container è previsto, ti consigliamo di utilizzare una regola di eliminazione composta da un criterio di filtro basato sul campo resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. Nei criteri di filtro, il campo imagePrefix deve essere uguale all'imagePrefix specificato nell'esito. Per ulteriori informazioni sulla creazione delle regole di eliminazione, consulta Regole di eliminazione.

Persistence:Kubernetes/MaliciousIPCaller

Un indirizzo API comunemente usato per ottenere l'accesso persistente a un cluster Kubernetes veniva richiamato da un indirizzo IP malevolo noto.

Gravità predefinita: media

  • Funzionalità: registri di controllo EKS

Questo risultato indica che un'APIoperazione è stata richiamata da un indirizzo IP associato ad attività dannose note. L'APIosservazione è comunemente associata a tattiche di persistenza in cui un avversario ha ottenuto l'accesso al cluster Kubernetes e sta tentando di mantenere tale accesso.

Raccomandazioni per la correzione:

Se l'utente segnalato nella scoperta sotto la KubernetesUserDetails sezione lo èsystem:anonymous, scopri perché all'utente anonimo è stato consentito di richiamarlo API e revocare le autorizzazioni, se necessario, seguendo le istruzioni riportate nelle best practice di sicurezza per Amazon EKS nella Amazon User Guide. EKS Se l'utente è autenticato, effettua ulteriori verifiche per determinare se l'attività era legittima o dannosa. Se l'attività era dannosa, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Persistence:Kubernetes/MaliciousIPCaller.Custom

Un comando API comunemente usato per ottenere l'accesso permanente a un cluster Kubernetes è stato richiamato da un indirizzo IP su un elenco di minacce personalizzato.

Gravità predefinita: media

  • Funzionalità: registri di controllo EKS

Questa scoperta ti informa che un'APIoperazione è stata richiamata da un indirizzo IP incluso in un elenco di minacce che hai caricato. L'elenco minacce associato a questo esito è elencato nella sezione Informazioni aggiuntive dei dettagli di un esito. L'APIosservazione è comunemente associata a tattiche di persistenza in cui un avversario ha ottenuto l'accesso al cluster Kubernetes e sta tentando di mantenere tale accesso.

Raccomandazioni per la correzione:

Se l'utente segnalato nella scoperta sotto la KubernetesUserDetails sezione lo èsystem:anonymous, scopri perché all'utente anonimo è stato consentito di richiamarlo API e revocare le autorizzazioni, se necessario, seguendo le istruzioni riportate nelle best practice di sicurezza per Amazon EKS nella Amazon User Guide. EKS Se l'utente è autenticato, effettua ulteriori verifiche per determinare se l'attività era legittima o dannosa. Se l'attività era dannosa, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Persistence:Kubernetes/SuccessfulAnonymousAccess

Un comando API comunemente usato per ottenere autorizzazioni di alto livello per un cluster Kubernetes è stato richiamato da un utente non autenticato.

Gravità predefinita: alta

  • Funzionalità: registri di controllo EKS

Questo risultato indica che un'APIoperazione è stata richiamata con successo dall'utente. system:anonymous APIle chiamate effettuate da non system:anonymous sono autenticate. L'osservazione API è comunemente associata alle tattiche di persistenza in cui un avversario ha ottenuto l'accesso al cluster e sta tentando di mantenere tale accesso. Questa attività indica che l'accesso anonimo o non autenticato è consentito all'APIazione riportata nel risultato e può essere consentito per altre azioni. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali sono compromesse.

Raccomandazioni per la correzione:

Esamina le autorizzazioni concesse all'utente system:anonymous sul cluster e assicurati che tutte le autorizzazioni siano necessarie. Se le autorizzazioni sono state concesse erroneamente o intenzionalmente, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta le best practice di sicurezza per Amazon EKS nella Amazon EKS User Guide.

Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Persistence:Kubernetes/TorIPCaller

Un indirizzo API IP comunemente usato per ottenere l'accesso persistente a un cluster Kubernetes è stato richiamato da un indirizzo IP del nodo di uscita Tor.

Gravità predefinita: media

  • Funzionalità: registri di controllo EKS

Questa scoperta ti informa che un indirizzo IP API è stato richiamato da un indirizzo IP del nodo di uscita Tor. L'APIosservazione è comunemente associata a tattiche di persistenza in cui un avversario ha ottenuto l'accesso al cluster Kubernetes e sta tentando di mantenere tale accesso. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L'ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato alle AWS risorse con l'intento di nascondere la vera identità dell'aggressore.

Raccomandazioni per la correzione:

Se l'utente segnalato nella scoperta sotto la KubernetesUserDetails sezione lo èsystem:anonymous, scopri perché all'utente anonimo è stato consentito di richiamarlo API e revocare le autorizzazioni, se necessario, seguendo le istruzioni riportate nelle best practice di sicurezza per Amazon EKS nella Amazon User Guide. EKS Se l'utente è autenticato, effettua ulteriori verifiche per determinare se l'attività era legittima o dannosa. Se l'attività era dannosa, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

All'account di servizio predefinito sono stati concessi i privilegi di amministratore su un cluster Kubernetes.

Gravità predefinita: alta

  • Caratteristica: registri di controllo EKS

Questo esito segnala che all'account di servizio predefinito per uno spazio dei nomi nel cluster Kubernetes sono stati concessi i privilegi di amministratore. Kubernetes crea un account di servizio predefinito per tutti gli spazi dei nomi del cluster e lo assegna automaticamente come identità ai pod che non sono stati associati esplicitamente a un altro account di servizio. Se l'account di servizio predefinito dispone di privilegi di amministratore, è possibile che vengano lanciati involontariamente pod con privilegi di amministratore. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali sono compromesse.

Raccomandazioni per la correzione:

Non utilizzare l'account di servizio predefinito per concedere autorizzazioni ai pod. Crea invece un account di servizio dedicato per ogni carico di lavoro e concedi l'autorizzazione a tale account in base alle esigenze. Per risolvere questo problema, crea account di servizio dedicati per tutti i tuoi pod e carichi di lavoro e aggiornali per migrare dall'account di servizio predefinito ai relativi account dedicati. Rimuovi quindi l'autorizzazione di amministratore dall'account di servizio predefinito. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Policy:Kubernetes/AnonymousAccessGranted

All'system:anonymousutente è stata concessa l'APIautorizzazione su un cluster Kubernetes.

Gravità predefinita: alta

  • Funzionalità: registri di controllo EKS

Questo esito segnala che un utente del cluster Kubernetes ha creato correttamente un ClusterRoleBinding o RoleBinding per associare l'utente system:anonymous a un ruolo. Ciò consente l'accesso non autenticato alle API operazioni consentite dal ruolo. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali sono compromesse

Raccomandazioni per la correzione:

Esamina le autorizzazioni concesse all'utente system:anonymous o al gruppo system:unauthenticated sul cluster e revoca l'accesso anonimo non necessario. Per ulteriori informazioni, consulta le best practice di sicurezza per Amazon EKS nella Amazon EKS User Guide. Se le autorizzazioni sono state concesse intenzionalmente, revoca l'accesso dell'utente che le ha concesse e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Policy:Kubernetes/ExposedDashboard

Il pannello di un cluster Kubernetes era esposto a Internet

Gravità predefinita: media

  • Funzionalità: registri EKS di controllo

Questo esito segnala che il pannello Kubernetes per il cluster è stato esposto a Internet da un servizio del sistema di bilanciamento del carico. Un pannello esposto rende l'interfaccia di gestione del cluster accessibile da Internet e consente agli avversari di sfruttare eventuali lacune nell'autenticazione e nel controllo degli accessi.

Raccomandazioni per la correzione:

Assicurati di applicare autenticazione e autorizzazione avanzate sul pannello Kubernetes. Inoltre, implementa il controllo dell'accesso alla rete per limitare l'accesso al pannello da indirizzi IP specifici.

Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Policy:Kubernetes/KubeflowDashboardExposed

Il pannello Kubeflow di un cluster Kubernetes era esposto a Internet

Gravità predefinita: media

  • Caratteristica: registri EKS di controllo

Questo esito segnala che il pannello Kubeflow per il cluster è stato esposto a Internet da un servizio del sistema di bilanciamento del carico. Un pannello Kubeflow esposto rende l'interfaccia di gestione dell'ambiente Kubeflow accessibile da Internet e consente agli avversari di sfruttare eventuali lacune nell'autenticazione e nel controllo degli accessi.

Raccomandazioni per la correzione:

Assicurati di applicare autenticazione e autorizzazione avanzate sul pannello Kubeflow. Inoltre, implementa il controllo dell'accesso alla rete per limitare l'accesso al pannello da indirizzi IP specifici.

Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

PrivilegeEscalation:Kubernetes/PrivilegedContainer

Un container privilegiato con accesso a livello root è stato avviato sul cluster Kubernetes.

Gravità predefinita: media

  • Caratteristica: registri EKS di controllo

Questo esito segnala che un container privilegiato è stato avviato sul cluster Kubernetes utilizzando un'immagine che non era mai stata utilizzata per avviare container privilegiati nel cluster. Un container privilegiato ha accesso di livello root all'host. Gli avversari possono avviare container privilegiati come tattica di escalation dei privilegi per accedere all'host e quindi comprometterlo.

Raccomandazioni per la correzione:

Se l'avvio del container non è previsto, le credenziali dell'identità utente utilizzate per avviarlo potrebbero essere compromesse. Revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed

Un Kubernetes API comunemente usato per accedere ai segreti è stato richiamato in modo anomalo.

Gravità predefinita: media

  • EKSFunzionalità: registri di controllo

Questa scoperta ti informa che un'APIoperazione anomala per recuperare i segreti sensibili del cluster è stata richiamata da un utente Kubernetes del tuo cluster. Quanto osservato API è comunemente associato a tattiche di accesso alle credenziali che possono portare a un aumento dei privilegi e a ulteriori accessi all'interno del cluster. Se questo comportamento non è previsto, può indicare un errore di configurazione o che le credenziali sono compromesse. AWS

L'osservazione API è stata identificata come anomala dal modello di machine learning (ML) per il rilevamento delle GuardDuty anomalie. Il modello ML valuta tutte le API attività degli utenti all'interno del EKS cluster e identifica gli eventi anomali associati alle tecniche utilizzate da utenti non autorizzati. Il modello ML tiene traccia di diversi fattori dell'APIoperazione, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta, l'agente utente utilizzato e lo spazio dei nomi utilizzato dall'utente. Puoi trovare i dettagli insoliti della API richiesta nel pannello dei dettagli di ricerca della GuardDuty console.

Raccomandazioni per la correzione:

Esamina le autorizzazioni concesse all'utente Kubernetes nel cluster e assicurati che siano tutte necessarie. Se le autorizzazioni sono state concesse erroneamente o intenzionalmente, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un utente non autorizzato. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Se AWS le tue credenziali sono compromesse, consulta. Riparazione delle credenziali potenzialmente compromesse AWS

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated

Nel cluster RoleBinding ClusterRoleBinding Kubernetes è stato creato o modificato un ruolo o un namespace riservato eccessivamente permissivo.

Gravità predefinita: media*

Nota

La gravità predefinita di questi esiti è media. Tuttavia, se un RoleBinding or ClusterRoleBinding coinvolge o, la gravità è Alta. ClusterRoles admin cluster-admin

  • Funzionalità: registri EKS di controllo

Questo esito segnala che un utente del cluster Kubernetes ha creato un RoleBinding o un ClusterRoleBinding per associare un utente a un ruolo con autorizzazioni di amministratore o spazi dei nomi sensibili. Se questo comportamento non è previsto, può indicare un errore di configurazione o che le AWS credenziali sono compromesse.

L'osservazione API è stata identificata come anomala dal modello di machine learning (ML) per il rilevamento delle GuardDuty anomalie. Il modello ML valuta tutte le API attività degli utenti all'interno del cluster. EKS Questo modello di ML identifica anche gli eventi anomali associati alle tecniche utilizzate da un utente non autorizzato. Il modello ML tiene inoltre traccia di diversi fattori dell'APIoperazione, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta, l'agente utente utilizzato e lo spazio dei nomi utilizzato dall'utente. Puoi trovare i dettagli insoliti della API richiesta nel pannello dei dettagli di ricerca della GuardDuty console.

Raccomandazioni per la correzione:

Esamina le autorizzazioni concesse all'utente Kubernetes. Queste autorizzazioni sono definite nel ruolo e nei soggetti coinvolti nel RoleBinding e nel ClusterRoleBinding. Se le autorizzazioni sono state concesse erroneamente o intenzionalmente, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un utente non autorizzato. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Se AWS le tue credenziali sono compromesse, consulta. Riparazione delle credenziali potenzialmente compromesse AWS

Execution:Kubernetes/AnomalousBehavior.ExecInPod

È stato eseguito un comando in un pod in modo anomalo.

Gravità predefinita: media

  • Funzionalità: EKS registri di controllo

Questa scoperta ti informa che un comando è stato eseguito in un pod utilizzando Kubernetes exec. API Kubernetes API exec consente l'esecuzione di comandi arbitrari in un pod. Se questo comportamento non è previsto per l'utente, lo spazio dei nomi o il pod, può indicare un errore di configurazione o che le credenziali sono compromesse. AWS

L'osservazione API è stata identificata come anomala dal modello di apprendimento automatico per il rilevamento delle GuardDuty anomalie (ML). Il modello ML valuta tutte le API attività degli utenti all'interno del cluster. EKS Questo modello di ML identifica anche gli eventi anomali associati alle tecniche utilizzate da un utente non autorizzato. Il modello ML tiene inoltre traccia di diversi fattori dell'APIoperazione, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta, l'agente utente utilizzato e lo spazio dei nomi utilizzato dall'utente. Puoi trovare i dettagli insoliti della API richiesta nel pannello dei dettagli di ricerca della GuardDuty console.

Raccomandazioni per la correzione:

Se l'esecuzione di questo comando non è prevista, le credenziali dell'identità utente utilizzate per eseguirlo potrebbero essere state compromesse. Revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un utente non autorizzato. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Se AWS le tue credenziali sono compromesse, consulta. Riparazione delle credenziali potenzialmente compromesse AWS

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

Un carico di lavoro è stato avviato in modo anomalo con un container privilegiato.

Gravità predefinita: alta

  • Funzionalità: EKS registri di controllo

Questo risultato ti informa che è stato avviato un carico di lavoro con un contenitore privilegiato nel tuo cluster Amazon. EKS Un container privilegiato ha accesso di livello root all'host. Gli utenti non autorizzati possono avviare container privilegiati come tattica di escalation dei privilegi prima per accedere all'host, poi per comprometterlo.

La creazione o la modifica del contenitore osservata è stata identificata come anomala dal modello di apprendimento automatico per il rilevamento delle GuardDuty anomalie (ML). Il modello ML valuta tutte le attività relative alle immagini degli utenti API e dei contenitori all'interno del cluster. EKS Questo modello di ML identifica anche gli eventi anomali associati alle tecniche utilizzate da un utente non autorizzato. Il modello ML tiene inoltre traccia di diversi fattori dell'APIoperazione, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta, l'agente utente utilizzato, le immagini del contenitore osservate nell'account e lo spazio dei nomi utilizzato dall'utente. Puoi trovare i dettagli insoliti della API richiesta nel pannello dei dettagli di ricerca della GuardDuty console.

Raccomandazioni per la correzione:

Se l'avvio del container non è previsto, le credenziali dell'identità utente utilizzate per avviarlo potrebbero essere state compromesse. Revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un utente non autorizzato. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Se AWS le tue credenziali sono compromesse, consulta. Riparazione delle credenziali potenzialmente compromesse AWS

Se l'avvio di questo container è previsto, ti consigliamo di utilizzare una regola di eliminazione con un criterio di filtro basato sul campo resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. Nei criteri di filtro, il campo imagePrefix deve avere lo stesso valore del campo imagePrefix specificato nell'esito. Per ulteriori informazioni, consulta Regole di eliminazione.

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

Un carico di lavoro è stato implementato in modo anomalo con un percorso host sensibile montato al suo interno.

Gravità predefinita: alta

  • Funzionalità: EKS registri di controllo

Questo esito segnala che un carico di lavoro è stato avviato con un container che includeva un percorso host sensibile nella sezione volumeMounts. Ciò rende questo percorso potenzialmente accessibile e scrivibile dall'interno del container. Questa tecnica viene comunemente utilizzata dagli utenti non autorizzati per accedere al file system dell'host.

La creazione o la modifica del contenitore osservata è stata identificata come anomala dal modello di machine learning (ML) per il rilevamento delle GuardDuty anomalie. Il modello ML valuta tutte le attività relative alle immagini degli utenti API e dei contenitori all'interno del cluster. EKS Questo modello di ML identifica anche gli eventi anomali associati alle tecniche utilizzate da un utente non autorizzato. Il modello ML tiene inoltre traccia di diversi fattori dell'APIoperazione, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta, l'agente utente utilizzato, le immagini del contenitore osservate nell'account e lo spazio dei nomi utilizzato dall'utente. Puoi trovare i dettagli insoliti della API richiesta nel pannello dei dettagli di ricerca della GuardDuty console.

Raccomandazioni per la correzione:

Se l'avvio del container non è previsto, le credenziali dell'identità utente utilizzate per avviarlo potrebbero essere state compromesse. Revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un utente non autorizzato. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Se AWS le tue credenziali sono compromesse, consulta. Riparazione delle credenziali potenzialmente compromesse AWS

Se l'avvio di questo container è previsto, ti consigliamo di utilizzare una regola di eliminazione con un criterio di filtro basato sul campo resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. Nei criteri di filtro, il campo imagePrefix deve avere lo stesso valore del campo imagePrefix specificato nell'esito. Per ulteriori informazioni, consulta Regole di eliminazione.

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

Un carico di lavoro è stato avviato in modo anomalo.

Gravità predefinita: bassa*

Nota

La gravità predefinita è bassa. Tuttavia, se il carico di lavoro contiene un nome immagine potenzialmente sospetto, ad esempio uno strumento di test di penetrazione (pen-test) noto, o un container che esegue un comando potenzialmente sospetto all'avvio, come i comandi di shell (interprete di comandi) inversa, questo tipo di esito verrà considerato di gravità media.

  • Funzionalità: EKS registri di controllo

Questa scoperta ti informa che un carico di lavoro Kubernetes è stato creato o modificato in modo anomalo, ad esempio un'APIattività, nuove immagini di container o una configurazione rischiosa del carico di lavoro, all'interno del tuo cluster Amazon. EKS Gli utenti non autorizzati possono avviare container come tattica per eseguire un codice arbitrario prima per accedere all'host, poi per comprometterlo.

La creazione o la modifica del contenitore osservata è stata identificata come anomala dal modello di machine learning (ML) per il rilevamento delle anomalie. GuardDuty Il modello ML valuta tutte le attività relative alle immagini degli utenti API e dei contenitori all'interno del cluster. EKS Questo modello di ML identifica anche gli eventi anomali associati alle tecniche utilizzate da un utente non autorizzato. Il modello ML tiene inoltre traccia di diversi fattori dell'APIoperazione, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta, l'agente utente utilizzato, le immagini del contenitore osservate nell'account e lo spazio dei nomi utilizzato dall'utente. Puoi trovare i dettagli insoliti della API richiesta nel pannello dei dettagli di ricerca della GuardDuty console.

Raccomandazioni per la correzione:

Se l'avvio del container non è previsto, le credenziali dell'identità utente utilizzate per avviarlo potrebbero essere state compromesse. Revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un utente non autorizzato. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Se AWS le tue credenziali sono compromesse, consulta. Riparazione delle credenziali potenzialmente compromesse AWS

Se l'avvio di questo container è previsto, ti consigliamo di utilizzare una regola di eliminazione con un criterio di filtro basato sul campo resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. Nei criteri di filtro, il campo imagePrefix deve avere lo stesso valore del campo imagePrefix specificato nell'esito. Per ulteriori informazioni, consulta Regole di eliminazione.

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

Un ruolo altamente permissivo o ClusterRole è stato creato o modificato in modo anomalo.

Gravità predefinita: bassa

  • Funzionalità: registri di controllo EKS

Questa scoperta ti informa che un'APIoperazione anomala per creare un Role o ClusterRole con autorizzazioni eccessive è stata chiamata da un utente Kubernetes nel tuo cluster Amazon. EKS Gli attori possono utilizzare la creazione di ruoli con autorizzazioni avanzate per non utilizzare ruoli incorporati simili a quelli di amministratore ed evitare il rilevamento. Le autorizzazioni eccessive possono portare a un'escalation dei privilegi, all'esecuzione di codice in modalità remota e al potenziale controllo di uno spazio dei nomi o di un cluster. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali sono compromesse.

L'osservazione API è stata identificata come anomala dal modello di apprendimento automatico di rilevamento delle GuardDuty anomalie (ML). Il modello ML valuta tutte le API attività degli utenti all'interno del tuo EKS cluster Amazon e identifica gli eventi anomali associati alle tecniche utilizzate da utenti non autorizzati. Il modello ML tiene inoltre traccia di diversi fattori dell'APIoperazione, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta, lo user agent utilizzato, le immagini dei container osservate nell'account e lo spazio dei nomi utilizzato dall'utente. Puoi trovare i dettagli insoliti della API richiesta nel pannello dei dettagli di ricerca della GuardDuty console.

Raccomandazioni per la correzione:

Esamina le autorizzazioni definite in Role o ClusterRole per assicurarti che tutte le autorizzazioni siano necessarie e segui i principi del privilegio minimo. Se le autorizzazioni sono state concesse erroneamente o intenzionalmente, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un utente non autorizzato. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Se AWS le tue credenziali sono compromesse, consulta. Riparazione delle credenziali potenzialmente compromesse AWS

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

Un utente ha verificato la propria autorizzazione di accesso in modo anomalo.

Gravità predefinita: bassa

  • Funzionalità: EKS registri di controllo

Questo esito segnala che un utente del cluster Kubernetes ha verificato correttamente se sono consentite o meno le autorizzazioni avanzate note che possono portare a un'escalation dei privilegi e all'esecuzione di codice in modalità remota. Ad esempio, kubectl auth can-i è un comando comune utilizzato per verificare le autorizzazioni di un utente. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali sono state compromesse.

L'osservazione API è stata identificata come anomala dal modello di machine learning (ML) per il rilevamento delle GuardDuty anomalie. Il modello ML valuta tutte le API attività degli utenti all'interno del tuo EKS cluster Amazon e identifica gli eventi anomali associati alle tecniche utilizzate da utenti non autorizzati. Il modello ML tiene inoltre traccia di diversi fattori dell'APIoperazione, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta, il controllo dell'autorizzazione e lo spazio dei nomi utilizzato dall'utente. Puoi trovare i dettagli insoliti della API richiesta nel pannello dei dettagli di ricerca della GuardDuty console.

Raccomandazioni per la correzione:

Esamina le autorizzazioni concesse all'utente Kubernetes per assicurarti che siano tutte necessarie. Se le autorizzazioni sono state concesse erroneamente o intenzionalmente, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un utente non autorizzato. Per ulteriori informazioni, consulta Correzione degli esiti del monitoraggio dei log di audit EKS.

Se AWS le tue credenziali sono compromesse, consulta. Riparazione delle credenziali potenzialmente compromesse AWS