Tipos de localização de registros de auditoria do EKS - Amazon GuardDuty
CredentialAccess:Kubernetes/MaliciousIPCallerCredentialAccess:Kubernetes/MaliciousIPCaller.CustomCredentialAccess:Kubernetes/SuccessfulAnonymousAccessCredentialAccess:Kubernetes/TorIPCallerDefenseEvasion:Kubernetes/MaliciousIPCallerDefenseEvasion:Kubernetes/MaliciousIPCaller.CustomDefenseEvasion:Kubernetes/SuccessfulAnonymousAccessDefenseEvasion:Kubernetes/TorIPCallerDiscovery:Kubernetes/MaliciousIPCallerDiscovery:Kubernetes/MaliciousIPCaller.CustomDiscovery:Kubernetes/SuccessfulAnonymousAccessDiscovery:Kubernetes/TorIPCallerExecution:Kubernetes/ExecInKubeSystemPodImpact:Kubernetes/MaliciousIPCallerImpact:Kubernetes/MaliciousIPCaller.CustomImpact:Kubernetes/SuccessfulAnonymousAccessImpact:Kubernetes/TorIPCallerPersistence:Kubernetes/ContainerWithSensitiveMountPersistence:Kubernetes/MaliciousIPCallerPersistence:Kubernetes/MaliciousIPCaller.CustomPersistence:Kubernetes/SuccessfulAnonymousAccessPersistence:Kubernetes/TorIPCallerPolicy:Kubernetes/AdminAccessToDefaultServiceAccountPolicy:Kubernetes/AnonymousAccessGrantedPolicy:Kubernetes/ExposedDashboardPolicy:Kubernetes/KubeflowDashboardExposedPrivilegeEscalation:Kubernetes/PrivilegedContainerCredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreatedExecution:Kubernetes/AnomalousBehavior.ExecInPodPrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainerPersistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMountExecution:Kubernetes/AnomalousBehavior.WorkloadDeployedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreatedDiscovery:Kubernetes/AnomalousBehavior.PermissionChecked

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tipos de localização de registros de auditoria do EKS

As descobertas a seguir são específicas para os recursos do Kubernetes e terão um resource_type de EKSCluster. A gravidade e os detalhes das descobertas serão diferentes com base no tipo de descoberta.

Para todas as descobertas do tipo Kubernetes, recomendamos que você examine o recurso em questão para determinar se a atividade é esperada ou potencialmente mal-intencionada. Para obter orientação sobre como remediar um recurso comprometido do Kubernetes identificado por uma descoberta, consulte. GuardDuty Como corrigir os resultados do Monitoramento de logs de auditoria do EKS

nota

Se a atividade pela qual essas descobertas são geradas for esperada, considere adicionar Regras de supressão para evitar futuros alertas.

Tópicos
nota

Antes da versão 1.14 do Kubernetes, o system:unauthenticated grupo era associado e por padrão. system:discovery system:basic-user ClusterRoles Essa associação pode permitir o acesso não intencional de usuários anônimos. As atualizações do cluster não revogam essas permissões. Mesmo que você tenha atualizado seu cluster para a versão 1.14 ou superior, essas permissões ainda poderão estar habilitadas. Recomendamos que você desassocie essas permissões do grupo system:unauthenticated. Para obter orientação sobre a revogação dessas permissões, consulte as melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS.

CredentialAccess:Kubernetes/MaliciousIPCaller

Uma API comumente usada para acessar credenciais ou segredos em um cluster do Kubernetes foi invocada a partir de um endereço IP mal-intencionado conhecido.

Gravidade padrão: alta

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação de API foi invocada a partir de um endereço IP associado a atividades mal-intencionadas conhecidas. Comumente, a API observada é associada às táticas de acesso a credenciais em que um adversário está tentando coletar senhas, nomes de usuário e chaves de acesso para seu cluster do Kubernetes.

Recomendações de correção:

Se o usuário relatado na descoberta abaixo da KubernetesUserDetails seção ésystem:anonymous, investigue por que o usuário anônimo teve permissão para invocar a API e revogar as permissões, se necessário, seguindo as instruções nas melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS. Se o usuário for um usuário autenticado, investigue para determinar se a atividade foi legítima ou mal-intencionada. Se a atividade for mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um adversário no seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

Uma API comumente usada para acessar credenciais ou segredos em um cluster do Kubernetes foi invocada a partir de um endereço IP em uma lista de ameaças personalizada.

Gravidade padrão: alta

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação de API foi invocada a partir de um endereço IP incluído em uma lista de ameaças que você carregou. A lista de ameaças associada a essa descoberta está listada na seção Informações adicionais dos detalhes de uma descoberta. Comumente, a API observada é associada às táticas de acesso a credenciais em que um adversário está tentando coletar senhas, nomes de usuário e chaves de acesso para seu cluster do Kubernetes.

Recomendações de correção:

Se o usuário relatado na descoberta abaixo da KubernetesUserDetails seção ésystem:anonymous, investigue por que o usuário anônimo teve permissão para invocar a API e revogar as permissões, se necessário, seguindo as instruções nas melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS. Se o usuário for um usuário autenticado, investigue para determinar se a atividade foi legítima ou mal-intencionada. Se a atividade for mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um adversário no seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

Uma API comumente usada para acessar credenciais ou segredos em um cluster do Kubernetes foi invocada por um usuário não autenticado.

Gravidade padrão: alta

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação de API foi invocada com sucesso pelo usuário system:anonymous. As chamadas de API feitas por system:anonymous não são autenticadas. Comumente, a API observada é associada às táticas de acesso a credenciais em que um adversário está tentando coletar senhas, nomes de usuário e chaves de acesso para seu cluster do Kubernetes. Essa atividade indica que o acesso anônimo ou não autenticado é permitido na ação da API relatada na descoberta e pode ser permitido em outras ações. Se esse comportamento não for esperado, isso pode indicar um erro de configuração ou que suas credenciais estão comprometidas.

Recomendações de correção:

Você deve examinar as permissões que foram concedidas ao usuário system:anonymous em seu cluster e garantir que todas as permissões sejam necessárias. Se as permissões foram concedidas por engano ou de maneira mal-intencionada, você deve revogar o acesso do usuário e reverter as alterações feitas por um adversário no seu cluster. Para obter mais informações, consulte Melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS.

Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

CredentialAccess:Kubernetes/TorIPCaller

Uma API comumente usada para acessar credenciais ou segredos em um cluster do Kubernetes foi invocada a partir de um endereço IP do nó de saída do Tor.

Gravidade padrão: alta

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação da API foi invocada a partir de um endereço IP do nó de saída do Tor. Comumente, a API observada é associada às táticas de acesso a credenciais em que um adversário está tentando coletar senhas, nomes de usuário e chaves de acesso para seu cluster do Kubernetes. Tor é um software para permitir a comunicação anônima. Ele criptografa e aleatoriamente envia comunicações por meio de relés entre uma série de nós de rede. O último nó do Tor é chamado de nó de saída. Isso pode indicar acesso não autorizado aos recursos do cluster do Kubernetes com a intenção de ocultar a verdadeira identidade do invasor.

Recomendações de correção:

Se o usuário relatado na descoberta abaixo da KubernetesUserDetails seção ésystem:anonymous, investigue por que o usuário anônimo teve permissão para invocar a API e revogar as permissões, se necessário, seguindo as instruções nas melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS. Se o usuário for um usuário autenticado, investigue para determinar se a atividade foi legítima ou mal-intencionada. Se a atividade for mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um adversário no seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

DefenseEvasion:Kubernetes/MaliciousIPCaller

Uma API comumente usada para evitar medidas defensivas foi invocada a partir de um endereço IP mal-intencionado conhecido.

Gravidade padrão: alta

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação de API foi invocada a partir de um endereço IP associado a atividades mal-intencionadas conhecidas. Comumente, a API observada é associada a táticas de evasão de defesa, nas quais um adversário está tentando esconder suas ações para evitar a detecção.

Recomendações de correção:

Se o usuário relatado na descoberta abaixo da KubernetesUserDetails seção ésystem:anonymous, investigue por que o usuário anônimo teve permissão para invocar a API e revogar as permissões, se necessário, seguindo as instruções nas melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS. Se o usuário for um usuário autenticado, investigue para determinar se a atividade foi legítima ou mal-intencionada. Se a atividade for mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um adversário no seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

Uma API foi invocada a partir de um endereço IP em uma lista de ameaças personalizada.

Gravidade padrão: alta

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação de API foi invocada a partir de um endereço IP incluído em uma lista de ameaças que você carregou. A lista de ameaças associada a essa descoberta está listada na seção Informações adicionais dos detalhes de uma descoberta. Comumente, a API observada é associada a táticas de evasão de defesa, nas quais um adversário está tentando esconder suas ações para evitar a detecção.

Recomendações de correção:

Se o usuário relatado na descoberta abaixo da KubernetesUserDetails seção ésystem:anonymous, investigue por que o usuário anônimo teve permissão para invocar a API e revogar as permissões, se necessário, seguindo as instruções nas melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS. Se o usuário for um usuário autenticado, investigue para determinar se a atividade foi legítima ou mal-intencionada. Se a atividade for mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um adversário no seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

Uma API comumente usada para evitar medidas defensivas foi invocada por um usuário não autenticado.

Gravidade padrão: alta

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação de API foi invocada com sucesso pelo usuário system:anonymous. As chamadas de API feitas por system:anonymous não são autenticadas. Comumente, a API observada é associada a táticas de evasão de defesa, nas quais um adversário está tentando esconder suas ações para evitar a detecção. Essa atividade indica que o acesso anônimo ou não autenticado é permitido na ação da API relatada na descoberta e pode ser permitido em outras ações. Se esse comportamento não for esperado, isso pode indicar um erro de configuração ou que suas credenciais estão comprometidas.

Recomendações de correção:

Você deve examinar as permissões que foram concedidas ao usuário system:anonymous em seu cluster e garantir que todas as permissões sejam necessárias. Se as permissões foram concedidas por engano ou de maneira mal-intencionada, você deve revogar o acesso do usuário e reverter as alterações feitas por um adversário no seu cluster. Para obter mais informações, consulte Melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS.

Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

DefenseEvasion:Kubernetes/TorIPCaller

Uma API comumente usada para evitar medidas defensivas foi invocada a partir de um endereço IP do nó de saída do Tor.

Gravidade padrão: alta

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação da API foi invocada a partir de um endereço IP do nó de saída do Tor. Comumente, a API observada é associada a táticas de evasão de defesa, nas quais um adversário está tentando esconder suas ações para evitar a detecção. Tor é um software para permitir a comunicação anônima. Ele criptografa e aleatoriamente envia comunicações por meio de relés entre uma série de nós de rede. O último nó do Tor é chamado de nó de saída. Isso pode indicar um acesso não autorizado aos seu cluster do Kubernetes com a intenção de ocultar a verdadeira identidade do invasor.

Recomendações de correção:

Se o usuário relatado na descoberta abaixo da KubernetesUserDetails seção ésystem:anonymous, investigue por que o usuário anônimo teve permissão para invocar a API e revogar as permissões, se necessário, seguindo as instruções nas melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS. Se o usuário for um usuário autenticado, investigue para determinar se a atividade foi legítima ou mal-intencionada. Se a atividade for mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um adversário no seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Discovery:Kubernetes/MaliciousIPCaller

Uma API comumente usada para descobrir recursos em um cluster do Kubernetes foi invocada a partir de um endereço IP.

Gravidade padrão: média

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação de API foi invocada a partir de um endereço IP associado a atividades mal-intencionadas conhecidas. Comumente, a API observada é usada no estágio de descoberta de um ataque, no qual um invasor coleta informações para determinar se seu cluster do Kubernetes é suscetível a um ataque mais amplo.

Recomendações de correção:

Se o usuário relatado na descoberta abaixo da KubernetesUserDetails seção ésystem:anonymous, investigue por que o usuário anônimo teve permissão para invocar a API e revogar as permissões, se necessário, seguindo as instruções nas melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS. Se o usuário for um usuário autenticado, investigue para determinar se a atividade foi legítima ou mal-intencionada. Se a atividade for mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um adversário no seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Discovery:Kubernetes/MaliciousIPCaller.Custom

Uma API comumente usada para descobrir recursos em um cluster do Kubernetes foi invocada a partir de um endereço IP em uma lista de ameaças personalizada.

Gravidade padrão: média

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação da API foi invocada de um endereço IP incluído em uma lista de ameaças que você enviou. A lista de ameaças associada a essa descoberta está listada na seção Informações adicionais dos detalhes de uma descoberta. Comumente, a API observada é usada no estágio de descoberta de um ataque, no qual um invasor coleta informações para determinar se seu cluster do Kubernetes é suscetível a um ataque mais amplo.

Recomendações de correção:

Se o usuário relatado na descoberta abaixo da KubernetesUserDetails seção ésystem:anonymous, investigue por que o usuário anônimo teve permissão para invocar a API e revogar as permissões, se necessário, seguindo as instruções nas melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS. Se o usuário for um usuário autenticado, investigue para determinar se a atividade foi legítima ou mal-intencionada. Se a atividade for mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um adversário no seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Discovery:Kubernetes/SuccessfulAnonymousAccess

Uma API comumente usada para descobrir recursos em um cluster do Kubernetes foi invocada por um usuário não autenticado.

Gravidade padrão: média

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação de API foi invocada com sucesso pelo usuário system:anonymous. As chamadas de API feitas por system:anonymous não são autenticadas. Comumente, a API observada é associada ao estágio de descoberta de um ataque quando um adversário está coletando informações em seu cluster do Kubernetes. Essa atividade indica que o acesso anônimo ou não autenticado é permitido na ação da API relatada na descoberta e pode ser permitido em outras ações. Se esse comportamento não for esperado, isso pode indicar um erro de configuração ou que suas credenciais estão comprometidas.

Recomendações de correção:

Você deve examinar as permissões que foram concedidas ao usuário system:anonymous em seu cluster e garantir que todas as permissões sejam necessárias. Se as permissões foram concedidas por engano ou de maneira mal-intencionada, você deve revogar o acesso do usuário e reverter as alterações feitas por um adversário no seu cluster. Para obter mais informações, consulte Melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS.

Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Discovery:Kubernetes/TorIPCaller

Uma API comumente usada para descobrir recursos em um cluster do Kubernetes foi invocada a partir de um endereço IP do nó de saída do Tor.

Gravidade padrão: média

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação da API foi invocada a partir de um endereço IP do nó de saída do Tor. Comumente, a API observada é usada no estágio de descoberta de um ataque, no qual um invasor coleta informações para determinar se seu cluster do Kubernetes é suscetível a um ataque mais amplo. Tor é um software para permitir a comunicação anônima. Ele criptografa e aleatoriamente envia comunicações por meio de relés entre uma série de nós de rede. O último nó do Tor é chamado de nó de saída. Isso pode indicar um acesso não autorizado aos seu cluster do Kubernetes com a intenção de ocultar a verdadeira identidade do invasor.

Recomendações de correção:

Se o usuário relatado na descoberta na KubernetesUserDetails seção ésystem:anonymous, investigue por que o usuário anônimo teve permissão para invocar a API e revogar as permissões, se necessário, seguindo as instruções nas melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS. Se o usuário for um usuário autenticado, investigue para determinar se a atividade foi legítima ou mal-intencionada. Se a atividade for mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um adversário no seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Execution:Kubernetes/ExecInKubeSystemPod

Um comando foi executado dentro de um pod no namespace kube-system

Gravidade padrão: média

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que um comando foi executado em um pod dentro do namespace kube-system usando a API Kubernetes exec. O namespace kube-system é padrão, usado principalmente para componentes de nível de sistema, como kube-dns e kube-proxy. É muito incomum executar comandos dentro de pods ou contêineres no namespace kube-system e pode indicar atividade suspeita.

Recomendações de correção:

Se a execução desse comando for inesperada, as credenciais da identidade do usuário usadas para executar o comando poderão ser comprometidas. Revogue o acesso do usuário e reverta todas as alterações feitas por um adversário em seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Impact:Kubernetes/MaliciousIPCaller

Uma API comumente usada para adulterar recursos em um cluster do Kubernetes foi invocada a partir de um endereço IP mal-intencionado conhecido.

Gravidade padrão: alta

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação de API foi invocada a partir de um endereço IP associado a atividades mal-intencionadas conhecidas. A API observada é comumente associada a táticas de impacto em que um adversário está tentando manipular, interromper ou destruir dados em seu ambiente. AWS

Recomendações de correção:

Se o usuário relatado na descoberta abaixo da KubernetesUserDetails seção ésystem:anonymous, investigue por que o usuário anônimo teve permissão para invocar a API e revogar as permissões, se necessário, seguindo as instruções nas melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS. Se o usuário for um usuário autenticado, investigue para determinar se a atividade foi legítima ou mal-intencionada. Se a atividade for mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um adversário no seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Impact:Kubernetes/MaliciousIPCaller.Custom

Uma API comumente usada para adulterar recursos em um cluster do Kubernetes foi invocada a partir de um endereço IP em uma lista de ameaças personalizada.

Gravidade padrão: alta

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação de API foi invocada a partir de um endereço IP incluído em uma lista de ameaças que você carregou. A lista de ameaças associada a essa descoberta está listada na seção Informações adicionais dos detalhes de uma descoberta. A API observada é comumente associada a táticas de impacto em que um adversário está tentando manipular, interromper ou destruir dados em seu ambiente. AWS

Recomendações de correção:

Se o usuário relatado na descoberta abaixo da KubernetesUserDetails seção ésystem:anonymous, investigue por que o usuário anônimo teve permissão para invocar a API e revogar as permissões, se necessário, seguindo as instruções nas melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS. Se o usuário for um usuário autenticado, investigue para determinar se a atividade foi legítima ou mal-intencionada. Se a atividade for mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um adversário no seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Impact:Kubernetes/SuccessfulAnonymousAccess

Uma API comumente usada para adulterar recursos em um cluster do Kubernetes foi invocada por um usuário não autenticado.

Gravidade padrão: alta

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação de API foi invocada com sucesso pelo usuário system:anonymous. As chamadas de API feitas por system:anonymous não são autenticadas. Comumente, a API observada é associada ao estágio de impacto de um ataque quando um adversário está adulterando recursos em seu cluster. Essa atividade indica que o acesso anônimo ou não autenticado é permitido na ação da API relatada na descoberta e pode ser permitido em outras ações. Se esse comportamento não for esperado, isso pode indicar um erro de configuração ou que suas credenciais estão comprometidas.

Recomendações de correção:

Você deve examinar as permissões que foram concedidas ao usuário system:anonymous em seu cluster e garantir que todas as permissões sejam necessárias. Se as permissões foram concedidas por engano ou de maneira mal-intencionada, você deve revogar o acesso do usuário e reverter as alterações feitas por um adversário no seu cluster. Para obter mais informações, consulte Melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS.

Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Impact:Kubernetes/TorIPCaller

Uma API comumente usada para adulterar recursos em um cluster do Kubernetes foi invocada a partir de um endereço IP do nó de saída do Tor.

Gravidade padrão: alta

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação da API foi invocada a partir de um endereço IP do nó de saída do Tor. Comumente, a API observada é associada a táticas de impacto em que um adversário está tentando manipular, interromper ou destruir dados em seu ambiente da AWS . Tor é um software para permitir a comunicação anônima. Ele criptografa e aleatoriamente envia comunicações por meio de relés entre uma série de nós de rede. O último nó do Tor é chamado de nó de saída. Isso pode indicar um acesso não autorizado aos seu cluster do Kubernetes com a intenção de ocultar a verdadeira identidade do invasor.

Recomendações de correção:

Se o usuário relatado na descoberta abaixo da KubernetesUserDetails seção ésystem:anonymous, investigue por que o usuário anônimo teve permissão para invocar a API e revogar as permissões, se necessário, seguindo as instruções nas melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS. Se o usuário for um usuário autenticado, investigue para determinar se a atividade foi legítima ou mal-intencionada. Se a atividade for mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um adversário no seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Persistence:Kubernetes/ContainerWithSensitiveMount

Um contêiner foi lançado com um caminho de host externo sensível montado em seu interior.

Gravidade padrão: média

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que um contêiner foi lançado com uma configuração que incluía um caminho de host confidencial com acesso de gravação na seção volumeMounts. Isso torna o caminho confidencial do host acessível e gravável de dentro do contêiner. Essa técnica é comumente usada por adversários para obter acesso ao sistema de arquivos do host.

Recomendações de correção:

Se o lançamento desse contêiner for inesperado, as credenciais da identidade do usuário usadas para iniciar o contêiner poderão ser comprometidas. Revogue o acesso do usuário e reverta todas as alterações feitas por um adversário em seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Se o lançamento desse contêiner for esperado, é recomendável usar uma regra de supressão que consiste em um critério de filtro com base no campo resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. Nos critérios de filtro, o campo imagePrefix deve ser o mesmo que o imagePrefix especificado na descoberta. Para saber mais sobre a criação de regras de supressão, consulte Regras de supressão.

Persistence:Kubernetes/MaliciousIPCaller

Uma API comumente usada para obter acesso persistente a um cluster do Kubernetes foi invocada a partir de um endereço IP mal-intencionado conhecido.

Gravidade padrão: média

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação de API foi invocada a partir de um endereço IP associado a atividades mal-intencionadas conhecidas. Comumente, a API observada é associada a táticas de persistência em que um adversário obteve acesso ao seu cluster do Kubernetes e está tentando manter esse acesso.

Recomendações de correção:

Se o usuário relatado na descoberta abaixo da KubernetesUserDetails seção ésystem:anonymous, investigue por que o usuário anônimo teve permissão para invocar a API e revogar as permissões, se necessário, seguindo as instruções nas melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS. Se o usuário for um usuário autenticado, investigue para determinar se a atividade foi legítima ou mal-intencionada. Se a atividade for mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um adversário no seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Persistence:Kubernetes/MaliciousIPCaller.Custom

Uma API comumente usada para obter acesso persistente a um cluster do Kubernetes foi invocada a partir de um endereço IP em uma lista de ameaças personalizada.

Gravidade padrão: média

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação de API foi invocada a partir de um endereço IP incluído em uma lista de ameaças que você carregou. A lista de ameaças associada a essa descoberta está listada na seção Informações adicionais dos detalhes de uma descoberta. Comumente, a API observada é associada a táticas de persistência em que um adversário obteve acesso ao seu cluster do Kubernetes e está tentando manter esse acesso.

Recomendações de correção:

Se o usuário relatado na descoberta abaixo da KubernetesUserDetails seção ésystem:anonymous, investigue por que o usuário anônimo teve permissão para invocar a API e revogar as permissões, se necessário, seguindo as instruções nas melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS. Se o usuário for um usuário autenticado, investigue para determinar se a atividade foi legítima ou mal-intencionada. Se a atividade for mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um adversário no seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Persistence:Kubernetes/SuccessfulAnonymousAccess

Uma API comumente usada para obter permissões de alto nível para um cluster do Kubernetes foi invocada por um usuário não autenticado.

Gravidade padrão: alta

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação de API foi invocada com sucesso pelo usuário system:anonymous. As chamadas de API feitas por system:anonymous não são autenticadas. Comumente, a API observada é associada às táticas de persistência em que um adversário obteve acesso ao seu cluster e está tentando manter esse acesso. Essa atividade indica que o acesso anônimo ou não autenticado é permitido na ação da API relatada na descoberta e pode ser permitido em outras ações. Se esse comportamento não for esperado, isso pode indicar um erro de configuração ou que suas credenciais estão comprometidas.

Recomendações de correção:

Você deve examinar as permissões que foram concedidas ao usuário system:anonymous em seu cluster e garantir que todas as permissões sejam necessárias. Se as permissões foram concedidas por engano ou de maneira mal-intencionada, você deve revogar o acesso do usuário e reverter as alterações feitas por um adversário no seu cluster. Para obter mais informações, consulte Melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS.

Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Persistence:Kubernetes/TorIPCaller

Uma API comumente usada para obter acesso persistente a um cluster do Kubernetes foi invocada a partir de um endereço IP do nó de saída do Tor.

Gravidade padrão: média

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação da API foi invocada a partir de um endereço IP do nó de saída do Tor. Comumente, a API observada é associada a táticas de persistência em que um adversário obteve acesso ao seu cluster do Kubernetes e está tentando manter esse acesso. Tor é um software para permitir a comunicação anônima. Ele criptografa e aleatoriamente envia comunicações por meio de relés entre uma série de nós de rede. O último nó do Tor é chamado de nó de saída. Isso pode indicar acesso não autorizado aos seus AWS recursos com a intenção de ocultar a verdadeira identidade do atacante.

Recomendações de correção:

Se o usuário relatado na descoberta abaixo da KubernetesUserDetails seção ésystem:anonymous, investigue por que o usuário anônimo teve permissão para invocar a API e revogar as permissões, se necessário, seguindo as instruções nas melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS. Se o usuário for um usuário autenticado, investigue para determinar se a atividade foi legítima ou mal-intencionada. Se a atividade for mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um adversário no seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

A conta de serviço padrão recebeu privilégios de administrador em um cluster do Kubernetes.

Gravidade padrão: alta

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que a conta de serviço padrão de um namespace em seu cluster do Kubernetes recebeu privilégios de administrador. O Kubernetes cria uma conta de serviço padrão para todos os namespaces no cluster. Ele atribui automaticamente a conta de serviço padrão como uma identidade aos pods que não foram explicitamente associados a outra conta de serviço. Se a conta de serviço padrão tiver privilégios de administrador, isso poderá resultar no lançamento involuntário de pods com privilégios de administrador. Se esse comportamento não for esperado, isso pode indicar um erro de configuração ou que suas credenciais estão comprometidas.

Recomendações de correção:

Não use a conta de serviço padrão para conceder permissões aos pods. Em vez disso, você deve criar uma conta de serviço dedicada para cada workload e conceder permissão a essa conta de acordo com as necessidades. Para corrigir esse problema, você deve criar contas de serviço dedicadas para todos os seus pods e workloads e atualizar os pods e workloads para migrar da conta de serviço padrão para suas contas dedicadas. Em seguida, é necessário remover a permissão de administrador da conta de serviço padrão. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Policy:Kubernetes/AnonymousAccessGranted

O usuário system:anonymous recebeu permissão de API em um cluster do Kubernetes.

Gravidade padrão: alta

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que um usuário em seu cluster do Kubernetes criou com sucesso um ClusterRoleBinding ou RoleBinding para vincular o usuário system:anonymous a um perfil. Isso permite acesso não autenticado às operações de API permitidas pelo perfil. Se esse comportamento não for esperado, isso pode indicar um erro de configuração ou que suas credenciais estão comprometidas

Recomendações de correção:

Você deve examinar as permissões que foram concedidas ao usuário system:anonymous ou grupo system:unauthenticated em seu cluster e revogar o acesso anônimo desnecessário. Para obter mais informações, consulte Melhores práticas de segurança para o Amazon EKS no Guia do usuário do Amazon EKS. Se as permissões foram concedidas de maneira mal-intencionada, você deve revogar o acesso do usuário que concedeu as permissões e reverter quaisquer alterações feitas por um adversário em seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Policy:Kubernetes/ExposedDashboard

O painel de um cluster do Kubernetes foi exposto à Internet

Gravidade padrão: média

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que o painel do Kubernetes do seu cluster foi exposto à Internet por um serviço de balanceador de carga. Um painel exposto torna a interface de gerenciamento do seu cluster acessível pela Internet e permite que os adversários explorem quaisquer lacunas de autenticação e controle de acesso que possam estar presentes.

Recomendações de correção:

Você deve garantir que a autenticação e a autorização fortes sejam aplicadas no Painel do Kubernetes. Você também deve implementar o controle de acesso à rede para restringir o acesso ao painel a partir de endereços IP específicos.

Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Policy:Kubernetes/KubeflowDashboardExposed

O painel Kubeflow de um cluster do Kubernetes foi exposto à Internet

Gravidade padrão: média

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que o painel Kubeflow do seu cluster foi exposto à Internet por um serviço de balanceador de carga. Um painel exposto do Kubeflow torna a interface de gerenciamento do seu ambiente Kubeflow acessível pela Internet e permite que os adversários explorem quaisquer lacunas de autenticação e controle de acesso que possam estar presentes.

Recomendações de correção:

Você deve garantir que a autenticação e a autorização fortes sejam aplicadas no Painel Kubeflow. Você também deve implementar o controle de acesso à rede para restringir o acesso ao painel a partir de endereços IP específicos.

Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

PrivilegeEscalation:Kubernetes/PrivilegedContainer

Um contêiner privilegiado com acesso de nível raiz foi lançado em seu cluster do Kubernetes.

Gravidade padrão: média

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que um contêiner privilegiado foi lançado em seu cluster do Kubernetes usando uma imagem nunca antes usada para iniciar contêineres privilegiados em seu cluster. Um contêiner privilegiado tem acesso de nível raiz ao host. Os adversários podem lançar contêineres privilegiados como uma tática de escalonamento de privilégios para obter acesso e, em seguida, comprometer o host.

Recomendações de correção:

Se o lançamento desse contêiner for inesperado, as credenciais da identidade do usuário usadas para iniciar o contêiner poderão ser comprometidas. Revogue o acesso do usuário e reverta todas as alterações feitas por um adversário em seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed

Uma API do Kubernetes comumente usada para acessar segredos foi invocada de forma anômala.

Gravidade padrão: média

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação anômala de API para recuperar segredos confidenciais do cluster foi invocada por um usuário do Kubernetes em seu cluster. Comumente, a API observada é associada a táticas de acesso a credenciais que podem levar a um escalonamento privilegiado e a um maior acesso ao seu cluster. Se esse comportamento não for esperado, isso pode indicar um erro de configuração ou que suas AWS credenciais estão comprometidas.

A API observada foi identificada como anômala pelo modelo de aprendizado de máquina (ML) de detecção de GuardDuty anomalias. O modelo de ML avalia todas as atividades da API do usuário em seu cluster do EKS e identifica eventos anômalos associados a técnicas usadas por usuários não autorizados. O modelo de ML rastreia vários fatores da operação da API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita, o agente do usuário usado e o namespace que o usuário operou. Você pode encontrar os detalhes da solicitação de API que são incomuns no painel de busca de detalhes no GuardDuty console.

Recomendações de correção:

Examine as permissões concedidas ao usuário do Kubernetes em seu cluster e garanta que todas essas permissões sejam necessárias. Se as permissões foram concedidas por engano ou de maneira mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um usuário não autorizado em seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Se suas AWS credenciais estiverem comprometidas, consulte. Correção de credenciais potencialmente comprometidas AWS

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated

Um RoleBinding ou ClusterRoleBinding para um papel excessivamente permissivo ou namespace confidencial foi criado ou modificado em seu cluster Kubernetes.

Gravidade padrão: média*

nota

A gravidade padrão desta descoberta é Média. No entanto, se um RoleBinding ou ClusterRoleBinding envolver o ClusterRoles admin oucluster-admin, a gravidade será Alta.

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que um usuário em seu cluster do Kubernetes criou um RoleBinding ou ClusterRoleBinding para vincular um usuário a uma função com permissões de administrador ou namespaces confidenciais. Se esse comportamento não for esperado, isso pode indicar um erro de configuração ou que suas AWS credenciais estão comprometidas.

A API observada foi identificada como anômala pelo modelo de aprendizado de máquina (ML) de detecção de GuardDuty anomalias. O modelo de ML avalia todas as atividades da API do usuário em seu cluster do EKS. Esse modelo de ML também identifica eventos anômalos associados às técnicas usadas por um usuário não autorizado. O modelo de ML também rastreia vários fatores da operação da API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita, o agente do usuário usado e o namespace que o usuário operou. Você pode encontrar os detalhes da solicitação de API que são incomuns no painel de busca de detalhes no GuardDuty console.

Recomendações de correção:

Examine as permissões concedidas ao usuário do Kubernetes. Essas permissões são definidas na função e nos assuntos envolvidos em RoleBinding e ClusterRoleBinding. Se as permissões foram concedidas por engano ou de maneira mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um usuário não autorizado em seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Se suas AWS credenciais estiverem comprometidas, consulte. Correção de credenciais potencialmente comprometidas AWS

Execution:Kubernetes/AnomalousBehavior.ExecInPod

Um comando foi executado dentro de um pod de forma anômala.

Gravidade padrão: média

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que um comando foi executado em um pod usando a API Kubernetes exec. A API Kubernetes exec permite executar comandos arbitrários em um pod. Se esse comportamento não for esperado para o usuário, namespace ou pod, isso pode indicar um erro de configuração ou que suas AWS credenciais estão comprometidas.

A API observada foi identificada como anômala pelo modelo de aprendizado de máquina (ML) de detecção de GuardDuty anomalias. O modelo de ML avalia todas as atividades da API do usuário em seu cluster do EKS. Esse modelo de ML também identifica eventos anômalos associados às técnicas usadas por um usuário não autorizado. O modelo de ML também rastreia vários fatores da operação da API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita, o agente do usuário usado e o namespace que o usuário operou. Você pode encontrar os detalhes da solicitação de API que são incomuns no painel de busca de detalhes no GuardDuty console.

Recomendações de correção:

Se a execução desse comando for inesperada, as credenciais da identidade do usuário usadas para executar o comando podem ter sido comprometidas. Revogue o acesso do usuário e reverta todas as alterações feitas por um usuário não autorizado em seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Se suas AWS credenciais estiverem comprometidas, consulte. Correção de credenciais potencialmente comprometidas AWS

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

Uma workload foi lançada com um contêiner privilegiado de forma anômala.

Gravidade padrão: alta

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma workload foi lançada com um contêiner privilegiado em seu cluster Amazon EKS. Um contêiner privilegiado tem acesso de nível raiz ao host. Usuários não autorizados podem lançar contêineres privilegiados como uma tática de escalonamento de privilégios para primeiro obter acesso ao host e depois comprometê-lo.

A criação ou modificação observada do contêiner foi identificada como anômala pelo modelo de aprendizado de máquina (ML) de detecção de GuardDuty anomalias. O modelo de ML avalia todas as atividades da API do usuário e da imagem do contêiner em seu cluster do EKS. Esse modelo de ML também identifica eventos anômalos associados às técnicas usadas por um usuário não autorizado. O modelo de ML também rastreia vários fatores da operação da API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita, o agente do usuário usado, as imagens de contêiner observadas em sua conta e o namespace operado pelo usuário. Você pode encontrar os detalhes da solicitação de API que são incomuns no painel de busca de detalhes no GuardDuty console.

Recomendações de correção:

Se o lançamento desse contêiner for inesperado, as credenciais da identidade do usuário usadas para iniciar o contêiner podem ter sido comprometidas. Revogue o acesso do usuário e reverta todas as alterações feitas por um usuário não autorizado em seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Se suas AWS credenciais estiverem comprometidas, consulte. Correção de credenciais potencialmente comprometidas AWS

Se o lançamento desse contêiner for esperado, é recomendável usar uma regra de supressão com um critério de filtro baseado no campo resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. Nos critérios de filtro, o campo imagePrefix deve ter o mesmo valor do campo imagePrefix especificado na descoberta. Para ter mais informações, consulte Regras de supressão.

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

Uma workload foi implantada de forma anômala, com um caminho de host sensível montado dentro da workload.

Gravidade padrão: alta

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma workload foi lançada com um contêiner que incluía um caminho de host confidencial na seção volumeMounts. Isso potencialmente torna o caminho confidencial do host acessível e gravável de dentro do contêiner. Essa técnica é comumente usada por usuários não autorizados para obter acesso ao sistema de arquivos do host.

A criação ou modificação observada do contêiner foi identificada como anômala pelo modelo de aprendizado de máquina (ML) de detecção de GuardDuty anomalias. O modelo de ML avalia todas as atividades da API do usuário e da imagem do contêiner em seu cluster do EKS. Esse modelo de ML também identifica eventos anômalos associados às técnicas usadas por um usuário não autorizado. O modelo de ML também rastreia vários fatores da operação da API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita, o agente do usuário usado, as imagens de contêiner observadas em sua conta e o namespace operado pelo usuário. Você pode encontrar os detalhes da solicitação de API que são incomuns no painel de busca de detalhes no GuardDuty console.

Recomendações de correção:

Se o lançamento desse contêiner for inesperado, as credenciais da identidade do usuário usadas para iniciar o contêiner podem ter sido comprometidas. Revogue o acesso do usuário e reverta todas as alterações feitas por um usuário não autorizado em seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Se suas AWS credenciais estiverem comprometidas, consulte. Correção de credenciais potencialmente comprometidas AWS

Se o lançamento desse contêiner for esperado, é recomendável usar uma regra de supressão com um critério de filtro baseado no campo resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. Nos critérios de filtro, o campo imagePrefix deve ter o mesmo valor do campo imagePrefix especificado na descoberta. Para ter mais informações, consulte Regras de supressão.

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

Uma workload foi lançada de forma anômala.

Gravidade padrão: baixa*

nota

A gravidade padrão é Baixa. No entanto, se a workload contiver um nome de imagem potencialmente suspeito, como uma ferramenta de teste de penetração conhecida, ou um contêiner executando um comando potencialmente suspeito na inicialização, como comandos de shell reverso, a gravidade desse tipo de descoberta será considerada Média.

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma workload do Kubernetes foi criada ou modificada de forma anômala, como uma atividade de API, novas imagens de contêiner ou configuração de workload arriscada, dentro do seu cluster Amazon EKS. Usuários não autorizados podem lançar contêineres como uma tática para executar código arbitrário para primeiro obter acesso ao host e depois comprometê-lo.

A criação ou modificação observada do contêiner foi identificada como anômala pelo modelo de aprendizado de máquina (ML) de detecção de GuardDuty anomalias. O modelo de ML avalia todas as atividades da API do usuário e da imagem do contêiner em seu cluster do EKS. Esse modelo de ML também identifica eventos anômalos associados às técnicas usadas por um usuário não autorizado. O modelo de ML também rastreia vários fatores da operação da API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita, o agente do usuário usado, as imagens de contêiner observadas em sua conta e o namespace operado pelo usuário. Você pode encontrar os detalhes da solicitação de API que são incomuns no painel de busca de detalhes no GuardDuty console.

Recomendações de correção:

Se o lançamento desse contêiner for inesperado, as credenciais da identidade do usuário usadas para iniciar o contêiner podem ter sido comprometidas. Revogue o acesso do usuário e reverta todas as alterações feitas por um usuário não autorizado em seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Se suas AWS credenciais estiverem comprometidas, consulte. Correção de credenciais potencialmente comprometidas AWS

Se o lançamento desse contêiner for esperado, é recomendável usar uma regra de supressão com um critério de filtro baseado no campo resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. Nos critérios de filtro, o campo imagePrefix deve ter o mesmo valor do campo imagePrefix especificado na descoberta. Para ter mais informações, consulte Regras de supressão.

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

Uma função altamente permissiva ou ClusterRole foi criada ou modificada de forma anômala.

Gravidade padrão: baixa

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que uma operação de API anômala para criar Role ou ClusterRole com permissões excessivas foi chamada por um usuário do Kubernetes em seu cluster Amazon EKS. Os atores podem usar a criação de funções com permissões poderosas para evitar o uso de funções internas semelhantes às de administrador e evitar a detecção. As permissões excessivas podem levar a escalonamento privilegiado, execução remota de código e, potencialmente, controle sobre um namespace ou cluster. Se esse comportamento não for esperado, isso pode indicar um erro de configuração ou que suas credenciais estão comprometidas.

A API observada foi identificada como anômala pelo modelo de aprendizado de máquina (ML) de detecção de GuardDuty anomalias. O modelo de ML avalia todas as atividades de API do usuário em seu cluster Amazon EKS e identifica eventos anômalos associados às técnicas usadas por usuários não autorizados. O modelo de ML também rastreia vários fatores da operação da API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita, o agente do usuário usado, as imagens de contêiner observadas em sua conta e o namespace operado pelo usuário. Você pode encontrar os detalhes da solicitação de API que são incomuns no painel de busca de detalhes no GuardDuty console.

Recomendações de correção:

Examine as permissões definidas em Role ou ClusterRole para garantir que todas as permissões sejam necessárias e siga os princípios de privilégios mínimos. Se as permissões foram concedidas por engano ou de maneira mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um usuário não autorizado em seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Se suas AWS credenciais estiverem comprometidas, consulte. Correção de credenciais potencialmente comprometidas AWS

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

Um usuário verificou sua permissão de acesso de forma anômala.

Gravidade padrão: baixa

  • Funcionalidade: registros de auditoria do EKS

Essa descoberta informa que um usuário em seu cluster do Kubernetes verificou com sucesso se as poderosas permissões conhecidas que podem levar ao escalonamento privilegiado e à execução remota de código são permitidas. Por exemplo, um comando comum usado para verificar as permissões de um usuário é kubectl auth can-i. Se esse comportamento não for esperado, isso pode indicar um erro de configuração ou que suas credenciais foram comprometidas.

A API observada foi identificada como anômala pelo modelo de aprendizado de máquina (ML) de detecção de GuardDuty anomalias. O modelo de ML avalia todas as atividades de API do usuário em seu cluster Amazon EKS e identifica eventos anômalos associados às técnicas usadas por usuários não autorizados. O modelo de ML também rastreia vários fatores da operação da API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita, a permissão que está sendo verificada e o namespace que o usuário operou. Você pode encontrar os detalhes da solicitação de API que são incomuns no painel de busca de detalhes no GuardDuty console.

Recomendações de correção:

Examine as permissões concedidas ao usuário do Kubernetes para garantir que todas as permissões sejam necessárias. Se as permissões foram concedidas por engano ou de maneira mal-intencionada, revogue o acesso do usuário e reverta as alterações feitas por um usuário não autorizado em seu cluster. Para ter mais informações, consulte Como corrigir os resultados do Monitoramento de logs de auditoria do EKS.

Se suas AWS credenciais estiverem comprometidas, consulte. Correção de credenciais potencialmente comprometidas AWS