EKS 稽核記錄尋找類型 - Amazon GuardDuty
CredentialAccess:Kubernetes/MaliciousIPCallerCredentialAccess:Kubernetes/MaliciousIPCaller.CustomCredentialAccess:Kubernetes/SuccessfulAnonymousAccessCredentialAccess:Kubernetes/TorIPCallerDefenseEvasion:Kubernetes/MaliciousIPCallerDefenseEvasion:Kubernetes/MaliciousIPCaller.CustomDefenseEvasion:Kubernetes/SuccessfulAnonymousAccessDefenseEvasion:Kubernetes/TorIPCallerDiscovery:Kubernetes/MaliciousIPCallerDiscovery:Kubernetes/MaliciousIPCaller.CustomDiscovery:Kubernetes/SuccessfulAnonymousAccessDiscovery:Kubernetes/TorIPCallerExecution:Kubernetes/ExecInKubeSystemPodImpact:Kubernetes/MaliciousIPCallerImpact:Kubernetes/MaliciousIPCaller.CustomImpact:Kubernetes/SuccessfulAnonymousAccessImpact:Kubernetes/TorIPCallerPersistence:Kubernetes/ContainerWithSensitiveMountPersistence:Kubernetes/MaliciousIPCallerPersistence:Kubernetes/MaliciousIPCaller.CustomPersistence:Kubernetes/SuccessfulAnonymousAccessPersistence:Kubernetes/TorIPCallerPolicy:Kubernetes/AdminAccessToDefaultServiceAccountPolicy:Kubernetes/AnonymousAccessGrantedPolicy:Kubernetes/ExposedDashboardPolicy:Kubernetes/KubeflowDashboardExposedPrivilegeEscalation:Kubernetes/PrivilegedContainerCredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreatedExecution:Kubernetes/AnomalousBehavior.ExecInPodPrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainerPersistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMountExecution:Kubernetes/AnomalousBehavior.WorkloadDeployedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreatedDiscovery:Kubernetes/AnomalousBehavior.PermissionChecked

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

EKS 稽核記錄尋找類型

以下調查結果專用於 Kubernetes 資源,而且具有 EKSClusterresource_type。調查結果的嚴重性和詳細資訊依據調查結果類型而有所不同。

對於所有 Kubernetes 類型調查結果,我們建議您檢查有問題的資源,以確定該活動是預期還是潛在的惡意活動。如需修正發現項目所識別之遭入侵 Kubernetes 資源的指引,請參閱。 GuardDuty 修復 EKS 稽核日誌監控調查結果

注意

如果預期有此活動 (因其產生這些調查結果),請考慮新增 隱藏規則 以防止未來出現警報。

主題
注意

在 Kubernetes 版本 1.14 之前,依預設,system:unauthenticated群組已與 () 相關聯。system:discovery system:basic-user ClusterRoles此關聯可能會允許匿名使用者的非預期存取。叢集更新不會撤銷這些許可。即使您將叢集更新至 1.14 或更高版本,仍可能會啟用這些權限。建議您取消這些許可與 system:unauthenticated 群組的關聯。如需撤銷這些許可的指引,請參閱 Amazon EKS 使用者指南中的 Amazon EKS 安全性最佳實務

CredentialAccess:Kubernetes/MaliciousIPCaller

從已知的惡意 IP 地址調用了 Kubernetes 叢集中常用來存取憑證或秘密的 API。

預設嚴重性:高

  • 功能:EKS 稽核記錄

此調查結果會通知您,從與已知惡意活動關聯的 IP 地址調用了 API 操作。觀察到的 API 通常與對手嘗試為 Kubernetes 叢集收集密碼、使用者名稱和存取金鑰的憑證存取策略相關聯。

修復建議:

如果本KubernetesUserDetails節下發現項目中報告的使用者是system:anonymous,請按照 Amazon EKS 使用者指南中 Amazon EKS 安全性最佳實務中的指示,調查為何允許匿名使用者叫用 API 並撤銷許可 (如有需要)。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

從自訂威脅清單上的 IP 地址調用了常用來存取 Kubernetes 叢集中之憑證或秘密的 API。

預設嚴重性:高

  • 功能:EKS 稽核記錄

此調查結果會通知您,從您上傳的威脅清單上所包含的 IP 地址調用了 API 操作。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的其他資訊區段中。觀察到的 API 通常與對手嘗試為 Kubernetes 叢集收集密碼、使用者名稱和存取金鑰的憑證存取策略相關聯。

修復建議:

如果本KubernetesUserDetails節下發現項目中報告的使用者是system:anonymous,請依照 Amazon EKS 使用者指南中 Amazon EKS 安全性最佳實務中的指示,調查為何允許匿名使用者叫用 API,並視需要撤銷許可。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

未經驗證的使用者調用 Kubernetes 叢集中常用來存取憑證或秘密的 API。

預設嚴重性:高

  • 功能:EKS 稽核記錄

此調查結果會通知您,system:anonymous 使用者已成功調用 API 操作。由 system:anonymous 進行的 API 呼叫未經驗證。觀察到的 API 通常與對手嘗試為 Kubernetes 叢集收集密碼、使用者名稱和存取金鑰的憑證存取策略相關聯。此活動表示在調查結果中報告的 API 動作允許匿名或未經驗證的存取,並且可能在其他動作上允許匿名或未經驗證的存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。

修復建議:

您應該檢查已向叢集上 system:anonymous 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱 Amazon EKS 使用者指南中的 Amazon EKS 安全性最佳實務

如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

CredentialAccess:Kubernetes/TorIPCaller

從 Tor 退出節點 IP 地址調用一個常用來存取 Kubernetes 叢集中之憑證或秘密的 API。

預設嚴重性:高

  • 功能:EKS 稽核記錄

此調查結果會通知您,已從 Tor 退出節點 IP 地址調用 API。觀察到的 API 通常與對手嘗試為 Kubernetes 叢集收集密碼、使用者名稱和存取金鑰的憑證存取策略相關聯。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示您的 Kubernetes 叢集資源有未經授權的存取,目的是隱藏攻擊者的真實身分。

修復建議:

如果本KubernetesUserDetails節下發現項目中報告的使用者是system:anonymous,請按照 Amazon EKS 使用者指南中 Amazon EKS 安全性最佳實務中的指示,調查為何允許匿名使用者叫用 API 並撤銷許可 (如有需要)。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

DefenseEvasion:Kubernetes/MaliciousIPCaller

從已知的惡意 IP 地址調用的常用來逃避防禦措施的 API。

預設嚴重性:高

  • 功能:EKS 稽核記錄

此調查結果會通知您,從與已知惡意活動關聯的 IP 地址調用了 API 操作。觀察到的 API 通常與防禦逃稅策略有關,其中對手嘗試隱藏其行動以避免檢測。

修復建議:

如果本KubernetesUserDetails節下發現項目中報告的使用者是system:anonymous,請按照 Amazon EKS 使用者指南中 Amazon EKS 安全性最佳實務中的指示,調查為何允許匿名使用者叫用 API 並撤銷許可 (如有需要)。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

從自訂威脅清單上的 IP 地址調用常用來逃避防禦措施的 API。

預設嚴重性:高

  • 功能:EKS 稽核記錄

此調查結果會通知您,從您上傳的威脅清單上所包含的 IP 地址調用了 API 操作。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的其他資訊區段中。觀察到的 API 通常與防禦逃稅策略有關,其中對手嘗試隱藏其行動以避免檢測。

修復建議:

如果本KubernetesUserDetails節下發現項目中報告的使用者是system:anonymous,請按照 Amazon EKS 使用者指南中 Amazon EKS 安全性最佳實務中的指示,調查為何允許匿名使用者叫用 API 並撤銷許可 (如有需要)。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

由經驗證使用者調用常用來逃避防禦措施的 API。

預設嚴重性:高

  • 功能:EKS 稽核記錄

此調查結果會通知您,system:anonymous 使用者已成功調用 API 操作。由 system:anonymous 進行的 API 呼叫未經驗證。觀察到的 API 通常與防禦逃稅策略有關,其中對手嘗試隱藏其行動以避免檢測。此活動表示在調查結果中報告的 API 動作允許匿名或未經驗證的存取,並且可能在其他動作上允許匿名或未經驗證的存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。

修復建議:

您應該檢查已向叢集上 system:anonymous 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱 Amazon EKS 使用者指南中的 Amazon EKS 安全性最佳實務

如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

DefenseEvasion:Kubernetes/TorIPCaller

從 Tor 退出節點 IP 地址調用的常用來逃避防禦措施的 API。

預設嚴重性:高

  • 功能:EKS 稽核記錄

此調查結果會通知您,已從 Tor 退出節點 IP 地址調用 API。觀察到的 API 通常與防禦逃稅策略有關,其中對手嘗試隱藏其行動以避免檢測。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示您的 Kubernetes 叢集有未經授權的存取,目的是隱藏對手的真實身分。

修復建議:

如果本KubernetesUserDetails節下發現項目中報告的使用者是system:anonymous,請按照 Amazon EKS 使用者指南中 Amazon EKS 安全性最佳實務中的指示,調查為何允許匿名使用者叫用 API 並撤銷許可 (如有需要)。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

Discovery:Kubernetes/MaliciousIPCaller

從 IP 地址調用常用來探索在 Kubernetes 叢集中之資源的 API。

預設嚴重性:中

  • 功能:EKS 稽核記錄

此調查結果會通知您,從與已知惡意活動關聯的 IP 地址調用了 API 操作。觀察到的 API 常與攻擊的探索階段搭配使用,其中攻擊者正在收集資訊以確定您的 Kubernetes 叢集是否容易受到更廣泛的攻擊。

修復建議:

如果本KubernetesUserDetails節下發現項目中報告的使用者是system:anonymous,請按照 Amazon EKS 使用者指南中 Amazon EKS 安全性最佳實務中的指示,調查為何允許匿名使用者叫用 API 並撤銷許可 (如有需要)。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

Discovery:Kubernetes/MaliciousIPCaller.Custom

從自訂威脅清單上的 IP 地址調用常用來探索在 Kubernetes 叢集中之資源的 API。

預設嚴重性:中

  • 功能:EKS 稽核記錄

此調查結果會通知您,已從您上傳的威脅清單上所包含的 IP 地址調用 API。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的其他資訊區段中。觀察到的 API 常與攻擊的探索階段搭配使用,其中攻擊者正在收集資訊以確定您的 Kubernetes 叢集是否容易受到更廣泛的攻擊。

修復建議:

如果本KubernetesUserDetails節下發現項目中報告的使用者是system:anonymous,請按照 Amazon EKS 使用者指南中 Amazon EKS 安全性最佳實務中的指示,調查為何允許匿名使用者叫用 API 並撤銷許可 (如有需要)。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

Discovery:Kubernetes/SuccessfulAnonymousAccess

未經驗證的使用者調用 Kubernetes 叢集中常用來探索資源的 API。

預設嚴重性:中

  • 功能:EKS 稽核記錄

此調查結果會通知您,system:anonymous 使用者已成功調用 API 操作。由 system:anonymous 進行的 API 呼叫未經驗證。當對手在您的 Kubernetes 叢集上收集資訊時,觀察到的 API 通常與攻擊的探索階段相關聯。此活動表示在調查結果中報告的 API 動作允許匿名或未經驗證的存取,並且可能在其他動作上允許匿名或未經驗證的存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。

修復建議:

您應該檢查已向叢集上 system:anonymous 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱 Amazon EKS 使用者指南中的 Amazon EKS 安全性最佳實務

如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

Discovery:Kubernetes/TorIPCaller

從 Tor 退出節點 IP 地址調用常用來探索在 Kubernetes 叢集中之資源的 API。

預設嚴重性:中

  • 功能:EKS 稽核記錄

此調查結果會通知您,已從 Tor 退出節點 IP 地址調用 API。觀察到的 API 常與攻擊的探索階段搭配使用,其中攻擊者正在收集資訊以確定您的 Kubernetes 叢集是否容易受到更廣泛的攻擊。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示您的 Kubernetes 叢集有未經授權的存取,目的是隱藏對手的真實身分。

修復建議:

如果本KubernetesUserDetails節下發現項目中報告的使用者是system:anonymous,請依照 Amazon EKS 使用者指南中 Amazon EKS 安全性最佳實務中的指示,調查為何允許匿名使用者叫用 API 並視需要撤銷許可。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

Execution:Kubernetes/ExecInKubeSystemPod

命令已在 kube-system 命名空間中的 Pod 內執行

預設嚴重性:中

  • 功能:EKS 稽核記錄

此調查結果會通知您使用 Kubernetes exec APIkube-system 命名空間內的 Pod 中執行的命令。kube-system 命名空間為預設的命名空間,主要用於系統層級元件,例如 kube-dnskube-proxy。在 kube-system 命名空間下的 Pod 或容器內執行命令的情控非常罕見,並且可能表示可疑活動。

修復建議:

如果未預期執行此命令,用於執行命令的使用者身分憑證可能已遭入侵。請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

Impact:Kubernetes/MaliciousIPCaller

從已知的惡意 IP 地址調用了 Kubernetes 叢集中常用來竄改資源的 API。

預設嚴重性:高

  • 功能:EKS 稽核記錄

此調查結果會通知您,從與已知惡意活動關聯的 IP 地址調用了 API 操作。觀察到的 API 通常與對手試圖操縱,中斷或銷毀環境中的數據的影響策略相關聯 AWS 。

修復建議:

如果本KubernetesUserDetails節下發現項目中報告的使用者是system:anonymous,請按照 Amazon EKS 使用者指南中 Amazon EKS 安全性最佳實務中的指示,調查為何允許匿名使用者叫用 API 並撤銷許可 (如有需要)。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

Impact:Kubernetes/MaliciousIPCaller.Custom

從自訂威脅清單上的 IP 地址調用常用來竄改在 Kubernetes 叢集中之資源的 API。

預設嚴重性:高

  • 功能:EKS 稽核記錄

此調查結果會通知您,從您上傳的威脅清單上所包含的 IP 地址調用了 API 操作。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的其他資訊區段中。觀察到的 API 通常與對手試圖操縱,中斷或銷毀環境中的數據的影響策略相關聯 AWS 。

修復建議:

如果本KubernetesUserDetails節下發現項目中報告的使用者是system:anonymous,請按照 Amazon EKS 使用者指南中 Amazon EKS 安全性最佳實務中的指示,調查為何允許匿名使用者叫用 API 並撤銷許可 (如有需要)。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

Impact:Kubernetes/SuccessfulAnonymousAccess

未經驗證的使用者調用 Kubernetes 叢集中常用來竄改資源的 API。

預設嚴重性:高

  • 功能:EKS 稽核記錄

此調查結果會通知您,system:anonymous 使用者已成功調用 API 操作。由 system:anonymous 進行的 API 呼叫未經驗證。當對手竄改叢集中的資源時,觀察到的 API 通常與攻擊的影響階段相關聯。此活動表示在調查結果中報告的 API 動作允許匿名或未經驗證的存取,並且可能在其他動作上允許匿名或未經驗證的存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。

修復建議:

您應該檢查已向叢集上 system:anonymous 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱 Amazon EKS 使用者指南中的 Amazon EKS 安全性最佳實務

如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

Impact:Kubernetes/TorIPCaller

從 Tor 退出節點 IP 地址調用常用來竄改在 Kubernetes 叢集中之資源的 API。

預設嚴重性:高

  • 功能:EKS 稽核記錄

此調查結果會通知您,已從 Tor 退出節點 IP 地址調用 API。觀察到的 API 通常與影響策略相關聯,其中對手嘗試操縱、中斷或銷毀 AWS 環境中的資料。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示您的 Kubernetes 叢集有未經授權的存取,目的是隱藏對手的真實身分。

修復建議:

如果本KubernetesUserDetails節下發現項目中報告的使用者是system:anonymous,請按照 Amazon EKS 使用者指南中 Amazon EKS 安全性最佳實務中的指示,調查為何允許匿名使用者叫用 API 並撤銷許可 (如有需要)。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

Persistence:Kubernetes/ContainerWithSensitiveMount

啟動了一個容器,其中掛載了敏感的外部主機路徑。

預設嚴重性:中

  • 功能:EKS 稽核記錄

此調查結果會通知您已啟動容器,其組態包含在 volumeMounts 區段中具有寫入存取權限的敏感主機路徑。這使得敏感的主機路徑可從容器內部存取和寫入。這種技術通常被對手用來存取主機的檔案系統。

修復建議:

如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭入侵。請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

如果此容器啟動為預期的結果,建議您根據 resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix 欄位使用篩選條件準則組成的抑制規則。在篩選條件準則中,imagePrefix 欄位應與調查結果中指定的 imagePrefix 相同。若要進一步了解有關建立隱藏規則的資訊,請參閱隱藏規則

Persistence:Kubernetes/MaliciousIPCaller

從已知的惡意 IP 地址調用常用來取得 Kubernetes 叢集持續存取權限的 API。

預設嚴重性:中

  • 功能:EKS 稽核記錄

此調查結果會通知您,從與已知惡意活動關聯的 IP 地址調用了 API 操作。觀察到的 API 通常與持續性策略相關聯,其中對手已取得您的 Kubernetes 叢集的存取權限,並嘗試維護該存取權限。

修復建議:

如果本KubernetesUserDetails節下發現項目中報告的使用者是system:anonymous,請按照 Amazon EKS 使用者指南中 Amazon EKS 安全性最佳實務中的指示,調查為何允許匿名使用者叫用 API 並撤銷許可 (如有需要)。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

Persistence:Kubernetes/MaliciousIPCaller.Custom

從自訂威脅清單上的 IP 地址調用常用來取得 Kubernetes 叢集持續存取權限的 API。

預設嚴重性:中

  • 功能:EKS 稽核記錄

此調查結果會通知您,從您上傳的威脅清單上所包含的 IP 地址調用了 API 操作。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的其他資訊區段中。觀察到的 API 通常與持續性策略相關聯,其中對手已取得您的 Kubernetes 叢集的存取權限,並嘗試維護該存取權限。

修復建議:

如果本KubernetesUserDetails節下發現項目中報告的使用者是system:anonymous,請按照 Amazon EKS 使用者指南中 Amazon EKS 安全性最佳實務中的指示,調查為何允許匿名使用者叫用 API 並撤銷許可 (如有需要)。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

Persistence:Kubernetes/SuccessfulAnonymousAccess

未經驗證的使用者調用常用來取得 Kubernetes 叢集之高層級許可的 API。

預設嚴重性:高

  • 功能:EKS 稽核記錄

此調查結果會通知您,system:anonymous 使用者已成功調用 API 操作。由 system:anonymous 進行的 API 呼叫未經驗證。觀察到的 API 通常與持續性策略相關聯,其中對手已取得您的叢集之存取權限,並嘗試維護該存取權限。此活動表示在調查結果中報告的 API 動作允許匿名或未經驗證的存取,並且可能在其他動作上允許匿名或未經驗證的存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。

修復建議:

您應該檢查已向叢集上 system:anonymous 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱 Amazon EKS 使用者指南中的 Amazon EKS 安全性最佳實務

如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

Persistence:Kubernetes/TorIPCaller

從 Tor 退出節點 IP 地址調用常用來取得 Kubernetes 叢集持續存取權限的 API。

預設嚴重性:中

  • 功能:EKS 稽核記錄

此調查結果會通知您,已從 Tor 退出節點 IP 地址調用 API。觀察到的 API 通常與持續性策略相關聯,其中對手已取得您的 Kubernetes 叢集的存取權限,並嘗試維護該存取權限。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示未經授權存取您的 AWS 資源,意圖隱藏攻擊者的真實身分。

修復建議:

如果本KubernetesUserDetails節下發現項目中報告的使用者是system:anonymous,請按照 Amazon EKS 使用者指南中 Amazon EKS 安全性最佳實務中的指示,調查為何允許匿名使用者叫用 API 並撤銷許可 (如有需要)。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

預設服務帳戶已被授與 Kubernetes 叢集上的管理員權限。

預設嚴重性:高

  • 功能:EKS 稽核記錄

此調查結果會通知您,Kubernetes 叢集中命名空間的預設服務帳戶已被授與管理員權限。Kubernetes 會為叢集中的所有命名空間建立預設服務帳戶。它會自動將預設服務帳戶以身分的形式指派給尚未明確關聯至另一個服務帳戶的 Pod。如果預設服務帳戶具有管理員權限,可能會導致意外地以管理員權限啟動 Pod。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。

修復建議:

您不應使用預設服務帳戶對 Pod 授與許可。相反地,您應該為每個工作負載建立專用服務帳戶,並根據需要對該帳戶授與許可。若要修正此問題,您應該為所有 Pod 和工作負載建立專用服務帳戶,並更新 Pod 和工作負載,以便從預設服務帳戶遷移至其專用帳戶。然後,您應該從預設服務帳戶中移除管理員權限。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

Policy:Kubernetes/AnonymousAccessGranted

system:anonymous 使用者已被授與 Kubernetes 叢集上的 API 許可。

預設嚴重性:高

  • 功能:EKS 稽核記錄

此調查結果會通知您,Kubernetes 叢集上的使用者已成功建立 ClusterRoleBindingRoleBinding,以將使用者 system:anonymous 繫結至角色。這會啟用角色所允許之 API 操作的未經驗證存取權限。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵

修復建議:

您應該檢查已授與叢集上 system:anonymous 使用者或 system:unauthenticated 群組的許可,並撤銷不必要的匿名存取權限。如需詳細資訊,請參閱 Amazon EKS 使用者指南中的 Amazon EKS 安全性最佳實務。如果惡意地授與許可,您應該撤銷已授與許可之使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

Policy:Kubernetes/ExposedDashboard

Kubernetes 叢集的儀表板已公開至網際網路

預設嚴重性:中

  • 功能:EKS 稽核記錄

此調查結果會通知您,叢集的 Kubernetes 儀表板已由負載平衡器服務公開至網際網路。公開的儀表板使叢集的管理界面可從網際網路存取,並允許對手利用任何可能存在的驗證和存取控制差距。

修復建議:

您應該確保在 Kubernetes 儀表板上強制執行強式驗證和授權。您也應該實作網路存取控制,以限制從特定 IP 地址存取儀表板。

如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

Policy:Kubernetes/KubeflowDashboardExposed

Kubernetes 叢集的 Kubeflow 儀表板已向網際網路公開

預設嚴重性:中

  • 功能:EKS 稽核記錄

此調查結果會通知您,叢集的 Kubeflow 儀表板已由負載平衡器服務公開至網際網路。公開的 Kubeflow 儀表板使 Kubeflow 環境的管理界面可從網際網路存取,並允許對手利用任何可能存在的驗證和存取控制差距。

修復建議:

您應該確保在 Kubeflow 儀表板上強制執行強式驗證和授權。您也應該實作網路存取控制,以限制從特定 IP 地址存取儀表板。

如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

PrivilegeEscalation:Kubernetes/PrivilegedContainer

在您的 Kubernetes 叢集上啟動具有根層級存取權限的具有權限容器。

預設嚴重性:中

  • 功能:EKS 稽核記錄

此調查結果會通知您,在 Kubernetes 叢集上使用映像啟動具有權限容器,以前從未被用來啟動叢集中具有權限的容器。具有權限容器有主機的根層級存取權限。對手可以啟動具有特權容器作為特權提升策略,以取得主機的存取權限,然後入侵主機。

修復建議:

如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭入侵。請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed

常用來存取秘密的 Kubernetes API 調用方式異常。

預設嚴重性:中

  • 功能:EKS 稽核記錄

此調查結果會通知您,叢集中的 Kubernetes 使用者調用擷取敏感叢集秘密的異常 API 操作。觀察到的 API 通常與可能導致具有特權提升並在您的叢集中進一步存取的憑證存取策略相關聯。如果沒有預期出現這種行為,可能表示配置錯誤或您的 AWS 憑證遭到入侵。

異常偵測機器學習 (ML) 模型將觀察到的 API 識別為 GuardDuty 異常。ML 模型會評估 EKS 叢集中的所有使用者 API 活動,並識別與未經授權使用者使用的技術相關聯的異常事件。ML 模型追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式,和使用者操作的命名空間。您可以在控制台的查找詳細信息面板中找到異常 API 請求的詳細信 GuardDuty 息。

修復建議:

檢查授與叢集中 Kubernetes 使用者的許可並確保需要這所有許可。如果錯誤或惡意地授與許可,則撤銷使用者的存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

如果您的 AWS 憑證遭到入侵,請參閱修復可能遭到破壞 AWS 的認證

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated

已在 Kubernetes 叢集中建立 RoleBinding 或 ClusterRoleBinding 修改或過於寬鬆的角色或敏感命名空間。

預設嚴重性:中*

注意

此調查結果的預設嚴重性為「中」。但是,如果 RoleBinding或 ClusterRoleBinding 涉及 ClusterRoles admincluster-admin,則嚴重性為「高」。

  • 功能:EKS 稽核記錄

此調查結果會通知您,Kubernetes 叢集中的使用者已建立 RoleBindingClusterRoleBinding,將使用者繫結至具有管理員許可或敏感命名空間的角色。如果沒有預期出現這種行為,可能表示配置錯誤或您的 AWS 憑證遭到入侵。

異常偵測機器學習 (ML) 模型將觀察到的 API 識別為 GuardDuty 異常。ML 模型會評估 EKS 叢集中的所有使用者 API 活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式,和使用者操作的命名空間。您可以在控制台的查找詳細信息面板中找到異常 API 請求的詳細信 GuardDuty 息。

修復建議:

檢查授與 Kubernetes 使用者的許可。這些許可以 RoleBindingClusterRoleBinding 中涉及的角色和主體予以定義。如果錯誤或惡意地授與許可,則撤銷使用者的存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

如果您的 AWS 憑證遭到入侵,請參閱修復可能遭到破壞 AWS 的認證

Execution:Kubernetes/AnomalousBehavior.ExecInPod

Pod 內命令的執行方式異常。

預設嚴重性:中

  • 功能:EKS 稽核記錄

此調查結果會通知您使用 Kubernetes exec API 在 Pod 中執行命令。Kubernetes exec API 允許在 Pod 中執行任意命令。如果使用者、命名空間或網繭未預期出現此行為,則可能表示組態錯誤或您的 AWS 認證遭到入侵。

異常偵測機器學習 (ML) 模型將觀察到的 API 識別為 GuardDuty 異常。ML 模型會評估 EKS 叢集中的所有使用者 API 活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式,和使用者操作的命名空間。您可以在控制台的查找詳細信息面板中找到異常 API 請求的詳細信 GuardDuty 息。

修復建議:

如果未預期執行此命令,用於執行命令的使用者身分憑證可能已遭到入侵。撤銷使用者存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

如果您的 AWS 憑證遭到入侵,請參閱修復可能遭到破壞 AWS 的認證

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

使用具有特權容器,啟動工作負載的方式異常。

預設嚴重性:高

  • 功能:EKS 稽核記錄

此調查結果會通知您,在您的 Amazon EKS 叢集中使用具有特權容器啟動工作負載。具有權限容器有主機的根層級存取權限。未經授權使用者可以啟動具有特權容器作為特權提升策略,先取得主機的存取權限,然後入侵主機。

異常偵測機器學習 (ML) 模型將觀察到的容器建立或修改識別為 GuardDuty 異常狀況。ML 模型會評估 EKS 叢集中的所有使用者 API 和容器映像活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式、在您的帳戶中觀察到的容器映像,和使用者操作的命名空間。您可以在控制台的查找詳細信息面板中找到異常 API 請求的詳細信 GuardDuty 息。

修復建議:

如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭到入侵。撤銷使用者存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

如果您的 AWS 憑證遭到入侵,請參閱修復可能遭到破壞 AWS 的認證

如果此容器啟動為預期的結果,建議您根據 resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix 欄位使用具有篩選條件準則的抑制規則。在篩選條件準則中,imagePrefix 欄位必須具有與調查結果中指定的 imagePrefix 欄位相同的值。如需詳細資訊,請參閱 隱藏規則

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

部署工作負載的方式異常,並在工作負載內部裝載了敏感的主機路徑。

預設嚴重性:高

  • 功能:EKS 稽核記錄

此調查結果會通知您,已透過 volumeMounts 區段中包含敏感主機路徑的容器啟動工作負載。這可能使得敏感的主機路徑可從容器內部存取和寫入。這種技術通常被未經授權使用者用來存取主機的檔案系統。

異常偵測機器學習 (ML) 模型將觀察到的容器建立或修改識別為 GuardDuty 異常狀況。ML 模型會評估 EKS 叢集中的所有使用者 API 和容器映像活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式、在您的帳戶中觀察到的容器映像,和使用者操作的命名空間。您可以在控制台的查找詳細信息面板中找到異常 API 請求的詳細信 GuardDuty 息。

修復建議:

如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭到入侵。撤銷使用者存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

如果您的 AWS 憑證遭到入侵,請參閱修復可能遭到破壞 AWS 的認證

如果此容器啟動為預期的結果,建議您根據 resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix 欄位使用具有篩選條件準則的抑制規則。在篩選條件準則中,imagePrefix 欄位必須具有與調查結果中指定的 imagePrefix 欄位相同的值。如需詳細資訊,請參閱 隱藏規則

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

啟動工作負載的方式異常。

預設嚴重性:低*

注意

預設嚴重性為低。不過,如果工作負載包含潛在可疑的映像名稱 (例如已知的滲透測試工具),或是在啟動時執行潛在可疑命令的容器 (例如反向 Shell 命令),則此調查結果類型的嚴重性將被視為「中」。

  • 功能:EKS 稽核記錄

此調查結果會通知您建立或修改 Kubernetes 工作負載的方式異常,例如 Amazon EKS 叢集中的 API 活動、新容器映像或有風險的工作負載組態。未經授權使用者可以啟動容器作為執行任意程式碼的策略,先取得主機的存取權限,然後入侵主機。

異常偵測機器學習 (ML) 模型將觀察到的容器建立或修改識別為 GuardDuty 異常狀況。ML 模型會評估 EKS 叢集中的所有使用者 API 和容器映像活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式、在您的帳戶中觀察到的容器映像,和使用者操作的命名空間。您可以在控制台的查找詳細信息面板中找到異常 API 請求的詳細信 GuardDuty 息。

修復建議:

如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭到入侵。撤銷使用者存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

如果您的 AWS 憑證遭到入侵,請參閱修復可能遭到破壞 AWS 的認證

如果此容器啟動為預期的結果,建議您根據 resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix 欄位使用具有篩選條件準則的抑制規則。在篩選條件準則中,imagePrefix 欄位必須具有與調查結果中指定的 imagePrefix 欄位相同的值。如需詳細資訊,請參閱 隱藏規則

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

高度寬鬆的角色,或 ClusterRole 以異常方式創建或修改。

預設嚴重性:低

  • 功能:EKS 稽核記錄

此調查結果會通知您,Amazon EKS 叢集中的 Kubernetes 使用者呼叫建立具有過多許可之 RoleClusterRole 的異常 API 操作。行動者可以使用具有強大許可的角色建立,以避免使用內建管理員式角色並避免偵測。過多的許可,可能會導致具有特權提升、遠端程式碼執行,以及可能控制命名空間或叢集。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。

異常偵測機器學習 (ML) 模型將觀察到的 API 識別為 GuardDuty 異常。ML 模型會評估 Amazon EKS 叢集中的所有使用者 API 活動,並識別與未經授權使用者使用的技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式、在您的帳戶中觀察到的容器映像,和使用者操作的命名空間。您可以在控制台的查找詳細信息面板中找到異常 API 請求的詳細信 GuardDuty 息。

修復建議:

檢查 RoleClusterRole 中定義的權限,以確保需要所有權限,並遵循最低權限政策。如果錯誤或惡意地授與許可,則撤銷使用者的存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

如果您的 AWS 憑證遭到入侵,請參閱修復可能遭到破壞 AWS 的認證

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

使用者檢查其存取許可的方式異常。

預設嚴重性:低

  • 功能:EKS 稽核記錄

此調查結果會通知您,Kubernetes 叢集中的使用者已成功檢查是否允許可導致具有權限提升和遠端程式碼執行的已知強大許可。例如,用來檢查使用者許可的常用命令為 kubectl auth can-i。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。

異常偵測機器學習 (ML) 模型將觀察到的 API 識別為 GuardDuty 異常。ML 模型會評估 Amazon EKS 叢集中的所有使用者 API 活動,並識別與未經授權使用者使用的技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、檢查的許可,和使用者操作的命名空間。您可以在控制台的查找詳細信息面板中找到異常 API 請求的詳細信 GuardDuty 息。

修復建議:

檢查授與 Kubernetes 使用者的許可,以確保需要所有許可。如果錯誤或惡意地授與許可,則撤銷使用者的存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱 修復 EKS 稽核日誌監控調查結果

如果您的 AWS 憑證遭到入侵,請參閱修復可能遭到破壞 AWS 的認證