EKS 監査ログの検出結果タイプ - Amazon GuardDuty
CredentialAccess:Kubernetes/MaliciousIPCallerCredentialAccess:Kubernetes/MaliciousIPCaller.CustomCredentialAccess:Kubernetes/SuccessfulAnonymousAccessCredentialAccess:Kubernetes/TorIPCallerDefenseEvasion:Kubernetes/MaliciousIPCallerDefenseEvasion:Kubernetes/MaliciousIPCaller.CustomDefenseEvasion:Kubernetes/SuccessfulAnonymousAccessDefenseEvasion:Kubernetes/TorIPCallerDiscovery:Kubernetes/MaliciousIPCallerDiscovery:Kubernetes/MaliciousIPCaller.CustomDiscovery:Kubernetes/SuccessfulAnonymousAccessDiscovery:Kubernetes/TorIPCallerExecution:Kubernetes/ExecInKubeSystemPodImpact:Kubernetes/MaliciousIPCallerImpact:Kubernetes/MaliciousIPCaller.CustomImpact:Kubernetes/SuccessfulAnonymousAccessImpact:Kubernetes/TorIPCallerPersistence:Kubernetes/ContainerWithSensitiveMountPersistence:Kubernetes/MaliciousIPCallerPersistence:Kubernetes/MaliciousIPCaller.CustomPersistence:Kubernetes/SuccessfulAnonymousAccessPersistence:Kubernetes/TorIPCallerPolicy:Kubernetes/AdminAccessToDefaultServiceAccountPolicy:Kubernetes/AnonymousAccessGrantedPolicy:Kubernetes/ExposedDashboardPolicy:Kubernetes/KubeflowDashboardExposedPrivilegeEscalation:Kubernetes/PrivilegedContainerCredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreatedExecution:Kubernetes/AnomalousBehavior.ExecInPodPrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainerPersistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMountExecution:Kubernetes/AnomalousBehavior.WorkloadDeployedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreatedDiscovery:Kubernetes/AnomalousBehavior.PermissionChecked

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

EKS 監査ログの検出結果タイプ

次の検出結果は Kubernetes リソースに固有であり、resource_typeEKSCluster です。検出結果の重要度と詳細は、検出結果タイプによって異なります。

すべての Kubernetes タイプの検出結果については、問題のリソースを調べて、アクティビティが想定されたものであるのか、または悪意あるアクティビティである可能性があるのかを判断することをお勧めします。 GuardDuty 検出結果によって識別された侵害された Kubernetes リソースの修正に関するガイダンスについては、「」を参照してくださいEKS 監査ログのモニタリング検出結果の修正

注記

これらの結果を生成する原因となるアクティビティが想定される場合は、今後アラートが発生しないように 抑制ルール を追加することを検討してください。

トピック
注記

Kubernetes バージョン 1.14 以前は、system:unauthenticatedグループはsystem:basic-userClusterRolesデフォルトで system:discoveryおよび に関連付けられていました。この関連付けは、匿名ユーザーからの意図しないアクセスを許可する場合があります。クラスターの更新では、これらの許可は取り消されません。クラスターをバージョン 1.14 以降に更新した場合でも、これらの許可は引き続き有効になっている可能性があります。これらの許可の関連付けを system:unauthenticated グループから解除することをお勧めします。これらのアクセス許可を取り消す方法については、「Amazon EKS ユーザーガイド」の「Amazon EKS のセキュリティのベストプラクティス」を参照してください。

CredentialAccess:Kubernetes/MaliciousIPCaller

Kubernetes クラスターの認証情報またはシークレットにアクセスするために一般的に使用される API が悪意のある既知の IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • 機能: EKS 監査ログ

この検出結果は、API オペレーションが悪意のある既知のアクティビティと関連した IP アドレスから呼び出されたことを知らせるものです。観察された API は、攻撃者が Kubernetes クラスターのパスワード、ユーザー名、およびアクセスキーの収集を試みている認証情報アクセス戦術に一般的に関連付けられています。

修復のレコメンデーション

KubernetesUserDetails セクションの検出結果で報告されたユーザーが である場合はsystem:anonymous、Amazon EKS ユーザーガイド「Amazon EKS のセキュリティのベストプラクティス」の手順に従って、匿名ユーザーが API の呼び出しを許可され、必要に応じてアクセス許可を取り消すことを許可された理由を調べます。ユーザーが認証されたユーザーである場合は、そのアクティビティが正当なものであるのか、または悪意のあるものであるのかを調査します。アクティビティが悪意のあるものである場合は、ユーザーのアクセスを取り消し、攻撃者がクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

Kubernetes クラスターの認証情報またはシークレットにアクセスするために一般的に使用される API が、カスタム脅威リストの IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • 機能: EKS 監査ログ

この検出結果は、API オペレーションが、アップロード済みの脅威リストに含まれている IP アドレスから呼び出されたことを知らせるものです。この検出結果に関連する脅威リストは、検出結果の詳細の [Additional Information] (追加情報) セクションにリストされています。観察された API は、攻撃者が Kubernetes クラスターのパスワード、ユーザー名、およびアクセスキーの収集を試みている認証情報アクセス戦術に一般的に関連付けられています。

修復のレコメンデーション

KubernetesUserDetails セクションの検出結果で報告されたユーザーが である場合はsystem:anonymous、Amazon EKS ユーザーガイド「Amazon EKS のセキュリティのベストプラクティス」の手順に従って、匿名ユーザーが API の呼び出しとアクセス許可の取り消しを許可された理由を調べます。ユーザーが認証されたユーザーである場合は、そのアクティビティが正当なものであるのか、または悪意のあるものであるのかを調査します。アクティビティが悪意のあるものである場合は、ユーザーのアクセスを取り消し、攻撃者がクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

Kubernetes クラスターの認証情報またはシークレットにアクセスするために一般的に使用される API が、認証されていないユーザーによって呼び出されました。

デフォルトの重要度: [High] (高)

  • 機能: EKS 監査ログ

この検出結果は、API オペレーションが system:anonymous ユーザーによって正常に呼び出されたことを知らせるものです。system:anonymous によって実行された API コールは認証されていません。観察された API は、攻撃者が Kubernetes クラスターのパスワード、ユーザー名、およびアクセスキーの収集を試みている認証情報アクセス戦術に一般的に関連付けられています。このアクティビティは、検出結果で報告された API アクションで匿名アクセスまたは非認証アクセスが許可され、他のアクションで許可される可能性があることを示します。この動作が想定されていない場合は、設定ミスがあるか、または認証情報が侵害されている可能性があります。

修復のレコメンデーション

クラスター上の system:anonymous ユーザーに付与されている許可を調べて、すべての許可が必要であることを確認する必要があります。誤って、または悪意を持って許可が付与された場合は、ユーザーのアクセスを取り消し、クラスターに対して攻撃者が加えた変更を元に戻す必要があります。詳細については、「Amazon EKS ユーザーガイド」の「Amazon EKS のセキュリティのベストプラクティス」を参照してください。

詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

CredentialAccess:Kubernetes/TorIPCaller

Kubernetes クラスターの認証情報またはシークレットにアクセスするために一般的に使用される API が、Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • 機能: EKS 監査ログ

この検出結果は、API が Tor 出口ノードの IP アドレスから呼び出されたことを知らせるものです。観察された API は、攻撃者が Kubernetes クラスターのパスワード、ユーザー名、およびアクセスキーの収集を試みている認証情報アクセス戦術に一般的に関連付けられています。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者が真のアイデンティティを隠す意図を持った、Kubernetes クラスターのリソースへの未承認のアクセスを示している場合があります。

修復のレコメンデーション

KubernetesUserDetails セクションの検出結果で報告されたユーザーが である場合はsystem:anonymous、Amazon EKS ユーザーガイド「Amazon EKS のセキュリティのベストプラクティス」の指示に従って、匿名ユーザーが API の呼び出しを許可され、必要に応じてアクセス許可を取り消すことを許可された理由を調べます。ユーザーが認証されたユーザーである場合は、そのアクティビティが正当なものであるのか、または悪意のあるものであるのかを調査します。アクティビティが悪意のあるものである場合は、ユーザーのアクセスを取り消し、攻撃者がクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

DefenseEvasion:Kubernetes/MaliciousIPCaller

防御対策を回避するために一般的に使用される API が、悪意のある既知の IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • 機能: EKS 監査ログ

この検出結果は、API オペレーションが悪意のある既知のアクティビティと関連した IP アドレスから呼び出されたことを知らせるものです。観察された API は一般に、攻撃者が検出を回避するためにアクションの隠ぺいを試みている防御回避戦術に関連付けられています。

修復のレコメンデーション

KubernetesUserDetails セクションの検出結果で報告されたユーザーが である場合はsystem:anonymous、Amazon EKS ユーザーガイド「Amazon EKS のセキュリティのベストプラクティス」の指示に従って、匿名ユーザーが API の呼び出しを許可され、必要に応じてアクセス許可を取り消すことを許可された理由を調べます。ユーザーが認証されたユーザーである場合は、そのアクティビティが正当なものであるのか、または悪意のあるものであるのかを調査します。アクティビティが悪意のあるものである場合は、ユーザーのアクセスを取り消し、攻撃者がクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

防御対策を回避するために一般的に使用される API が、カスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • 機能: EKS 監査ログ

この検出結果は、API オペレーションが、アップロード済みの脅威リストに含まれている IP アドレスから呼び出されたことを知らせるものです。この検出結果に関連する脅威リストは、検出結果の詳細の [Additional Information] (追加情報) セクションにリストされています。観察された API は一般に、攻撃者が検出を回避するためにアクションの隠ぺいを試みている防御回避戦術に関連付けられています。

修復のレコメンデーション

KubernetesUserDetails セクションの検出結果で報告されたユーザーが である場合はsystem:anonymous、Amazon EKS ユーザーガイド「Amazon EKS のセキュリティのベストプラクティス」の指示に従って、匿名ユーザーが API を呼び出すことを許可された理由を調べ、必要に応じてアクセス許可を取り消します。ユーザーが認証されたユーザーである場合は、そのアクティビティが正当なものであるのか、または悪意のあるものであるのかを調査します。アクティビティが悪意のあるものである場合は、ユーザーのアクセスを取り消し、攻撃者がクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

防御対策を回避するために一般的に使用される API が、認証されていないユーザーによって呼び出されました。

デフォルトの重要度: [High] (高)

  • 機能: EKS 監査ログ

この検出結果は、API オペレーションが system:anonymous ユーザーによって正常に呼び出されたことを知らせるものです。system:anonymous によって実行された API コールは認証されていません。観察された API は一般に、攻撃者が検出を回避するためにアクションの隠ぺいを試みている防御回避戦術に関連付けられています。このアクティビティは、検出結果で報告された API アクションで匿名アクセスまたは非認証アクセスが許可され、他のアクションで許可される可能性があることを示します。この動作が想定されていない場合は、設定ミスがあるか、または認証情報が侵害されている可能性があります。

修復のレコメンデーション

クラスター上の system:anonymous ユーザーに付与されている許可を調べて、すべての許可が必要であることを確認する必要があります。誤って、または悪意を持って許可が付与された場合は、ユーザーのアクセスを取り消し、クラスターに対して攻撃者が加えた変更を元に戻す必要があります。詳細については、「Amazon EKS ユーザーガイド」の「Amazon EKS のセキュリティのベストプラクティス」を参照してください。

詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

DefenseEvasion:Kubernetes/TorIPCaller

防御対策を回避するために一般的に使用される API が、Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • 機能: EKS 監査ログ

この検出結果は、API が Tor 出口ノードの IP アドレスから呼び出されたことを知らせるものです。観察された API は一般に、攻撃者が検出を回避するためにアクションの隠ぺいを試みている防御回避戦術に関連付けられています。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者が真のアイデンティティを隠す意図を持った、Kubernetes クラスターへの未承認のアクセスを示している場合があります。

修復のレコメンデーション

KubernetesUserDetails セクションの結果で報告されたユーザーが である場合はsystem:anonymous、Amazon EKS ユーザーガイド「Amazon EKS のセキュリティのベストプラクティス」の指示に従って、匿名ユーザーが API の呼び出しを許可され、必要に応じてアクセス許可を取り消すことを許可された理由を調べます。ユーザーが認証されたユーザーである場合は、そのアクティビティが正当なものであるのか、または悪意のあるものであるのかを調査します。アクティビティが悪意のあるものである場合は、ユーザーのアクセスを取り消し、攻撃者がクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

Discovery:Kubernetes/MaliciousIPCaller

Kubernetes クラスター内のリソースを見つけるために一般的に使用される API が、ある IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • 機能: EKS 監査ログ

この検出結果は、API オペレーションが悪意のある既知のアクティビティと関連した IP アドレスから呼び出されたことを知らせるものです。観察される API は、攻撃の検出段階で一般的に使用されます。攻撃者は、情報を収集して、Kubernetes クラスターがより広範な攻撃の影響を受けやすいかどうかを判断します。

修復のレコメンデーション

KubernetesUserDetails セクションの検出結果で報告されたユーザーが である場合はsystem:anonymous、Amazon EKS ユーザーガイド「Amazon EKS のセキュリティのベストプラクティス」の指示に従って、匿名ユーザーが API の呼び出しとアクセス許可の取り消しを許可された理由を調べます。ユーザーが認証されたユーザーである場合は、そのアクティビティが正当なものであるのか、または悪意のあるものであるのかを調査します。アクティビティが悪意のあるものである場合は、ユーザーのアクセスを取り消し、攻撃者がクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

Discovery:Kubernetes/MaliciousIPCaller.Custom

Kubernetes クラスターのリソースを見つけるために一般的に使用される API が、カスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • 機能: EKS 監査ログ

この検出結果は、API が、アップロード済みの脅威リストに含まれている IP アドレスから呼び出されたことを知らせるものです。この検出結果に関連する脅威リストは、検出結果の詳細の [Additional Information] (追加情報) セクションにリストされています。観察される API は、攻撃の検出段階で一般的に使用されます。攻撃者は、情報を収集して、Kubernetes クラスターがより広範な攻撃の影響を受けやすいかどうかを判断します。

修復のレコメンデーション

KubernetesUserDetails セクションの検出結果で報告されたユーザーが である場合はsystem:anonymous、Amazon EKS ユーザーガイド「Amazon EKS のセキュリティのベストプラクティス」の指示に従って、匿名ユーザーが API の呼び出しとアクセス許可の取り消しを許可された理由を調べます。ユーザーが認証されたユーザーである場合は、そのアクティビティが正当なものであるのか、または悪意のあるものであるのかを調査します。アクティビティが悪意のあるものである場合は、ユーザーのアクセスを取り消し、攻撃者がクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

Discovery:Kubernetes/SuccessfulAnonymousAccess

Kubernetes クラスターのリソースを見つけるために一般的に使用される API が、認証されていないユーザーによって呼び出されました。

デフォルトの重要度: [Medium] (中)

  • 機能: EKS 監査ログ

この検出結果は、API オペレーションが system:anonymous ユーザーによって正常に呼び出されたことを知らせるものです。system:anonymous によって実行された API コールは認証されていません。攻撃者が Kubernetes クラスターで情報を収集しているときに観測された API は、攻撃の検出段階に一般的に関連しています。このアクティビティは、検出結果で報告された API アクションで匿名アクセスまたは非認証アクセスが許可され、他のアクションで許可される可能性があることを示します。この動作が想定されていない場合は、設定ミスがあるか、または認証情報が侵害されている可能性があります。

修復のレコメンデーション

クラスター上の system:anonymous ユーザーに付与されている許可を調べて、すべての許可が必要であることを確認する必要があります。誤って、または悪意を持って許可が付与された場合は、ユーザーのアクセスを取り消し、クラスターに対して攻撃者が加えた変更を元に戻す必要があります。詳細については、「Amazon EKS ユーザーガイド」の「Amazon EKS のセキュリティのベストプラクティス」を参照してください。

詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

Discovery:Kubernetes/TorIPCaller

Kubernetes クラスターのリソースを見つけるために一般的に使用される API が、Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • 機能: EKS 監査ログ

この検出結果は、API が Tor 出口ノードの IP アドレスから呼び出されたことを知らせるものです。観察される API は、攻撃の検出段階で一般的に使用されます。攻撃者は、情報を収集して、Kubernetes クラスターがより広範な攻撃の影響を受けやすいかどうかを判断します。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者が真のアイデンティティを隠す意図を持った、Kubernetes クラスターへの未承認のアクセスを示している場合があります。

修復のレコメンデーション

KubernetesUserDetails セクションの検出結果で報告されたユーザーが である場合はsystem:anonymous、Amazon EKS ユーザーガイド「Amazon EKS のセキュリティのベストプラクティス」の指示に従って、匿名ユーザーが APIand の呼び出しを許可され、必要に応じてアクセス許可を取り消す理由を調べます。ユーザーが認証されたユーザーである場合は、そのアクティビティが正当なものであるのか、または悪意のあるものであるのかを調査します。アクティビティが悪意のあるものである場合は、ユーザーのアクセスを取り消し、攻撃者がクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

Execution:Kubernetes/ExecInKubeSystemPod

kube-system 名前空間内のポッド内でコマンドが実行されました

デフォルトの重要度: [Medium] (中)

  • 機能: EKS 監査ログ

この検出結果は、コマンドが kube-system 名前空間内のポッドで Kubernetes exec API を使用して実行されたことを示すものです。kube-system 名前空間はデフォルトの名前空間であり、主に kube-dnskube-proxy などのシステムレベルのコンポーネントに使用されます。kube-system 名前空間のポッドまたはコンテナ内でコマンドを実行することは非常にまれであり、疑わしいアクティビティを示している可能性があります。

修復のレコメンデーション

このコマンドの実行が想定されていない場合は、コマンドの実行に使用されたユーザーアイデンティティの認証情報が侵害される可能性があります。ユーザーのアクセスを取り消し、攻撃者がクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

Impact:Kubernetes/MaliciousIPCaller

Kubernetes クラスターのリソースを改ざんするために一般的に使用される API が、悪意のある既知の IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • 機能: EKS 監査ログ

この検出結果は、API オペレーションが悪意のある既知のアクティビティと関連した IP アドレスから呼び出されたことを知らせるものです。観測された API は、攻撃者が AWS 環境内のデータを操作、中断、または破壊しようとしている影響戦術に一般的に関連しています。

修復のレコメンデーション

KubernetesUserDetails セクションの結果で報告されたユーザーが である場合はsystem:anonymous、Amazon EKS ユーザーガイド「Amazon EKS のセキュリティのベストプラクティス」の指示に従って、匿名ユーザーが API の呼び出しを許可され、必要に応じてアクセス許可を取り消した理由を調べます。ユーザーが認証されたユーザーである場合は、そのアクティビティが正当なものであるのか、または悪意のあるものであるのかを調査します。アクティビティが悪意のあるものである場合は、ユーザーのアクセスを取り消し、攻撃者がクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

Impact:Kubernetes/MaliciousIPCaller.Custom

Kubernetes クラスターのリソースを改ざんするために一般的に使用される API が、カスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • 機能: EKS 監査ログ

この検出結果は、API オペレーションが、アップロード済みの脅威リストに含まれている IP アドレスから呼び出されたことを知らせるものです。この検出結果に関連する脅威リストは、検出結果の詳細の [Additional Information] (追加情報) セクションにリストされています。観測された API は、攻撃者が AWS 環境内のデータを操作、中断、または破壊しようとしている影響戦術に一般的に関連しています。

修復のレコメンデーション

KubernetesUserDetails セクションの結果で報告されたユーザーが である場合はsystem:anonymous、Amazon EKS ユーザーガイド「Amazon EKS のセキュリティのベストプラクティス」の指示に従って、匿名ユーザーが API の呼び出しを許可され、必要に応じてアクセス許可を取り消した理由を調べます。ユーザーが認証されたユーザーである場合は、そのアクティビティが正当なものであるのか、または悪意のあるものであるのかを調査します。アクティビティが悪意のあるものである場合は、ユーザーのアクセスを取り消し、攻撃者がクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

Impact:Kubernetes/SuccessfulAnonymousAccess

Kubernetes クラスターのリソースを改ざんするために一般的に使用される API が、認証されていないユーザーによって呼び出されました。

デフォルトの重要度: [High] (高)

  • 機能: EKS 監査ログ

この検出結果は、API オペレーションが system:anonymous ユーザーによって正常に呼び出されたことを知らせるものです。system:anonymous によって実行された API コールは認証されていません。観測された API は、攻撃者がクラスターのリソースを改ざんしているときの攻撃の影響段階に一般的に関連しています。このアクティビティは、検出結果で報告された API アクションで匿名アクセスまたは非認証アクセスが許可され、他のアクションで許可される可能性があることを示します。この動作が想定されていない場合は、設定ミスがあるか、または認証情報が侵害されている可能性があります。

修復のレコメンデーション

クラスター上の system:anonymous ユーザーに付与されている許可を調べて、すべての許可が必要であることを確認する必要があります。誤って、または悪意を持って許可が付与された場合は、ユーザーのアクセスを取り消し、クラスターに対して攻撃者が加えた変更を元に戻す必要があります。詳細については、「Amazon EKS ユーザーガイド」の「Amazon EKS のセキュリティのベストプラクティス」を参照してください。

詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

Impact:Kubernetes/TorIPCaller

Kubernetes クラスターのリソースを改ざんするために一般的に使用される API が、Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • 機能: EKS 監査ログ

この検出結果は、API が Tor 出口ノードの IP アドレスから呼び出されたことを知らせるものです。観測された API は、インパクト戦術に一般的に関連していて、ここでは攻撃者が AWS 環境内部でデータを操作、割り込み、または破壊しようとしています。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者が真のアイデンティティを隠す意図を持った、Kubernetes クラスターへの未承認のアクセスを示している場合があります。

修復のレコメンデーション

KubernetesUserDetails セクションの検出結果で報告されたユーザーが である場合はsystem:anonymous、Amazon EKS ユーザーガイド「Amazon EKS のセキュリティのベストプラクティス」の指示に従って、匿名ユーザーが API の呼び出しを許可され、必要に応じてアクセス許可を取り消すことを許可された理由を調べます。ユーザーが認証されたユーザーである場合は、そのアクティビティが正当なものであるのか、または悪意のあるものであるのかを調査します。アクティビティが悪意のあるものである場合は、ユーザーのアクセスを取り消し、攻撃者がクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

Persistence:Kubernetes/ContainerWithSensitiveMount

機密性の高い外部ホストパスが内部でマウントされた状態でコンテナが起動されました。

デフォルトの重要度: [Medium] (中)

  • 機能: EKS 監査ログ

この検出結果は、volumeMounts セクションに書き込みアクセス権を持つ機密ホストパスを含む設定でコンテナが起動されたことを知らせるものです。これにより、機密性の高いホストパスがコンテナ内からアクセスおよび書き込み可能になります。この手法は、攻撃者がホストのファイルシステムにアクセスするために一般的に使用されます。

修復のレコメンデーション

このコンテナの起動が想定されていない場合、コンテナの起動に使用されたユーザーアイデンティティの認証情報が侵害される可能性があります。ユーザーのアクセスを取り消し、攻撃者がクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

このコンテナの起動が想定されている場合は、resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix フィールドに基づくフィルター基準で構成される抑制ルールを使用することをお勧めします。フィルター基準では、imagePrefix フィールドは検出結果で指定された imagePrefix と同じである必要があります。抑制ルールの作成の詳細については、「Suppression rules」(抑制ルール) を参照してください。

Persistence:Kubernetes/MaliciousIPCaller

Kubernetes クラスターへの永続アクセスを取得するために一般的に使用される API が、悪意のある既知の IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • 機能: EKS 監査ログ

この検出結果は、API オペレーションが悪意のある既知のアクティビティと関連した IP アドレスから呼び出されたことを知らせるものです。観察される API は、攻撃者がユーザーの Kubernetes クラスターへのアクセス権を取得し、そのアクセスを維持しようとする永続化戦術に一般的に関連しています。

修復のレコメンデーション

KubernetesUserDetails セクションの結果で報告されたユーザーが である場合はsystem:anonymous、Amazon EKS ユーザーガイド「Amazon EKS のセキュリティのベストプラクティス」の指示に従って、匿名ユーザーが API の呼び出しを許可され、必要に応じてアクセス許可を取り消した理由を調べます。ユーザーが認証されたユーザーである場合は、そのアクティビティが正当なものであるのか、または悪意のあるものであるのかを調査します。アクティビティが悪意のあるものである場合は、ユーザーのアクセスを取り消し、攻撃者がクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

Persistence:Kubernetes/MaliciousIPCaller.Custom

Kubernetes クラスターへの永続アクセスを取得するために一般的に使用される API が、カスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • 機能: EKS 監査ログ

この検出結果は、API オペレーションが、アップロード済みの脅威リストに含まれている IP アドレスから呼び出されたことを知らせるものです。この検出結果に関連する脅威リストは、検出結果の詳細の [Additional Information] (追加情報) セクションにリストされています。観察される API は、攻撃者がユーザーの Kubernetes クラスターへのアクセス権を取得し、そのアクセスを維持しようとする永続化戦術に一般的に関連しています。

修復のレコメンデーション

KubernetesUserDetails セクションの結果で報告されたユーザーが である場合はsystem:anonymous、Amazon EKS ユーザーガイド「Amazon EKS のセキュリティのベストプラクティス」の指示に従って、匿名ユーザーが API の呼び出しを許可され、必要に応じてアクセス許可を取り消した理由を調べます。ユーザーが認証されたユーザーである場合は、そのアクティビティが正当なものであるのか、または悪意のあるものであるのかを調査します。アクティビティが悪意のあるものである場合は、ユーザーのアクセスを取り消し、攻撃者がクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

Persistence:Kubernetes/SuccessfulAnonymousAccess

Kubernetes クラスターへの高レベルの許可を取得するために一般的に使用される API が、認証されていないユーザーによって呼び出されました。

デフォルトの重要度: [High] (高)

  • 機能: EKS 監査ログ

この検出結果は、API オペレーションが system:anonymous ユーザーによって正常に呼び出されたことを知らせるものです。system:anonymous によって実行された API コールは認証されていません。観察される API は、攻撃者がユーザーのクラスターへのアクセス権を取得し、そのアクセスを維持しようとする永続化戦術に一般的に関連しています。このアクティビティは、検出結果で報告された API アクションで匿名アクセスまたは非認証アクセスが許可され、他のアクションで許可される可能性があることを示します。この動作が想定されていない場合は、設定ミスがあるか、または認証情報が侵害されている可能性があります。

修復のレコメンデーション

クラスター上の system:anonymous ユーザーに付与されている許可を調べて、すべての許可が必要であることを確認する必要があります。誤って、または悪意を持って許可が付与された場合は、ユーザーのアクセスを取り消し、クラスターに対して攻撃者が加えた変更を元に戻す必要があります。詳細については、「Amazon EKS ユーザーガイド」の「Amazon EKS のセキュリティのベストプラクティス」を参照してください。

詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

Persistence:Kubernetes/TorIPCaller

Kubernetes クラスターへの永続アクセスを取得するために一般的に使用される API が、Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • 機能: EKS 監査ログ

この検出結果は、API が Tor 出口ノードの IP アドレスから呼び出されたことを知らせるものです。観察される API は、攻撃者がユーザーの Kubernetes クラスターへのアクセス権を取得し、そのアクセスを維持しようとする永続化戦術に一般的に関連しています。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者の真のアイデンティティを隠す目的で、 AWS リソースへの不正アクセスを示している可能性があります。

修復のレコメンデーション

KubernetesUserDetails セクションの結果で報告されたユーザーが である場合はsystem:anonymous、Amazon EKS ユーザーガイド「Amazon EKS のセキュリティのベストプラクティス」の指示に従って、匿名ユーザーが API の呼び出しを許可され、必要に応じてアクセス許可を取り消した理由を調べます。ユーザーが認証されたユーザーである場合は、そのアクティビティが正当なものであるのか、または悪意のあるものであるのかを調査します。アクティビティが悪意のあるものである場合は、ユーザーのアクセスを取り消し、攻撃者がクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

デフォルトのサービスアカウントには、Kubernetes クラスターに対する管理者権限が付与されています。

デフォルトの重要度: [High] (高)

  • 機能: EKS 監査ログ

この検出結果は、Kubernetes クラスター内の名前空間のデフォルトのサービスアカウントに管理者権限が付与されたことを知らせるものです。Kubernetes は、クラスター内のすべての名前空間のためにデフォルトのサービスアカウントを作成します。別のサービスアカウントに明示的に関連付けられていないポッドに、デフォルトのサービスアカウントをアイデンティティとして自動的に割り当てます。デフォルトのサービスアカウントに管理者権限がある場合、ポッドが誤って管理者権限で起動される可能性があります。この動作が想定されていない場合は、設定ミスがあるか、または認証情報が侵害されている可能性があります。

修復のレコメンデーション

ポッドに許可を付与するためにデフォルトのサービスアカウントを使用しないでください。代わりに、ワークロードごとに専用のサービスアカウントを作成し、必要に応じてそのアカウントに許可を付与する必要があります。この問題を解決するには、すべてのポッドとワークロードの専用サービスアカウントを作成し、ポッドとワークロードを更新して、デフォルトのサービスアカウントから専用アカウントに移行する必要があります。その後、デフォルトのサービスアカウントから管理者許可を削除する必要があります。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

Policy:Kubernetes/AnonymousAccessGranted

system:anonymous ユーザーには、Kubernetes クラスターに対する API 許可が付与されました。

デフォルトの重要度: [High] (高)

  • 機能: EKS 監査ログ

この検出結果は、Kubernetes クラスター上のユーザーが、ユーザー system:anonymous をロールにバインドするために ClusterRoleBinding または RoleBinding を正常に作成したことを知らせるものです。これにより、ロールで許可された API オペレーションへの認証されていないアクセスを有効にします。この動作が想定されていない場合は、設定ミスがあるか、または認証情報が侵害されている可能性があります

修復のレコメンデーション

クラスター上の system:anonymous ユーザーまたは system:unauthenticated グループに付与されている許可を調べて、不要な匿名アクセスを取り消す必要があります。詳細については、「Amazon EKS ユーザーガイド」の「Amazon EKS のセキュリティのベストプラクティス」を参照してください。悪意を持って許可が付与された場合は、その許可を付与したユーザーのアクセスを取り消し、クラスターに対して攻撃者が加えた変更を元に戻す必要があります。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

Policy:Kubernetes/ExposedDashboard

Kubernetes クラスターのダッシュボードがインターネットに公開されました

デフォルトの重要度: [Medium] (中)

  • 機能: EKS 監査ログ

この検出結果は、クラスターの Kubernetes ダッシュボードがロードバランサーサービスによってインターネットに公開されたことを知らせるものです。ダッシュボードが公開されると、クラスターの管理インターフェイスがインターネットからアクセス可能になり、攻撃者は認証およびアクセスコントロールの存在する可能性のあるギャップを悪用できます。

修復のレコメンデーション

Kubernetes ダッシュボードで強力な認証および認可が強制されているようにする必要があります。また、ネットワークアクセスコントロールを実装して、特定の IP アドレスからダッシュボードへのアクセスを制限する必要があります。

詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

Policy:Kubernetes/KubeflowDashboardExposed

Kubernetes クラスターの Kubeflow ダッシュボードがインターネットに公開されました

デフォルトの重要度: [Medium] (中)

  • 機能: EKS 監査ログ

この検出結果は、クラスターの Kubeflow ダッシュボードがロードバランサーサービスによってインターネットに公開されたことを知らせるものです。Kubeflow ダッシュボードが公開されると、Kubeflow 環境の管理インターフェイスがインターネットからアクセス可能になり、攻撃者は認証およびアクセスコントロールの存在する可能性のあるギャップを悪用できます。

修復のレコメンデーション

Kubeflow ダッシュボードで強力な認証および認可が強制されているようにする必要があります。また、ネットワークアクセスコントロールを実装して、特定の IP アドレスからダッシュボードへのアクセスを制限する必要があります。

詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

PrivilegeEscalation:Kubernetes/PrivilegedContainer

ルートレベルのアクセス権を持つ特権コンテナが Kubernetes クラスターで起動されました。

デフォルトの重要度: [Medium] (中)

  • 機能: EKS 監査ログ

この検出結果は、特権コンテナが、クラスター内の特権コンテナを起動するためにこれまで使用されたことのないイメージを使用して Kubernetes クラスターで起動されたことを知らせるものです。特権コンテナには、ホストへのルートレベルのアクセス権があります。攻撃者は、特権のエスカレーション戦術として特権コンテナを起動して、ホストにアクセスして侵害することができます。

修復のレコメンデーション

このコンテナの起動が想定されていない場合、コンテナの起動に使用されたユーザーアイデンティティの認証情報が侵害される可能性があります。ユーザーのアクセスを取り消し、攻撃者がクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed

一般的にシークレットへのアクセスに使用される Kubernetes API が、異常な方法で呼び出されました。

デフォルトの重要度: [Medium] (中)

  • 機能: EKS 監査ログ

この検出結果は、機密のクラスターシークレットを取得する異常な API オペレーションが、クラスター内の Kubernetes ユーザーによって呼び出されたことを知らせるものです。観察された API は一般的に、認証情報アクセス戦略と関連付けられ、特権エスカレーションやクラスター内でさらにアクセスされる可能性があります。この動作が予期されない場合は、設定ミスまたは AWS 認証情報が侵害されている可能性があります。

観察された API は、異常検出機械学習 (ML) GuardDuty モデルによって異常として識別されました。ML モデルは、EKS クラスター内のユーザー API アクティビティをすべて評価し、権限のないユーザーによって使用されたテクニックに関連する異常なイベントを特定します。ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、使用ユーザーエージェント、ユーザーが操作した名前空間など、API 操作の複数の要因を追跡します。異常な API リクエストの詳細は、 GuardDuty コンソールの検出結果の詳細パネルで確認できます。

修復のレコメンデーション

クラスターの Kubernetes ユーザーに付与された許可を調べて、すべての許可が必要であることを確認してください。誤って、または悪意を持って許可が付与された場合は、ユーザーのアクセスを取り消し、クラスターに対し認証されていないユーザーが加えたすべての変更を元に戻してください。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

AWS 認証情報が侵害されている場合は、「」を参照してください侵害された可能性のある AWS 認証情報の修正

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated

Kubernetes クラスターで過度に許可されたロールまたは機密性の高い名前空間 ClusterRoleBinding に対する RoleBinding または が作成または変更されました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、 または に RoleBinding または ClusterRoleBinding が含まれる ClusterRoles admin場合cluster-admin、重要度は High になります。

  • 機能: EKS 監査ログ

この検出結果は、Kubernetes クラスター内のユーザーが、RoleBinding または ClusterRoleBinding を作成して、管理者権限または機密性の高い名前空間を持つロールにユーザーをバインドしたことを知らせるものです。この動作が想定されていない場合は、設定ミスまたは AWS 認証情報が侵害されている可能性があります。

観察された API は、異常検出機械学習 (ML) GuardDuty モデルによって異常として識別されました。ML モデルは EKS クラスター内のすべてのユーザー API アクティビティを評価します。この ML モデルは、権限のないユーザーが使用したテクニックに関連する異常なイベントも特定します。また、ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、使用ユーザーエージェント、ユーザーが操作した名前空間など、API 操作の複数の要因を追跡します。異常な API リクエストの詳細は、 GuardDuty コンソールの検出結果の詳細パネルで確認できます。

修復のレコメンデーション

Kubernetes ユーザーに付与された権限を確認してください。これらの権限は、RoleBinding および ClusterRoleBinding に関係するロールとサブジェクトで定義されます。誤って、または悪意を持って許可が付与された場合は、ユーザーのアクセスを取り消し、クラスターに対し認証されていないユーザーが加えたすべての変更を元に戻してください。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

AWS 認証情報が侵害されている場合は、「」を参照してください侵害された可能性のある AWS 認証情報の修正

Execution:Kubernetes/AnomalousBehavior.ExecInPod

ポッド内で異常な方法によるコマンドが実行されました。

デフォルトの重要度: [Medium] (中)

  • 機能: EKS 監査ログ

この検出結果は、Kubernetes exec API を使用してポッド内でコマンドが実行されたことを知らせるものです。Kubernetes exec API を使用すると、ポッド内で任意のコマンドを実行できます。この動作がユーザー、名前空間、またはポッドで想定されていない場合は、設定ミスまたは AWS 認証情報が侵害されている可能性があります。

観察された API は、異常検出機械学習 (ML) GuardDuty モデルによって異常として識別されました。ML モデルは EKS クラスター内のすべてのユーザー API アクティビティを評価します。この ML モデルは、権限のないユーザーが使用したテクニックに関連する異常なイベントも特定します。また、ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、使用ユーザーエージェント、ユーザーが操作した名前空間など、API 操作の複数の要因を追跡します。異常な API リクエストの詳細は、 GuardDuty コンソールの検出結果の詳細パネルで確認できます。

修復のレコメンデーション

このコマンドの実行が想定されていない場合は、コマンドの実行に使用されたユーザーアイデンティティの認証情報が侵害されている可能性があります。ユーザーのアクセスを取り消し、認証されていないユーザーがクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

AWS 認証情報が侵害されている場合は、「」を参照してください侵害された可能性のある AWS 認証情報の修正

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

ワークロードが特権コンテナを使用して異常な方法で起動されました。

デフォルトの重要度: [High] (高)

  • 機能: EKS 監査ログ

この検出結果は、ワークロードが Amazon EKS クラスター内の特権コンテナを使用して起動されたこと知らせるものです。特権コンテナには、ホストへのルートレベルのアクセス権があります。認証されていないユーザーは、特権のエスカレーション戦術として特権コンテナを起動して、ホストに最初にアクセスして侵害することができます。

観察されたコンテナの作成または変更は、異常検出機械学習 (ML) モデルによって GuardDuty 異常として識別されました。ML モデルは EKS クラスター内のすべてのユーザー API およびコンテナイメージアクティビティを評価します。この ML モデルは、権限のないユーザーが使用したテクニックに関連する異常なイベントも特定します。また、ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、使用ユーザーエージェント、アカウントで観察されたコンテナイメージ、ユーザーが操作した名前空間など、API 操作の複数の要因を追跡します。異常な API リクエストの詳細は、 GuardDuty コンソールの検出結果の詳細パネルで確認できます。

修復のレコメンデーション

このコンテナの起動が想定されていない場合、コンテナの起動に使用されたユーザーアイデンティティの認証情報が侵害されている可能性があります。ユーザーのアクセスを取り消し、認証されていないユーザーがクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

AWS 認証情報が侵害されている場合は、「」を参照してください侵害された可能性のある AWS 認証情報の修正

このコンテナの起動が想定されている場合は、resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix フィールドに基づくフィルター基準を使用した抑制ルールを使用することをお勧めします。フィルター基準では、imagePrefix フィールドの値が検出結果で指定した imagePrefix フィールドの値と同じである必要があります。詳細については、「抑制ルール」を参照してください。

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

ワークロードが異常な方法でデプロイされ、機密性の高いホストパスがワークロード内でマウントされました。

デフォルトの重要度: [High] (高)

  • 機能: EKS 監査ログ

この検出結果により、volumeMounts セクションに機密ホストパスを含むコンテナを使用してワークロードが起動されたことが分かります。これにより、機密性の高いホストパスがコンテナ内からアクセスおよび書き込み可能となる場合があります。この手法は、認証されていないユーザーがホストのファイルシステムにアクセスするために一般的に使用されます。

観察されたコンテナの作成または変更は、異常検出機械学習 (ML) モデルによって GuardDuty 異常として識別されました。ML モデルは EKS クラスター内のすべてのユーザー API およびコンテナイメージアクティビティを評価します。この ML モデルは、権限のないユーザーが使用したテクニックに関連する異常なイベントも特定します。また、ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、使用ユーザーエージェント、アカウントで観察されたコンテナイメージ、ユーザーが操作した名前空間など、API 操作の複数の要因を追跡します。異常な API リクエストの詳細は、 GuardDuty コンソールの検出結果の詳細パネルで確認できます。

修復のレコメンデーション

このコンテナの起動が想定されていない場合、コンテナの起動に使用されたユーザーアイデンティティの認証情報が侵害されている可能性があります。ユーザーのアクセスを取り消し、認証されていないユーザーがクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

AWS 認証情報が侵害されている場合は、「」を参照してください侵害された可能性のある AWS 認証情報の修正

このコンテナの起動が想定されている場合は、resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix フィールドに基づくフィルター基準を使用した抑制ルールを使用することをお勧めします。フィルター基準では、imagePrefix フィールドの値が検出結果で指定した imagePrefix フィールドの値と同じである必要があります。詳細については、「抑制ルール」を参照してください。

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

ワークロードが異常な方法で起動されました。

デフォルトの重要度: [Low] (低)*

注記

デフォルトの重大度は [Low] (低) です。ただし、ワークロードに疑わしいイメージ名 (既知のペンテストツールなど)や、起動時に疑わしいコマンドを実行しているコンテナ (リバースシェルコマンドなど) が含まれている場合、この検出結果タイプの重要度は [Midium] (中) と見なされます。

  • 機能: EKS 監査ログ

この検出結果は、Kubernetes ワークロードが Amazon EKS クラスター内で、API アクティビティ、新しいコンテナイメージ、危険なワークロード設定などの異常な方法で作成または変更されたこと知らせるものです。承認されていないユーザーは、任意のコードを実行する手法としてコンテナを起動し、最初にホストにアクセスして、侵害する可能性があります。

観察されたコンテナの作成または変更は、異常検出機械学習 (ML) モデルによって GuardDuty 異常として識別されました。ML モデルは EKS クラスター内のすべてのユーザー API およびコンテナイメージアクティビティを評価します。この ML モデルは、権限のないユーザーが使用したテクニックに関連する異常なイベントも特定します。また、ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、使用ユーザーエージェント、アカウントで観察されたコンテナイメージ、ユーザーが操作した名前空間など、API 操作の複数の要因を追跡します。異常な API リクエストの詳細は、 GuardDuty コンソールの検出結果の詳細パネルで確認できます。

修復のレコメンデーション

このコンテナの起動が想定されていない場合、コンテナの起動に使用されたユーザーアイデンティティの認証情報が侵害されている可能性があります。ユーザーのアクセスを取り消し、認証されていないユーザーがクラスターに加えた変更を元に戻します。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

AWS 認証情報が侵害されている場合は、「」を参照してください侵害された可能性のある AWS 認証情報の修正

このコンテナの起動が想定されている場合は、resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix フィールドに基づくフィルター基準を使用した抑制ルールを使用することをお勧めします。フィルター基準では、imagePrefix フィールドの値が検出結果で指定した imagePrefix フィールドの値と同じである必要があります。詳細については、「抑制ルール」を参照してください。

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

許可の高いロール または が異常な方法で作成または変更 ClusterRole されました。

デフォルトの重要度: [Low] (低)

  • 機能: EKS 監査ログ

この検出結果は、過剰な権限を使用した Role または ClusterRole を作成する異常な API オペレーションが、Amazon EKS クラスター内の Kubernetes ユーザーによって呼び出されたこと知らせるものです。アクターは、強力な権限を持つロール作成を利用することで、組み込み型の管理者に似せたロールの使用を避け、検出を回避する可能性があります。過剰な権限により、権限エスカレーションやリモートコードが実行され、名前空間やクラスターが制御される可能性があります。この動作が想定されていない場合は、設定ミスがあるか、または認証情報が侵害されている可能性があります。

観察された API は、異常検出機械学習 (ML) GuardDuty モデルによって異常として識別されました。ML モデルは、Amazon EKS クラスター内のユーザー API アクティビティをすべて評価し、権限のないユーザーによって使用された手法に関連する異常なイベントを特定します。また、ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、使用ユーザーエージェント、アカウントで観察されたコンテナイメージ、ユーザーが操作した名前空間など、API 操作の複数の要因を追跡します。異常な API リクエストの詳細は、 GuardDuty コンソールの検出結果の詳細パネルで確認できます。

修復のレコメンデーション

Role または ClusterRole で定義されている権限を調べ、すべての権限が必要であることを確認し、最小特権の原則に従ってください。誤って、または悪意を持って許可が付与された場合は、ユーザーのアクセスを取り消し、クラスターに対し認証されていないユーザーが加えたすべての変更を元に戻してください。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

AWS 認証情報が侵害されている場合は、「」を参照してください侵害された可能性のある AWS 認証情報の修正

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

ユーザーが異常な方法でアクセス許可を確認しました。

デフォルトの重要度: [Low] (低)

  • 機能: EKS 監査ログ

この検出結果は、Kubernetes クラスター内のユーザーが、特権エスカレーションやリモートコード実行につながる可能性がある既知の強力な権限が許可されているかどうかの確認に成功したこと知らせるものです。例えば、ユーザーの権限を確認するのに使用される一般的なコマンドは、kubectl auth can-i です。この動作が想定されていない場合は、設定ミスがあるか、または認証情報が侵害されている可能性があります。

観察された API は、異常検出機械学習 (ML) GuardDuty モデルによって異常として識別されました。ML モデルは、Amazon EKS クラスター内のユーザー API アクティビティをすべて評価し、権限のないユーザーによって使用された手法に関連する異常なイベントを特定します。また、ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、確認された許可、ユーザーが操作した名前空間など、API 操作の複数の要因を追跡します。異常な API リクエストの詳細は、 GuardDuty コンソールの検出結果の詳細パネルで確認できます。

修復のレコメンデーション

Kubernetes ユーザーに付与された権限を調べて、すべての権限が必要であることを確認してください。誤って、または悪意を持って許可が付与された場合は、ユーザーのアクセスを取り消し、クラスターに対し認証されていないユーザーが加えたすべての変更を元に戻してください。詳細については、「EKS 監査ログのモニタリング検出結果の修正」を参照してください。

AWS 認証情報が侵害されている場合は、「」を参照してください侵害された可能性のある AWS 認証情報の修正