EKS 审核日志查找类型 - Amazon GuardDuty
CredentialAccess:Kubernetes/MaliciousIPCallerCredentialAccess:Kubernetes/MaliciousIPCaller.CustomCredentialAccess:Kubernetes/SuccessfulAnonymousAccessCredentialAccess:Kubernetes/TorIPCallerDefenseEvasion:Kubernetes/MaliciousIPCallerDefenseEvasion:Kubernetes/MaliciousIPCaller.CustomDefenseEvasion:Kubernetes/SuccessfulAnonymousAccessDefenseEvasion:Kubernetes/TorIPCallerDiscovery:Kubernetes/MaliciousIPCallerDiscovery:Kubernetes/MaliciousIPCaller.CustomDiscovery:Kubernetes/SuccessfulAnonymousAccessDiscovery:Kubernetes/TorIPCallerExecution:Kubernetes/ExecInKubeSystemPodImpact:Kubernetes/MaliciousIPCallerImpact:Kubernetes/MaliciousIPCaller.CustomImpact:Kubernetes/SuccessfulAnonymousAccessImpact:Kubernetes/TorIPCallerPersistence:Kubernetes/ContainerWithSensitiveMountPersistence:Kubernetes/MaliciousIPCallerPersistence:Kubernetes/MaliciousIPCaller.CustomPersistence:Kubernetes/SuccessfulAnonymousAccessPersistence:Kubernetes/TorIPCallerPolicy:Kubernetes/AdminAccessToDefaultServiceAccountPolicy:Kubernetes/AnonymousAccessGrantedPolicy:Kubernetes/ExposedDashboardPolicy:Kubernetes/KubeflowDashboardExposedPrivilegeEscalation:Kubernetes/PrivilegedContainerCredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreatedExecution:Kubernetes/AnomalousBehavior.ExecInPodPrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainerPersistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMountExecution:Kubernetes/AnomalousBehavior.WorkloadDeployedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreatedDiscovery:Kubernetes/AnomalousBehavior.PermissionChecked

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

EKS 审核日志查找类型

以下是针对 Kubernetes 资源的调查发现,并且 resource_typeEKSCluster。调查发现的严重性和详细信息将因调查发现类型而异。

对于所有 Kubernetes 类型的调查发现,我们建议您检查相关资源,以确定该活动是正常的活动还是潜在的恶意活动。有关修复发现发现的受损的 Kubernetes 资源的指南, GuardDuty 请参阅。修复 EKS 审计日志监控调查发现

注意

如果生成这些调查发现的活动是正常的活动,则应考虑添加 抑制规则 以防将来发出警报。

主题
注意

在 Kubernetes 版本 1.14 之前,该system:unauthenticated群组与默认关联且处于关联状态。system:discovery system:basic-user ClusterRoles这种关联可能导致匿名用户意外访问。更新集群不会撤消这些权限。即使您将集群更新到版本 1.14 或更高版本,这些权限仍可能处于启用状态。我们建议您取消这些权限与 system:unauthenticated 组的关联。有关撤销这些权限的指导,请参阅 Amazon EKS 用户指南中的 Amazon EK S 安全最佳实践

CredentialAccess:Kubernetes/MaliciousIPCaller

已知的恶意 IP 地址调用了常用于访问 Kubernetes 集群中凭证或机密的 API。

默认严重级别:高

  • 功能:EKS 审核日志

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 API 操作。观测到的 API 通常与凭证访问策略有关,在这种策略中,攻击者会试图收集 Kubernetes 集群的密码、用户名和访问密钥。

修复建议:

如果该KubernetesUserDetails部分下的调查结果中报告的用户是system:anonymous,请按照《Amazon EK S 用户指南》中 Amazon EKS 安全最佳实践中的说明调查允许匿名用户调用 API 并在需要时撤消权限的原因。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

自定义威胁列表中的 IP 地址调用了常用于访问 Kubernetes 集群中凭证或机密的 API。

默认严重级别:高

  • 功能:EKS 审核日志

此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 API 操作。调查发现详细信息的其他信息部分列有该调查发现所对应的威胁列表。观测到的 API 通常与凭证访问策略有关,在这种策略中,攻击者会试图收集 Kubernetes 集群的密码、用户名和访问密钥。

修复建议:

如果该KubernetesUserDetails部分的调查结果中报告的用户是system:anonymous,请按照《Amazon EK S 用户指南》中 Amazon EKS 安全最佳实践中的说明调查允许匿名用户调用 API 并在需要时撤消权限的原因。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

未经身份验证的用户调用了通常用于访问 Kubernetes 集群中凭证或机密的 API。

默认严重级别:高

  • 功能:EKS 审核日志

此调查发现通知您,system:anonymous 用户成功调用了 API 操作。由 system:anonymous 发出的 API 调用未经身份验证。此 API 通常与凭证访问策略有关,在这种策略中,攻击者会试图收集 Kubernetes 集群的密码、用户名和访问密钥。此活动表示,存在对调查发现中报告的 API 操作进行匿名或未经身份验证的访问的许可,而且可能也存在对其他操作进行同样类型的访问的许可。如果这类活动不是正常活动,则可能是配置错误或您的凭证已遭到盗用。

修复建议:

您应检查集群上已授予 system:anonymous 用户的权限,并确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 Amazon EKS 用户指南中的 Amazon E KS 安全最佳实践

有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

CredentialAccess:Kubernetes/TorIPCaller

Tor 出口节点 IP 地址调用了常用于访问 Kubernetes 集群中凭证或机密的 API。

默认严重级别:高

  • 功能:EKS 审核日志

此调查发现通知您,Tor 出口节点 IP 地址调用了 API。观测到的 API 通常与凭证访问策略有关,在这种策略中,攻击者会试图收集 Kubernetes 集群的密码、用户名和访问密钥。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这种情况可能表明有人未经授权访问您的 Kubernetes 集群资源,并意图隐藏攻击者的真实身份。

修复建议:

如果该KubernetesUserDetails部分下的调查结果中报告的用户是system:anonymous,请按照《Amazon EK S 用户指南》中 Amazon EKS 安全最佳实践中的说明调查允许匿名用户调用 API 并在需要时撤消权限的原因。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

DefenseEvasion:Kubernetes/MaliciousIPCaller

已知的恶意 IP 地址调用了常用于逃避防御措施的 API。

默认严重级别:高

  • 功能:EKS 审核日志

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 API 操作。观测到的 API 通常与逃避防御策略有关,在这种策略中,攻击者试图隐藏自己的行为以避免被发现。

修复建议:

如果该KubernetesUserDetails部分下的调查结果中报告的用户是system:anonymous,请按照《Amazon EK S 用户指南》中 Amazon EKS 安全最佳实践中的说明调查允许匿名用户调用 API 并在需要时撤消权限的原因。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

自定义威胁列表中的 IP 地址调用了常用于逃避防御措施的 API。

默认严重级别:高

  • 功能:EKS 审核日志

此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 API 操作。调查发现详细信息的其他信息部分列有该调查发现所对应的威胁列表。观测到的 API 通常与逃避防御策略有关,在这种策略中,攻击者试图隐藏自己的行为以避免被发现。

修复建议:

如果该KubernetesUserDetails部分下的调查结果中报告的用户是system:anonymous,请按照《Amazon EK S 用户指南》中 Amazon EKS 安全最佳实践中的说明调查允许匿名用户调用 API 并在需要时撤消权限的原因。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

未经身份验证的用户调用了常用于逃避防御措施的 API。

默认严重级别:高

  • 功能:EKS 审核日志

此调查发现通知您,system:anonymous 用户成功调用了 API 操作。由 system:anonymous 发出的 API 调用未经身份验证。此 API 通常与逃避防御策略有关,在这种策略中,攻击者试图隐藏自己的行为以避免被发现。此活动表示,存在对调查发现中报告的 API 操作进行匿名或未经身份验证的访问的许可,而且可能也存在对其他操作进行同样类型的访问的许可。如果这类活动不是正常活动,则可能是配置错误或您的凭证已遭到盗用。

修复建议:

您应检查集群上已授予 system:anonymous 用户的权限,并确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 Amazon EKS 用户指南中的 Amazon E KS 安全最佳实践

有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

DefenseEvasion:Kubernetes/TorIPCaller

Tor 出口节点 IP 地址调用了常用于逃避防御措施的 API。

默认严重级别:高

  • 功能:EKS 审核日志

此调查发现通知您,Tor 出口节点 IP 地址调用了 API。观测到的 API 通常与逃避防御策略有关,在这种策略中,攻击者试图隐藏自己的行为以避免被发现。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这种情况可能表明有人未经授权访问您的 Kubernetes 集群,并意图隐藏攻击者的真实身份。

修复建议:

如果该KubernetesUserDetails部分下的调查结果中报告的用户是system:anonymous,请按照《Amazon EK S 用户指南》中 Amazon EKS 安全最佳实践中的说明调查允许匿名用户调用 API 并在需要时撤消权限的原因。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Discovery:Kubernetes/MaliciousIPCaller

某个 IP 地址调用了一个常用于发现 Kubernetes 集群中资源的 API。

默认严重级别:中

  • 功能:EKS 审核日志

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 API 操作。此 API 通常用于攻击的发现阶段,攻击者在该阶段会收集信息,以确定 Kubernetes 集群是否容易受到更广泛的攻击。

修复建议:

如果该KubernetesUserDetails部分下的调查结果中报告的用户是system:anonymous,请按照《Amazon EK S 用户指南》中 Amazon EKS 安全最佳实践中的说明调查允许匿名用户调用 API 并在需要时撤消权限的原因。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Discovery:Kubernetes/MaliciousIPCaller.Custom

自定义威胁列表中的 IP 地址调用了常用于发现 Kubernetes 集群中资源的 API。

默认严重级别:中

  • 功能:EKS 审核日志

此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 API。调查发现详细信息的其他信息部分列有该调查发现所对应的威胁列表。此 API 通常用于攻击的发现阶段,攻击者在该阶段会收集信息,以确定 Kubernetes 集群是否容易受到更广泛的攻击。

修复建议:

如果该KubernetesUserDetails部分下的调查结果中报告的用户是system:anonymous,请按照《Amazon EK S 用户指南》中 Amazon EKS 安全最佳实践中的说明调查允许匿名用户调用 API 并在需要时撤消权限的原因。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Discovery:Kubernetes/SuccessfulAnonymousAccess

未经身份验证的用户调用了常用于发现 Kubernetes 集群中资源的 API。

默认严重级别:中

  • 功能:EKS 审核日志

此调查发现通知您,system:anonymous 用户成功调用了 API 操作。由 system:anonymous 发出的 API 调用未经身份验证。此 API 通常与攻击的发现阶段有关,攻击者在该阶段将收集有关您的 Kubernetes 集群的信息。此活动表示,存在对调查发现中报告的 API 操作进行匿名或未经身份验证的访问的许可,而且可能也存在对其他操作进行同样类型的访问的许可。如果这类活动不是正常活动,则可能是配置错误或您的凭证已遭到盗用。

修复建议:

您应检查集群上已授予 system:anonymous 用户的权限,并确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 Amazon EKS 用户指南中的 Amazon E KS 安全最佳实践

有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Discovery:Kubernetes/TorIPCaller

某个 Tor 出口节点 IP 地址调用了常用于发现 Kubernetes 集群中资源的 API。

默认严重级别:中

  • 功能:EKS 审核日志

此调查发现通知您,Tor 出口节点 IP 地址调用了 API。此 API 通常用于攻击的发现阶段,攻击者在该阶段会收集信息,以确定 Kubernetes 集群是否容易受到更广泛的攻击。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这种情况可能表明有人未经授权访问您的 Kubernetes 集群,并意图隐藏攻击者的真实身份。

修复建议:

如果该KubernetesUserDetails部分下的调查结果中报告的用户是system:anonymous,请按照《Amazon EK S 用户指南》中 Amazon EKS 安全最佳实践中的说明,调查允许匿名用户调用 API 并在需要时撤消权限的原因如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Execution:Kubernetes/ExecInKubeSystemPod

kube-system 命名空间内的容器组中执行了一条命令

默认严重级别:中

  • 功能:EKS 审核日志

此调查发现通知您,通过使用 Kubernetes exec API,在 kube-system 命名空间内的容器组中执行了一条命令。kube-system 命名空间是默认命名空间,主要用于系统级组件,例如 kube-dnskube-proxy。在 kube-system 命名空间下的容器组或容器内执行命令的情况很少见,这种情况可能表明存在可疑活动。

修复建议:

如果意外执行此命令,则用于执行该命令的用户身份凭证可能已被盗用。撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Impact:Kubernetes/MaliciousIPCaller

一个已知的恶意 IP 地址调用了常用于篡改 Kubernetes 集群中资源的 API。

默认严重级别:高

  • 功能:EKS 审核日志

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 API 操作。观察到的 API 通常与冲击策略相关联,在这种策略中,对手试图操纵、中断或销毁您的 AWS 环境中的数据。

修复建议:

如果该KubernetesUserDetails部分下的调查结果中报告的用户是system:anonymous,请按照《Amazon EK S 用户指南》中 Amazon EKS 安全最佳实践中的说明调查允许匿名用户调用 API 并在需要时撤消权限的原因。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Impact:Kubernetes/MaliciousIPCaller.Custom

自定义威胁列表中的 IP 地址调用了常用于篡改 Kubernetes 集群中资源的 API。

默认严重级别:高

  • 功能:EKS 审核日志

此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 API 操作。调查发现详细信息的其他信息部分列有该调查发现所对应的威胁列表。观察到的 API 通常与冲击策略相关联,在这种策略中,对手试图操纵、中断或销毁您的 AWS 环境中的数据。

修复建议:

如果该KubernetesUserDetails部分下的调查结果中报告的用户是system:anonymous,请按照《Amazon EK S 用户指南》中 Amazon EKS 安全最佳实践中的说明调查允许匿名用户调用 API 并在需要时撤消权限的原因。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Impact:Kubernetes/SuccessfulAnonymousAccess

未经身份验证的用户调用了常用于篡改 Kubernetes 集群中资源的 API。

默认严重级别:高

  • 功能:EKS 审核日志

此调查发现通知您,system:anonymous 用户成功调用了 API 操作。由 system:anonymous 发出的 API 调用未经身份验证。此 API 通常与攻击的影响阶段有关,攻击者在此阶段将篡改集群中的资源。此活动表示,存在对调查发现中报告的 API 操作进行匿名或未经身份验证的访问的许可,而且可能也存在对其他操作进行同样类型的访问的许可。如果这类活动不是正常活动,则可能是配置错误或您的凭证已遭到盗用。

修复建议:

您应检查集群上已授予 system:anonymous 用户的权限,并确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 Amazon EKS 用户指南中的 Amazon E KS 安全最佳实践

有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Impact:Kubernetes/TorIPCaller

Tor 出口节点 IP 地址调用了常用于篡改 Kubernetes 集群中资源的 API。

默认严重级别:高

  • 功能:EKS 审核日志

此调查发现通知您,Tor 出口节点 IP 地址调用了 API。观测到的 API 通常与冲击策略有关,在这种策略中,攻击者试图操纵、中断或销毁您 AWS 环境中的数据。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这种情况可能表明有人未经授权访问您的 Kubernetes 集群,并意图隐藏攻击者的真实身份。

修复建议:

如果该KubernetesUserDetails部分下的调查结果中报告的用户是system:anonymous,请按照《Amazon EK S 用户指南》中 Amazon EKS 安全最佳实践中的说明调查允许匿名用户调用 API 并在需要时撤消权限的原因。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Persistence:Kubernetes/ContainerWithSensitiveMount

启动了挂载有敏感外部主机路径的容器。

默认严重级别:中

  • 功能:EKS 审核日志

此调查发现通知您,启动的容器配置了在 volumeMounts 部分具有写入权限的敏感主机路径。这使敏感主机路径可以从容器内部进行访问和写入。攻击者通常使用这种技术来访问主机的文件系统。

修复建议:

如果意外启动此容器,则用于启动容器的用户身份凭证可能已被盗用。撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

如果此容器的启动是正常的活动,则建议您使用由基于 resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix 字段的筛选条件组成的抑制规则。在筛选条件中,imagePrefix 字段应与调查发现中指定的 imagePrefix 字段相同。要了解有关创建抑制规则的更多信息,请参阅抑制规则

Persistence:Kubernetes/MaliciousIPCaller

已知的恶意 IP 地址调用了常用于获得对 Kubernetes 集群具有持久访问权限的 API。

默认严重级别:中

  • 功能:EKS 审核日志

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 API 操作。观测到的 API 通常与持久性策略有关,在这种策略中,攻击者已获得对您的 Kubernetes 集群的访问权限并试图长久保有该访问权限。

修复建议:

如果该KubernetesUserDetails部分下的调查结果中报告的用户是system:anonymous,请按照《Amazon EK S 用户指南》中 Amazon EKS 安全最佳实践中的说明调查允许匿名用户调用 API 并在需要时撤消权限的原因。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Persistence:Kubernetes/MaliciousIPCaller.Custom

自定义威胁列表中的 IP 地址调用了常用于获得对 Kubernetes 集群具有持久访问权限的 API。

默认严重级别:中

  • 功能:EKS 审核日志

此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 API 操作。调查发现详细信息的其他信息部分列有该调查发现所对应的威胁列表。观测到的 API 通常与持久性策略有关,在这种策略中,攻击者已获得对您的 Kubernetes 集群的访问权限并试图长久保有该访问权限。

修复建议:

如果该KubernetesUserDetails部分下的调查结果中报告的用户是system:anonymous,请按照《Amazon EK S 用户指南》中 Amazon EKS 安全最佳实践中的说明调查允许匿名用户调用 API 并在需要时撤消权限的原因。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Persistence:Kubernetes/SuccessfulAnonymousAccess

未经身份验证的用户调用了常用于获取 Kubernetes 集群高级权限的 API。

默认严重级别:高

  • 功能:EKS 审核日志

此调查发现通知您,system:anonymous 用户成功调用了 API 操作。由 system:anonymous 发出的 API 调用未经身份验证。此 API 通常与持久性策略有关,在这种策略中,攻击者已获得对您的集群的访问权限并试图长久保有该访问权限。此活动表示,存在对调查发现中报告的 API 操作进行匿名或未经身份验证的访问的许可,而且可能也存在对其他操作进行同样类型的访问的许可。如果这类活动不是正常活动,则可能是配置错误或您的凭证已遭到盗用。

修复建议:

您应检查集群上已授予 system:anonymous 用户的权限,并确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 Amazon EKS 用户指南中的 Amazon E KS 安全最佳实践

有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Persistence:Kubernetes/TorIPCaller

Tor 出口节点 IP 地址调用了常用于获得对 Kubernetes 集群具有持久访问权限的 API。

默认严重级别:中

  • 功能:EKS 审核日志

此调查发现通知您,Tor 出口节点 IP 地址调用了 API。观测到的 API 通常与持久性策略有关,在这种策略中,攻击者已获得对您的 Kubernetes 集群的访问权限并试图长久保有该访问权限。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这可能表示未经授权访问您的 AWS 资源,意图隐藏攻击者的真实身份。

修复建议:

如果该KubernetesUserDetails部分下的调查结果中报告的用户是system:anonymous,请按照《Amazon EK S 用户指南》中 Amazon EKS 安全最佳实践中的说明调查允许匿名用户调用 API 并在需要时撤消权限的原因。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

默认服务账户被授予了 Kubernetes 集群的管理员权限。

默认严重级别:高

  • 功能:EKS 审核日志

此调查发现通知您,Kubernetes 集群中命名空间的默认服务账户已被授予管理员权限。Kubernetes 会为集群中的所有命名空间创建一个默认服务账户。还会自动将默认服务帐号作为身份,分配给尚未明确关联到其他服务帐号的容器组。如果默认服务帐户具有管理员权限,则可能会导致容器组无意中以管理员权限启动。如果这类活动不是正常活动,则可能是配置错误或您的凭证已遭到盗用。

修复建议:

不应使用默认服务帐户向容器组授予权限。相反,您应为每个工作负载都分别创建一个专用服务帐户,并根据需要向相应的帐户授予权限。要解决此问题,您应为所有容器组和工作负载创建专用服务帐户,并更新容器组和工作负载以从默认服务帐户迁移到其专用帐户。然后删除默认服务账户的管理员权限。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Policy:Kubernetes/AnonymousAccessGranted

system:anonymous 用户已获得 Kubernetes 集群的 API 权限。

默认严重级别:高

  • 功能:EKS 审核日志

此调查发现通知您,Kubernetes 集群上的用户成功创建了 ClusterRoleBindingRoleBinding,以将用户 system:anonymous 绑定到某个角色。这样就可以在未经身份验证的情况下访问此角色允许的 API 操作。如果这类活动不是正常活动,则可能是配置错误或您的凭据遭到盗用。

修复建议:

您应检查已授予集群上的 system:anonymous 用户或 system:unauthenticated 群组的权限,并撤消不必要的匿名访问权限。有关更多信息,请参阅 Amazon EKS 用户指南中的 Amazon E KS 安全最佳实践。如果权限是恶意授予的,则应撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Policy:Kubernetes/ExposedDashboard

Kubernetes 集群的控制面板已在 Internet 上暴露

默认严重级别:中

  • 功能:EKS 审核日志

此调查发现通知您,集群的 Kubernetes 控制面板已通过负载均衡器服务在 Internet 上暴露。暴露的控制面板会使他人可从 Internet 访问到集群的管理界面,从而让攻击者利用可能存在的任何身份验证和访问控制漏洞进行攻击操作。

修复建议:

您应确保在 Kubernetes 控制面板上强制执行严格的身份验证和授权。还应实施网络访问控制,以限制特定 IP 地址对控制面板的访问。

有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Policy:Kubernetes/KubeflowDashboardExposed

Kubernetes 集群的 Kubeflow 控制面板已在 Internet 上暴露

默认严重级别:中

  • 功能:EKS 审核日志

此调查发现通知您,集群的 Kubeflow 控制面板已通过负载均衡器服务在 Internet 上暴露。暴露的 Kubeflow 控制面板会使他人可从 Internet 访问到 Kubeflow 环境的管理界面,从而让攻击者利用可能存在的任何身份验证和访问控制漏洞进行攻击操作。

修复建议:

您应确保在 Kubeflow 控制面板上强制执行严格的身份验证和授权。还应实施网络访问控制,以限制特定 IP 地址对控制面板的访问。

有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

PrivilegeEscalation:Kubernetes/PrivilegedContainer

您的 Kubernetes 集群上启动了一个具有根级访问权限的特权容器。

默认严重级别:中

  • 功能:EKS 审核日志

此调查发现通知您,您的 Kubernetes 集群上启动了一个特权容器,所使用的镜像以前从未用于启动集群中的特权容器。特权容器具有对主机的根级访问权限。攻击者可以启动特权容器作为权限升级策略,以获得对主机的访问权限,然后攻击主机。

修复建议:

如果意外启动此容器,则用于启动容器的用户身份凭证可能已被盗用。撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed

通常用于访问机密的 Kubernetes API 被异常调用。

默认严重级别:中

  • 功能:EKS 审核日志

这一发现告诉你,你的集群中的 Kubernetes 用户调用了一个用于检索敏感集群机密的异常 API 操作。观察到的 API 通常与证书访问策略相关联,这些策略可能导致权限升级和集群内的进一步访问。如果预计不会出现这种行为,则可能表示配置错误或您的 AWS 凭据已被泄露。

异常检测机器学习 (ML) 模型将观察到的 API 确定为 GuardDuty 异常。机器学习模型会评估您的 EKS 集群中的所有用户 API 活动,并识别与未经授权的用户使用的技术相关的异常事件。机器学习模型会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理以及用户操作的命名空间。您可以在 GuardDuty 控制台的查找详细信息面板中找到不寻常的 API 请求的详细信息。

修复建议:

检查授予集群中 Kubernetes 用户的权限,并确保所有这些权限都是必需的。如果权限是错误或恶意授予的,请撤消用户访问权限并撤消未经授权的用户对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

如果您的 AWS 凭证遭到泄露,请参阅修复可能被泄露的凭证 AWS

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated

在 RoleBinding 您的 Kubernetes 集群中创建或修改了过于宽松的角色或敏感命名空间的或。 ClusterRoleBinding

默认严重级别:中*

注意

此调查发现的默认严重级别为“中”。但是,如果 RoleBinding或 ClusterRoleBinding 涉及 ClusterRoles admincluster-admin,则严重性为 “高”。

  • 功能:EKS 审核日志

这一发现告诉你,你的 Kubernetes 集群中的用户创建了一个RoleBinding或将用户绑定ClusterRoleBinding到具有管理员权限或敏感命名空间的角色。如果预计不会出现这种行为,则可能表示配置错误或您的 AWS 凭据已被泄露。

异常检测机器学习 (ML) 模型将观察到的 API 确定为 GuardDuty 异常。机器学习模型会评估您的 EKS 集群中的所有用户 API 活动。此机器学习模型还可识别与未经授权的用户使用的技术相关的异常事件。机器学习模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理以及用户操作的命名空间。您可以在 GuardDuty 控制台的查找详细信息面板中找到不寻常的 API 请求的详细信息。

修复建议:

检查授予 Kubernetes 用户的权限。这些权限是在和中涉及的角色和主题中RoleBinding定义的ClusterRoleBinding。如果权限是错误或恶意授予的,请撤消用户访问权限并撤消未经授权的用户对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

如果您的 AWS 凭证遭到泄露,请参阅修复可能被泄露的凭证 AWS

Execution:Kubernetes/AnomalousBehavior.ExecInPod

命令是在吊舱内以异常方式执行的。

默认严重级别:中

  • 功能:EKS 审核日志

这一发现告诉你,命令是使用 Kubernetes exec API 在 pod 中执行的。Kubernetes exec API 允许在 pod 中运行任意命令。如果预计用户、命名空间或 pod 不会出现这种行为,则可能表示配置错误或您的 AWS 凭据已被泄露。

异常检测机器学习 (ML) 模型将观察到的 API 确定为 GuardDuty 异常。机器学习模型会评估您的 EKS 集群中的所有用户 API 活动。此机器学习模型还可识别与未经授权的用户使用的技术相关的异常事件。机器学习模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理以及用户操作的命名空间。您可以在 GuardDuty 控制台的查找详细信息面板中找到不寻常的 API 请求的详细信息。

修复建议:

如果此命令的执行意外发生,则用于执行该命令的用户身份凭证可能已被泄露。撤消用户访问权限并撤消未经授权的用户对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

如果您的 AWS 凭证遭到泄露,请参阅修复可能被泄露的凭证 AWS

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

工作负载以异常方式使用特权容器启动。

默认严重级别:高

  • 功能:EKS 审核日志

这一发现告诉您,工作负载是使用您的 Amazon EKS 集群中的特权容器启动的。特权容器具有对主机的根级访问权限。未经授权的用户可以启动特权容器作为一种权限升级策略,首先获得对主机的访问权限,然后对其进行入侵。

异常检测机器学习 (ML) 模型将观察到的容器创建或修改确定为 GuardDuty 异常。机器学习模型会评估您的 EKS 集群中的所有用户 API 和容器映像活动。此机器学习模型还可识别与未经授权的用户使用的技术相关的异常事件。机器学习模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理、在您的账户中观察到的容器镜像以及用户操作的命名空间。您可以在 GuardDuty 控制台的查找详细信息面板中找到不寻常的 API 请求的详细信息。

修复建议:

如果此容器启动是意外的,则用于启动容器的用户身份凭证可能已被泄露。撤消用户访问权限并撤消未经授权的用户对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

如果您的 AWS 凭证遭到泄露,请参阅修复可能被泄露的凭证 AWS

如果预计会启动此容器,则建议您使用带有基于该resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix字段的筛选条件的抑制规则。在筛选条件中,该imagePrefix字段的值必须与查找结果中指定的imagePrefix字段相同。有关更多信息,请参阅 抑制规则

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

工作负载的部署方式异常,在工作负载内安装了敏感的主机路径。

默认严重级别:高

  • 功能:EKS 审核日志

此发现告诉您,启动工作负载时使用的容器在该volumeMounts部分中包含敏感主机路径。这可能会使敏感的主机路径可以从容器内部访问和写入。未经授权的用户通常使用这种技术来访问主机的文件系统。

异常检测机器学习 (ML) 模型将观察到的容器创建或修改确定为 GuardDuty 异常。机器学习模型会评估您的 EKS 集群中的所有用户 API 和容器映像活动。此机器学习模型还可识别与未经授权的用户使用的技术相关的异常事件。机器学习模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理、在您的账户中观察到的容器镜像以及用户操作的命名空间。您可以在 GuardDuty 控制台的查找详细信息面板中找到不寻常的 API 请求的详细信息。

修复建议:

如果此容器启动是意外的,则用于启动容器的用户身份凭证可能已被泄露。撤消用户访问权限并撤消未经授权的用户对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

如果您的 AWS 凭证遭到泄露,请参阅修复可能被泄露的凭证 AWS

如果预计会启动此容器,则建议您使用带有基于该resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix字段的筛选条件的抑制规则。在筛选条件中,该imagePrefix字段的值必须与查找结果中指定的imagePrefix字段相同。有关更多信息,请参阅 抑制规则

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

工作负载以异常方式启动。

默认严重级别:低*

注意

默认严重性为 “低”。但是,如果工作负载包含可能可疑的映像名称(例如已知的 pentest 工具),或者容器在启动时运行可能可疑的命令(例如反向 shell 命令),则此发现类型的严重性将被视为中等。

  • 功能:EKS 审核日志

这一发现告诉您,Kubernetes 工作负载是在您的 Amazon EKS 集群中以异常方式创建或修改的,例如 API 活动、新的容器映像或有风险的工作负载配置。未经授权的用户可以启动容器作为一种策略来执行任意代码,首先获得对主机的访问权限,然后对其进行入侵。

异常检测机器学习 (ML) 模型将观察到的容器创建或修改确定为 GuardDuty 异常。机器学习模型会评估您的 EKS 集群中的所有用户 API 和容器映像活动。此机器学习模型还可识别与未经授权的用户使用的技术相关的异常事件。机器学习模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理、在您的账户中观察到的容器镜像以及用户操作的命名空间。您可以在 GuardDuty 控制台的查找详细信息面板中找到不寻常的 API 请求的详细信息。

修复建议:

如果此容器启动是意外的,则用于启动容器的用户身份凭证可能已被泄露。撤消用户访问权限并撤消未经授权的用户对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

如果您的 AWS 凭证遭到泄露,请参阅修复可能被泄露的凭证 AWS

如果预计会启动此容器,则建议您使用带有基于该resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix字段的筛选条件的抑制规则。在筛选条件中,该imagePrefix字段的值必须与查找结果中指定的imagePrefix字段相同。有关更多信息,请参阅 抑制规则

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

高度宽松的角色或 ClusterRole 是以异常方式创建或修改的。

默认严重级别:低

  • 功能:EKS 审核日志

这一发现告诉您,在您的 Amazon EKS 集群中,一个 Kubernetes 用户调ClusterRole用了一个异常 API 操作来创建Role或具有过多权限的 API 操作。Actors 可以使用具有强大权限的角色创建,以避免使用类似管理员的内置角色并避免被发现。过多的权限可能导致权限升级、远程代码执行,并可能导致对命名空间或集群的控制。如果预计不会出现这种行为,则可能表示配置错误或您的凭据已被泄露。

异常检测机器学习 (ML) 模型将观察到的 API 确定为 GuardDuty 异常。机器学习模型会评估您的 Amazon EKS 集群中的所有用户 API 活动,并识别与未经授权的用户使用的技术相关的异常事件。机器学习模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理、在您的账户中观察到的容器镜像以及用户操作的命名空间。您可以在 GuardDuty 控制台的查找详细信息面板中找到不寻常的 API 请求的详细信息。

修复建议:

检查Role或中定义的权限,确保ClusterRole需要所有权限并遵循最低权限原则。如果权限是错误或恶意授予的,请撤消用户访问权限并撤消未经授权的用户对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

如果您的 AWS 凭证遭到泄露,请参阅修复可能被泄露的凭证 AWS

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

用户以异常方式检查了他们的访问权限。

默认严重级别:低

  • 功能:EKS 审核日志

这一发现告诉你,你的 Kubernetes 集群中的用户成功检查了是否允许可能导致权限升级和远程代码执行的已知强大权限。例如,用于检查用户权限的常用命令是kubectl auth can-i。如果预计不会出现这种行为,则可能表示配置错误或您的凭据已被泄露。

异常检测机器学习 (ML) 模型将观察到的 API 确定为 GuardDuty 异常。机器学习模型会评估您的 Amazon EKS 集群中的所有用户 API 活动,并识别与未经授权的用户使用的技术相关的异常事件。机器学习模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、正在检查的权限以及用户操作的命名空间。您可以在 GuardDuty 控制台的查找详细信息面板中找到不寻常的 API 请求的详细信息。

修复建议:

检查授予 Kubernetes 用户的权限,确保所有权限都是必需的。如果权限是错误或恶意授予的,请撤消用户访问权限并撤消未经授权的用户对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

如果您的 AWS 凭证遭到泄露,请参阅修复可能被泄露的凭证 AWS