Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
EKSArten der Suche nach Schutzmaßnahmen
Die folgenden Ergebnisse beziehen sich spezifisch auf EKS Amazon-Ressourcen und haben einen resource_type von. EKSCluster
Der Schweregrad und die Details der Erkenntnisse unterscheiden sich je nach Erkenntnistyp.
Für alle Ergebnisse vom Typ EKS Audit-Logs empfehlen wir, dass Sie die betreffende Ressource untersuchen, um festzustellen, ob es sich bei der Aktivität um erwartete oder potenziell bösartige Aktivitäten handelt. Hinweise zur Behebung einer gefährdeten EKS Auditprotokollressource, die durch einen GuardDuty Befund identifiziert wurde, finden Sie unter. Behebung von EKS Schutzfeststellungen
Anmerkung
Wenn die Aktivität, aufgrund derer diese Erkenntnisse generiert werden, erwartet wird, sollten Sie erwägen, Unterdrückungsregeln in GuardDuty sie hinzuzufügen, um zukünftige Benachrichtigungen zu verhindern.
Themen
- CredentialAccess:Kubernetes/MaliciousIPCaller
- CredentialAccess:Kubernetes/MaliciousIPCaller.Custom
- CredentialAccess:Kubernetes/SuccessfulAnonymousAccess
- CredentialAccess:Kubernetes/TorIPCaller
- DefenseEvasion:Kubernetes/MaliciousIPCaller
- DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom
- DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess
- DefenseEvasion:Kubernetes/TorIPCaller
- Discovery:Kubernetes/MaliciousIPCaller
- Discovery:Kubernetes/MaliciousIPCaller.Custom
- Discovery:Kubernetes/SuccessfulAnonymousAccess
- Discovery:Kubernetes/TorIPCaller
- Execution:Kubernetes/ExecInKubeSystemPod
- Impact:Kubernetes/MaliciousIPCaller
- Impact:Kubernetes/MaliciousIPCaller.Custom
- Impact:Kubernetes/SuccessfulAnonymousAccess
- Impact:Kubernetes/TorIPCaller
- Persistence:Kubernetes/ContainerWithSensitiveMount
- Persistence:Kubernetes/MaliciousIPCaller
- Persistence:Kubernetes/MaliciousIPCaller.Custom
- Persistence:Kubernetes/SuccessfulAnonymousAccess
- Persistence:Kubernetes/TorIPCaller
- Policy:Kubernetes/AdminAccessToDefaultServiceAccount
- Policy:Kubernetes/AnonymousAccessGranted
- Policy:Kubernetes/ExposedDashboard
- Policy:Kubernetes/KubeflowDashboardExposed
- PrivilegeEscalation:Kubernetes/PrivilegedContainer
- CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed
- PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated
- Execution:Kubernetes/AnomalousBehavior.ExecInPod
- PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer
- Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount
- Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed
- PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated
- Discovery:Kubernetes/AnomalousBehavior.PermissionChecked
Anmerkung
Vor Kubernetes Version 1.14 war die system:unauthenticated
Gruppe standardmäßig mit und verknüpft. system:discovery
system:basic-user
ClusterRoles Diese Zuordnung kann unbeabsichtigten Zugriff durch anonyme Benutzer ermöglichen. Durch Cluster-Updates werden diese Berechtigungen nicht aufgehoben. Auch wenn Sie Ihren Cluster auf Version 1.14 oder höher aktualisiert haben, sind diese Berechtigungen möglicherweise weiterhin aktiviert. Wir empfehlen, dass Sie die Zuordnung dieser Berechtigungen zu der system:unauthenticated
-Gruppe aufheben. Hinweise zum Widerruf dieser Berechtigungen finden Sie unter Bewährte Sicherheitsmethoden für Amazon EKS im EKSAmazon-Benutzerhandbuch.
CredentialAccess:Kubernetes/MaliciousIPCaller
Eine API häufig für den Zugriff auf Anmeldeinformationen oder geheime Daten in einem Kubernetes-Cluster verwendete Methode wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.
Standard-Schweregrad: Hoch
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert Sie darüber, dass ein API Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Das API beobachtete Phänomen wird häufig mit Taktiken für den Zugriff auf Anmeldeinformationen in Verbindung gebracht, bei denen ein Angreifer versucht, Passwörter, Benutzernamen und Zugriffsschlüssel für Ihren Kubernetes-Cluster zu sammeln.
Empfehlungen zur Abhilfe:
Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails
Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous
, untersuchen Sie, warum der anonyme Benutzer die Berechtigungen aufrufen API und gegebenenfalls widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im EKS Amazon-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
CredentialAccess:Kubernetes/MaliciousIPCaller.Custom
Ein API häufig für den Zugriff auf Anmeldeinformationen oder Geheimnisse in einem Kubernetes-Cluster verwendeter Code wurde über eine IP-Adresse auf einer benutzerdefinierten Bedrohungsliste aufgerufen.
Standard-Schweregrad: Hoch
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert Sie darüber, dass ein API Vorgang von einer IP-Adresse aus aufgerufen wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt Zusätzliche Informationen der Details zu einer Erkenntnis aufgeführt. Das API beobachtete Phänomen wird häufig mit Taktiken für den Zugriff auf Anmeldeinformationen in Verbindung gebracht, bei der ein Angreifer versucht, Passwörter, Benutzernamen und Zugriffsschlüssel für Ihren Kubernetes-Cluster zu sammeln.
Empfehlungen zur Abhilfe:
Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails
Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous
, untersuchen Sie, warum der anonyme Benutzer die API und aufrufen durfte, und widerrufen Sie die Berechtigungen, falls erforderlich, indem Sie die Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im EKS Amazon-Benutzerhandbuch befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
CredentialAccess:Kubernetes/SuccessfulAnonymousAccess
Ein API häufig für den Zugriff auf Anmeldeinformationen oder Geheimnisse in einem Kubernetes-Cluster verwendetes Verfahren wurde von einem nicht authentifizierten Benutzer aufgerufen.
Standard-Schweregrad: Hoch
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert Sie darüber, dass ein API Vorgang vom system:anonymous
Benutzer erfolgreich aufgerufen wurde. APIAnrufe von system:anonymous
sind nicht authentifiziert. Das beobachtete API Phänomen wird häufig mit Taktiken für den Zugriff auf Anmeldeinformationen in Verbindung gebracht, bei der ein Angreifer versucht, Passwörter, Benutzernamen und Zugriffsschlüssel für Ihren Kubernetes-Cluster zu sammeln. Diese Aktivität weist darauf hin, dass anonymer oder nicht authentifizierter Zugriff auf die im Ergebnis gemeldete API Aktion zulässig ist und bei anderen Aktionen möglicherweise zulässig ist. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden.
Empfehlungen zur Abhilfe:
Sie sollten die Berechtigungen überprüfen, die dem system:anonymous
-Benutzer in Ihrem Cluster gewährt wurden, und sicherstellen, dass alle Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Amazon EKS im EKSAmazon-Benutzerhandbuch.
Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
CredentialAccess:Kubernetes/TorIPCaller
Ein API häufig für den Zugriff auf Anmeldeinformationen oder Geheimnisse in einem Kubernetes-Cluster verwendeter Code wurde von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen.
Standard-Schweregrad: Hoch
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert dich darüber, dass eine von der IP-Adresse eines Tor-Ausgangsknotens aus aufgerufen API wurde. Das API beobachtete Phänomen wird häufig mit Taktiken für den Zugriff auf Anmeldeinformationen in Verbindung gebracht, bei der ein Angreifer versucht, Passwörter, Benutzernamen und Zugriffsschlüssel für deinen Kubernetes-Cluster zu sammeln. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf die Kubernetes-Cluster-Ressourcen hinweisen, mit dem Ziel, die wahre Identität des Angreifers zu verbergen.
Empfehlungen zur Abhilfe:
Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails
Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous
, untersuchen Sie, warum der anonyme Benutzer die Berechtigungen aufrufen API und gegebenenfalls widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im EKS Amazon-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
DefenseEvasion:Kubernetes/MaliciousIPCaller
Eine API häufig zur Umgehung von Abwehrmaßnahmen verwendete Methode wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.
Standard-Schweregrad: Hoch
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert Sie darüber, dass ein API Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Das API beobachtete Phänomen wird häufig mit Umgehungstaktiken in Verbindung gebracht, bei denen ein Gegner versucht, seine Aktionen zu verbergen, um nicht entdeckt zu werden.
Empfehlungen zur Abhilfe:
Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails
Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous
, untersuchen Sie, warum der anonyme Benutzer die Berechtigungen aufrufen API und gegebenenfalls widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im EKS Amazon-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom
Eine API häufig zur Umgehung von Abwehrmaßnahmen verwendete Methode wurde von einer IP-Adresse aus aufgerufen, die auf einer benutzerdefinierten Bedrohungsliste steht.
Standard-Schweregrad: Hoch
-
Funktion: EKS Audit-Protokolle
Dieses Ergebnis informiert Sie darüber, dass ein API Vorgang von einer IP-Adresse aus aufgerufen wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt Zusätzliche Informationen der Details zu einer Erkenntnis aufgeführt. Das API beobachtete Phänomen wird häufig mit Umgehungstaktiken in Verbindung gebracht, bei denen ein Gegner versucht, seine Aktionen zu verbergen, um nicht entdeckt zu werden.
Empfehlungen zur Abhilfe:
Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails
Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous
, untersuchen Sie, warum der anonyme Benutzer die Berechtigungen aufrufen API und gegebenenfalls widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im EKS Amazon-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess
Eine API häufig zur Umgehung von Abwehrmaßnahmen verwendete Methode wurde von einem nicht authentifizierten Benutzer aufgerufen.
Standard-Schweregrad: Hoch
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert Sie darüber, dass ein API Vorgang vom system:anonymous
Benutzer erfolgreich aufgerufen wurde. APIAnrufe von system:anonymous
sind nicht authentifiziert. Das beobachtete Phänomen API wird häufig mit Umgehungstaktiken in Verbindung gebracht, bei denen ein Gegner versucht, seine Aktionen zu verbergen, um nicht entdeckt zu werden. Diese Aktivität weist darauf hin, dass anonymer oder nicht authentifizierter Zugriff auf die im Ergebnis gemeldete API Aktion zulässig ist und bei anderen Aktionen möglicherweise zulässig ist. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden.
Empfehlungen zur Abhilfe:
Sie sollten die Berechtigungen überprüfen, die dem system:anonymous
-Benutzer in Ihrem Cluster gewährt wurden, und sicherstellen, dass alle Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Amazon EKS im EKSAmazon-Benutzerhandbuch.
Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
DefenseEvasion:Kubernetes/TorIPCaller
Eine API häufig verwendete Methode, um Abwehrmaßnahmen zu umgehen, wurde von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen.
Standard-Schweregrad: Hoch
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert dich darüber, dass eine von der IP-Adresse eines Tor-Ausgangsknotens aus aufgerufen API wurde. Das API beobachtete Phänomen wird häufig mit Umgehungstaktiken in Verbindung gebracht, bei denen ein Gegner versucht, seine Aktionen zu verbergen, um nicht entdeckt zu werden. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf Ihren Kubernetes-Cluster hinweisen, der das Ziel hat, die wahre Identität des Angreifers zu verbergen.
Empfehlungen zur Abhilfe:
Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails
Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous
, untersuchen Sie, warum der anonyme Benutzer die Berechtigungen aufrufen API und gegebenenfalls widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im EKS Amazon-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Discovery:Kubernetes/MaliciousIPCaller
Ein API häufig zur Erkennung von Ressourcen in einem Kubernetes-Cluster verwendetes Programm wurde von einer IP-Adresse aus aufgerufen.
Standard-Schweregrad: Mittel
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert Sie darüber, dass ein API Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Der beobachtete API Wert wird häufig in der Erkennungsphase eines Angriffs verwendet, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihr Kubernetes-Cluster für einen umfassenderen Angriff anfällig ist.
Für nicht authentifizierten Zugriff
MaliciousIPCaller Für einen nicht authentifizierten Zugriff werden keine Ergebnisse generiert.
SuccessfulAnonymousAccess Ergebnisse werden für einen nicht authentifizierten oder anonymen Zugriff generiert.
Empfehlungen zur Abhilfe:
Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails
Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous
, untersuchen Sie, warum der anonyme Benutzer die Berechtigungen aufrufen API und gegebenenfalls widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im EKS Amazon-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Discovery:Kubernetes/MaliciousIPCaller.Custom
Ein API häufig zur Erkennung von Ressourcen in einem Kubernetes-Cluster verwendetes Programm wurde von einer IP-Adresse auf einer benutzerdefinierten Bedrohungsliste aufgerufen.
Standard-Schweregrad: Mittel
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert Sie darüber, dass ein von einer IP-Adresse aus aufgerufen API wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt Zusätzliche Informationen der Details zu einer Erkenntnis aufgeführt. Das beobachtete API Ergebnis wird häufig in der Erkennungsphase eines Angriffs verwendet, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihr Kubernetes-Cluster für einen umfassenderen Angriff anfällig ist.
Empfehlungen zur Abhilfe:
Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails
Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous
, untersuchen Sie, warum der anonyme Benutzer die Berechtigungen aufrufen API und gegebenenfalls widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im EKS Amazon-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Discovery:Kubernetes/SuccessfulAnonymousAccess
Ein API häufig zum Auffinden von Ressourcen in einem Kubernetes-Cluster verwendeter Vorgang wurde von einem nicht authentifizierten Benutzer aufgerufen.
Standard-Schweregrad: Mittel
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert Sie darüber, dass ein API Vorgang vom system:anonymous
Benutzer erfolgreich aufgerufen wurde. APIAnrufe von system:anonymous
sind nicht authentifiziert. Das beobachtete API Phänomen wird häufig mit der Erkennungsphase eines Angriffs in Verbindung gebracht, in der ein Angreifer Informationen über Ihren Kubernetes-Cluster sammelt. Diese Aktivität weist darauf hin, dass anonymer oder nicht authentifizierter Zugriff auf die im Ergebnis gemeldete API Aktion zulässig ist und bei anderen Aktionen möglicherweise zulässig ist. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden.
Dieser Befundtyp schließt die API Endpunkte der Integritätsprüfung wie/healthz
,, und /livez
aus. /readyz
/version
Empfehlungen zur Abhilfe:
Sie sollten die Berechtigungen überprüfen, die dem system:anonymous
-Benutzer in Ihrem Cluster gewährt wurden, und sicherstellen, dass alle Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Amazon EKS im EKSAmazon-Benutzerhandbuch.
Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Discovery:Kubernetes/TorIPCaller
Ein API häufig zur Erkennung von Ressourcen in einem Kubernetes-Cluster verwendetes Programm wurde von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen.
Standard-Schweregrad: Mittel
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert dich darüber, dass eine von der IP-Adresse eines Tor-Ausgangsknotens aus aufgerufen API wurde. Das beobachtete API Ergebnis wird häufig in der Erkennungsphase eines Angriffs verwendet, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihr Kubernetes-Cluster für einen umfassenderen Angriff anfällig ist. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf Ihren Kubernetes-Cluster hinweisen, der das Ziel hat, die wahre Identität des Angreifers zu verbergen.
Empfehlungen zur Abhilfe:
Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails
Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous
, untersuchen Sie, warum der anonyme Benutzer bei Bedarf den APIand Widerruf der Berechtigungen aufrufen durfte, indem Sie die Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im EKS Amazon-Benutzerhandbuch befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Execution:Kubernetes/ExecInKubeSystemPod
Ein Befehl wurde in einem Pod innerhalb des kube-system
-Namespace ausgeführt
Standard-Schweregrad: Mittel
-
Funktion: EKS Audit-Logs
Dieses Ergebnis informiert Sie darüber, dass ein Befehl in einem Pod innerhalb des kube-system
Namespace mithilfe von Kubernetes Exec ausgeführt wurde. API kube-system
Namespace ist ein Standard-Namespaces, der hauptsächlich für Komponenten auf Systemebene wie und verwendet wird. kube-dns
kube-proxy
Es ist sehr ungewöhnlich, Befehle innerhalb von Pods oder Containern unter einem kube-system
-Namespace auszuführen, was auf verdächtige Aktivitäten hinweisen kann.
Empfehlungen zur Abhilfe:
Wenn die Ausführung dieses Befehls unerwartet erfolgt, können die Anmeldeinformationen der Benutzeridentität, die zur Ausführung des Befehls verwendet wurde, kompromittiert sein. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Impact:Kubernetes/MaliciousIPCaller
Ein API häufig zur Manipulation von Ressourcen in einem Kubernetes-Cluster verwendeter Code wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.
Standard-Schweregrad: Hoch
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert Sie darüber, dass ein API Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Das beobachtete API Phänomen wird häufig mit Einschlagstaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, Daten in Ihrer Umgebung zu manipulieren, zu unterbrechen oder zu zerstören. AWS
Empfehlungen zur Abhilfe:
Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails
Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous
, untersuchen Sie, warum der anonyme Benutzer die Berechtigungen aufrufen API und gegebenenfalls widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im EKS Amazon-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Impact:Kubernetes/MaliciousIPCaller.Custom
Ein API häufig zur Manipulation von Ressourcen in einem Kubernetes-Cluster verwendetes Programm wurde von einer IP-Adresse auf einer benutzerdefinierten Bedrohungsliste aufgerufen.
Standard-Schweregrad: Hoch
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert Sie darüber, dass ein API Vorgang von einer IP-Adresse aus aufgerufen wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt Zusätzliche Informationen der Details zu einer Erkenntnis aufgeführt. Das beobachtete API Phänomen wird häufig mit Einschlagstaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, Daten in Ihrer Umgebung zu manipulieren, zu unterbrechen oder zu zerstören. AWS
Empfehlungen zur Abhilfe:
Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails
Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous
, untersuchen Sie, warum der anonyme Benutzer die Berechtigungen aufrufen API und gegebenenfalls widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im EKS Amazon-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Impact:Kubernetes/SuccessfulAnonymousAccess
Ein API häufig zur Manipulation von Ressourcen in einem Kubernetes-Cluster verwendetes Verfahren wurde von einem nicht authentifizierten Benutzer aufgerufen.
Standard-Schweregrad: Hoch
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert Sie darüber, dass ein API Vorgang vom system:anonymous
Benutzer erfolgreich aufgerufen wurde. APIAnrufe von system:anonymous
sind nicht authentifiziert. Das beobachtete API Phänomen wird häufig mit der Auswirkungsphase eines Angriffs in Verbindung gebracht, wenn ein Angreifer Ressourcen in Ihrem Cluster manipuliert. Diese Aktivität weist darauf hin, dass anonymer oder nicht authentifizierter Zugriff auf die im Ergebnis gemeldete API Aktion zulässig ist und bei anderen Aktionen möglicherweise zulässig ist. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden.
Empfehlungen zur Abhilfe:
Sie sollten die Berechtigungen überprüfen, die dem system:anonymous
-Benutzer in Ihrem Cluster gewährt wurden, und sicherstellen, dass alle Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Amazon EKS im EKSAmazon-Benutzerhandbuch.
Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Impact:Kubernetes/TorIPCaller
Ein API häufig verwendetes Tool, um Ressourcen in einem Kubernetes-Cluster zu manipulieren, wurde von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen.
Standard-Schweregrad: Hoch
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert dich darüber, dass eine von der IP-Adresse eines Tor-Ausgangsknotens aus aufgerufen API wurde. Das API beobachtete Phänomen wird häufig mit Einschlagstaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, Daten in Ihrer Umgebung zu manipulieren, zu unterbrechen oder zu zerstören. AWS Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf Ihren Kubernetes-Cluster hinweisen, der das Ziel hat, die wahre Identität des Angreifers zu verbergen.
Empfehlungen zur Abhilfe:
Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails
Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous
, untersuchen Sie, warum der anonyme Benutzer die Berechtigungen aufrufen API und gegebenenfalls widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im EKS Amazon-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Persistence:Kubernetes/ContainerWithSensitiveMount
Ein Container wurde gestartet, in dem ein sensibler externer Host-Pfad eingehängt war.
Standard-Schweregrad: Mittel
-
Funktion: EKS Prüfprotokolle
Diese Erkenntnis informiert Sie darüber, dass ein Container mit einer Konfiguration gestartet wurde, die im Abschnitt volumeMounts
einen sensiblen Host-Pfad mit Schreibzugriff enthielt. Dadurch ist der sensible Host-Pfad vom Container aus zugänglich und beschreibbar. Diese Technik wird häufig von Gegnern verwendet, um Zugriff auf das Dateisystem des Hosts zu erhalten.
Empfehlungen zur Abhilfe:
Wenn dieser Container-Start unerwartet erfolgt, können die Anmeldeinformationen der Benutzeridentität, die zum Starten des Containers verwendet wurde, kompromittiert sein. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Wenn dieser Container-Start erwartet wird, wird empfohlen, eine Unterdrückungsregel zu verwenden, die aus Filterkriterien besteht, die auf dem Feld resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix
basieren. In den Filterkriterien sollte das imagePrefix
-Feld dem in der Erkenntnis angegebenen Feld imagePrefix
entsprechen. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln.
Persistence:Kubernetes/MaliciousIPCaller
Ein API häufig verwendetes, um dauerhaften Zugriff auf einen Kubernetes-Cluster zu erhalten, wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.
Standard-Schweregrad: Mittel
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert Sie darüber, dass ein API Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Das API beobachtete Phänomen wird häufig mit Persistenztaktiken in Verbindung gebracht, bei denen sich ein Angreifer Zugriff auf Ihren Kubernetes-Cluster verschafft hat und versucht, diesen Zugriff aufrechtzuerhalten.
Empfehlungen zur Abhilfe:
Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails
Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous
, untersuchen Sie, warum der anonyme Benutzer die Berechtigungen aufrufen API und gegebenenfalls widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im EKS Amazon-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Persistence:Kubernetes/MaliciousIPCaller.Custom
Ein API häufig verwendetes Verfahren, um dauerhaften Zugriff auf einen Kubernetes-Cluster zu erhalten, wurde von einer IP-Adresse aus auf einer benutzerdefinierten Bedrohungsliste aufgerufen.
Standard-Schweregrad: Mittel
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert Sie darüber, dass ein API Vorgang von einer IP-Adresse aus aufgerufen wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt Zusätzliche Informationen der Details zu einer Erkenntnis aufgeführt. Das API beobachtete Phänomen wird häufig mit Persistenztaktiken in Verbindung gebracht, bei denen sich ein Angreifer Zugriff auf Ihren Kubernetes-Cluster verschafft hat und versucht, diesen Zugriff aufrechtzuerhalten.
Empfehlungen zur Abhilfe:
Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails
Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous
, untersuchen Sie, warum der anonyme Benutzer die Berechtigungen aufrufen API und gegebenenfalls widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im EKS Amazon-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Persistence:Kubernetes/SuccessfulAnonymousAccess
Ein API häufig verwendetes Verfahren, um allgemeine Berechtigungen für einen Kubernetes-Cluster zu erhalten, wurde von einem nicht authentifizierten Benutzer aufgerufen.
Standard-Schweregrad: Hoch
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert Sie darüber, dass ein API Vorgang vom system:anonymous
Benutzer erfolgreich aufgerufen wurde. APIAnrufe von system:anonymous
sind nicht authentifiziert. Das beobachtete API Phänomen wird häufig mit Persistenztaktiken in Verbindung gebracht, bei denen sich ein Angreifer Zugriff auf Ihren Cluster verschafft hat und versucht, diesen Zugriff aufrechtzuerhalten. Diese Aktivität weist darauf hin, dass anonymer oder nicht authentifizierter Zugriff auf die im Ergebnis gemeldete API Aktion zulässig ist und bei anderen Aktionen möglicherweise zulässig ist. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden.
Empfehlungen zur Abhilfe:
Sie sollten die Berechtigungen überprüfen, die dem system:anonymous
-Benutzer in Ihrem Cluster gewährt wurden, und sicherstellen, dass alle Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Amazon EKS im EKSAmazon-Benutzerhandbuch.
Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Persistence:Kubernetes/TorIPCaller
Ein API häufig verwendetes Verfahren, um dauerhaften Zugriff auf einen Kubernetes-Cluster zu erhalten, wurde von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen.
Standard-Schweregrad: Mittel
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert dich darüber, dass eine von der IP-Adresse eines Tor-Ausgangsknotens aus aufgerufen API wurde. Das API beobachtete Phänomen wird häufig mit Persistenztaktiken in Verbindung gebracht, bei denen sich ein Angreifer Zugriff auf Ihren Kubernetes-Cluster verschafft hat und versucht, diesen Zugriff aufrechtzuerhalten. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, mit der Absicht, die wahre Identität des Angreifers zu verbergen.
Empfehlungen zur Abhilfe:
Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails
Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous
, untersuchen Sie, warum der anonyme Benutzer die Berechtigungen aufrufen API und gegebenenfalls widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im EKS Amazon-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Policy:Kubernetes/AdminAccessToDefaultServiceAccount
Dem Standard-Servicekonto wurden Administratorrechte auf einem Kubernetes-Cluster gewährt.
Standard-Schweregrad: Hoch
-
Funktion: EKS Prüfprotokolle
Diese Erkenntnis informiert Sie darüber, dass dem Standard-Servicekonto für einen Namespace in Ihrem Kubernetes-Cluster Administratorrechte gewährt wurden. Kubernetes erstellt ein Standard-Servicekonto für alle Namespaces im Cluster. Es weist Pods, die nicht explizit einem anderen Servicekonto zugeordnet wurden, automatisch das Standard-Servicekonto als Identität zu. Wenn das Standard-Servicekonto über Administratorrechte verfügt, kann dies dazu führen, dass Pods unbeabsichtigt mit Administratorrechten gestartet werden. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden.
Empfehlungen zur Abhilfe:
Sie sollten nicht das Standard-Servicekonto verwenden, um Pods Berechtigungen zu erteilen. Stattdessen sollten Sie für jeden Workload ein eigenes Servicekonto erstellen und diesem Konto je nach Bedarf Berechtigungen erteilen. Um dieses Problem zu beheben, sollten Sie spezielle Servicekonten für all Ihre Pods und Workloads erstellen und die Pods und Workloads aktualisieren, um vom Standard-Servicekonto zu ihren dedizierten Konten zu migrieren. Anschließend sollten Sie die Administratorberechtigung aus dem Standard-Servicekonto entfernen. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Policy:Kubernetes/AnonymousAccessGranted
Dem system:anonymous
Benutzer wurde die API Berechtigung für einen Kubernetes-Cluster erteilt.
Standard-Schweregrad: Hoch
-
Funktion: Audit-Logs EKS
Diese Erkenntnis informiert Sie darüber, dass ein Benutzer in Ihrem Kubernetes-Cluster erfolgreich ein ClusterRoleBinding
oder RoleBinding
erstellt hat, um den Benutzer system:anonymous
an eine Rolle zu binden. Dies ermöglicht einen nicht authentifizierten Zugriff auf die von der Rolle zugelassenen API Operationen. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden.
Empfehlungen zur Abhilfe:
Sie sollten die Berechtigungen überprüfen, die dem system:anonymous
-Benutzer oder der system:unauthenticated
-Gruppe in Ihrem Cluster gewährt wurden, und unnötigen anonymen Zugriff widerrufen. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Amazon EKS im EKSAmazon-Benutzerhandbuch. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Policy:Kubernetes/ExposedDashboard
Das Dashboard für einen Kubernetes-Cluster war im Internet verfügbar
Standard-Schweregrad: Mittel
-
Funktion: EKS Audit-Logs
Diese Erkenntnis informiert Sie darüber, dass das Kubernetes-Dashboard für Ihren Cluster über einen Load Balancer-Service dem Internet zugänglich gemacht wurde. Ein offengelegtes Dashboard ermöglicht den Zugriff auf die Verwaltungsoberfläche Ihres Clusters über das Internet und ermöglicht es Gegnern, eventuell vorhandene Lücken in der Authentifizierungs- und Zugriffssteuerung auszunutzen.
Empfehlungen zur Abhilfe:
Sie sollten sicherstellen, dass im Kubernetes-Dashboard eine starke Authentifizierung und Autorisierung durchgesetzt wird. Sie sollten auch eine Netzwerk-Zugriffssteuerung implementieren, um den Zugriff auf das Dashboard von bestimmten IP-Adressen aus zu beschränken.
Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Policy:Kubernetes/KubeflowDashboardExposed
Das Kubeflow-Dashboard für einen Kubernetes-Cluster war im Internet verfügbar
Standard-Schweregrad: Mittel
-
Funktion: EKS Audit-Logs
Diese Erkenntnis informiert Sie darüber, dass das Kubeflow-Dashboard für Ihren Cluster über einen Load Balancer-Service dem Internet zugänglich gemacht wurde. Ein offengelegtes Kubeflow-Dashboard ermöglicht den Zugriff auf die Verwaltungsoberfläche Ihrer Kubeflow-Umgebung über das Internet und ermöglicht es Gegnern, eventuell vorhandene Lücken in der Authentifizierung und Zugriffssteuerung auszunutzen.
Empfehlungen zur Abhilfe:
Sie sollten sicherstellen, dass im Kubeflow-Dashboard eine starke Authentifizierung und Autorisierung durchgesetzt wird. Sie sollten auch eine Netzwerk-Zugriffssteuerung implementieren, um den Zugriff auf das Dashboard von bestimmten IP-Adressen aus zu beschränken.
Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
PrivilegeEscalation:Kubernetes/PrivilegedContainer
Ein privilegierter Container mit Zugriff auf Root-Ebene wurde auf Ihrem Kubernetes-Cluster gestartet.
Standard-Schweregrad: Mittel
-
Funktion: EKS Audit-Logs
Diese Erkenntnis informiert Sie darüber, dass ein privilegierter Container, der auf Ihrem Kubernetes-Cluster mithilfe eines Images gestartet wurde, das noch nie zuvor verwendet wurde, um privilegierte Container in Ihrem Cluster zu starten. Ein privilegierter Container hat Zugriff auf Root-Ebene auf den Host. Angreifer können als Taktik zur Erweiterung ihrer Rechte privilegierte Container starten, um sich Zugriff auf den Host zu verschaffen und ihn dann zu kompromittieren.
Empfehlungen zur Abhilfe:
Wenn dieser Container-Start unerwartet erfolgt, können die Anmeldeinformationen der Benutzeridentität, die zum Starten des Containers verwendet wurde, kompromittiert sein. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed
Ein Kubernetes, das API üblicherweise für den Zugriff auf Geheimnisse verwendet wird, wurde auf ungewöhnliche Weise aufgerufen.
Standard-Schweregrad: Mittel
-
FunktionEKS: Audit-Logs
Dieses Ergebnis informiert Sie darüber, dass ein Kubernetes-Benutzer in Ihrem Cluster eine ungewöhnliche API Operation zum Abrufen vertraulicher Clustergeheimnisse aufgerufen hat. Das beobachtete Phänomen API wird häufig mit Taktiken für den Zugriff auf Anmeldeinformationen in Verbindung gebracht, die zu einer privilegierten Eskalation und weiterem Zugriff innerhalb Ihres Clusters führen können. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre AWS -Anmeldeinformationen kompromittiert wurden.
Das beobachtete Phänomen API wurde im Rahmen des maschinellen Lernens (ML) zur Erkennung von GuardDuty Anomalien als anomal eingestuft. Das ML-Modell bewertet alle API Benutzeraktivitäten innerhalb Ihres EKS Clusters und identifiziert ungewöhnliche Ereignisse, die auf Techniken zurückzuführen sind, die von nicht autorisierten Benutzern verwendet werden. Das ML-Modell verfolgt mehrere Faktoren des API Vorgangs, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API Anfrage finden Sie im Bereich mit den Suchdetails in der GuardDuty Konsole.
Empfehlungen zur Abhilfe:
Sie sollten die Berechtigungen überprüfen, die dem Kubernetes-Benutzer in Ihrem Cluster gewährt wurden, und sicherstellen, dass all diese Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Falls Ihre AWS Anmeldeinformationen kompromittiert wurden, finden Sie weitere Informationen unterBehebung potenziell AWS kompromittierter Anmeldedaten.
PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated
In Ihrem RoleBinding ClusterRoleBinding Kubernetes-Cluster wurde ein oder für eine übermäßig freizügige Rolle oder einen sensiblen Namespace erstellt oder geändert.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn ein RoleBinding oder jedoch das Oder ClusterRoleBinding beinhaltet, ist der Schweregrad Hoch ClusterRoles admin
. cluster-admin
-
Funktion: EKS Audit-Logs
Diese Erkenntnis informiert Sie darüber, dass ein Benutzer in Ihrem Kubernetes-Cluster ein RoleBinding
oder ClusterRoleBinding
erstellt hat, um einen Benutzer an eine Rolle mit Administratorberechtigungen oder sensiblen Namespaces zu binden. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre AWS
-Anmeldeinformationen kompromittiert wurden.
Das beobachtete API Objekt wurde durch das Modell des maschinellen Lernens (ML) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle API Benutzeraktivitäten innerhalb Ihres Clusters. EKS Dieses ML-Modell identifiziert auch ungewöhnliche Ereignisse, die mit den von einem nicht autorisierten Benutzer verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt auch mehrere Faktoren des API Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API Anfrage finden Sie im Bereich mit den Suchdetails in der GuardDuty Konsole.
Empfehlungen zur Abhilfe:
Untersuchen Sie die dem Kubernetes-Benutzer erteilten Berechtigungen. Diese Berechtigungen sind in der Rolle und den beteiligten Subjekten in RoleBinding
und ClusterRoleBinding
definiert. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Falls Ihre AWS Anmeldeinformationen kompromittiert wurden, finden Sie weitere Informationen unterBehebung potenziell AWS kompromittierter Anmeldedaten.
Execution:Kubernetes/AnomalousBehavior.ExecInPod
Ein Befehl wurde in einem Pod auf ungewöhnliche Weise ausgeführt.
Standard-Schweregrad: Mittel
-
Funktion: EKS Audit-Logs
Dieses Ergebnis informiert Sie darüber, dass ein Befehl in einem Pod mithilfe von Kubernetes Exec ausgeführt wurde. API Der Kubernetes Exec API ermöglicht die Ausführung beliebiger Befehle in einem Pod. Wenn dieses Verhalten für den Benutzer, den Namespace oder den Pod nicht erwartet wird, kann dies entweder auf einen Konfigurationsfehler hinweisen oder darauf, dass Ihre AWS Anmeldeinformationen kompromittiert wurden.
Das beobachtete Phänomen API wurde durch das Modell des maschinellen Lernens (ML) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle API Benutzeraktivitäten innerhalb Ihres Clusters. EKS Dieses ML-Modell identifiziert auch ungewöhnliche Ereignisse, die mit den von einem nicht autorisierten Benutzer verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt auch mehrere Faktoren des API Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API Anfrage finden Sie im Bereich mit den Suchdetails in der GuardDuty Konsole.
Empfehlungen zur Abhilfe:
Wenn die Ausführung dieses Befehls unerwartet erfolgt, wurden möglicherweise die Anmeldeinformationen der Benutzeridentität, die zur Ausführung des Befehls verwendet wurde, kompromittiert. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Falls Ihre AWS Anmeldeinformationen kompromittiert wurden, finden Sie weitere Informationen unterBehebung potenziell AWS kompromittierter Anmeldedaten.
PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer
Ein Workload wurde mit einem privilegierten Container auf ungewöhnliche Weise gestartet.
Standard-Schweregrad: Hoch
-
Funktion: EKS Audit-Logs
Dieses Ergebnis informiert Sie darüber, dass ein Workload mit einem privilegierten Container in Ihrem EKS Amazon-Cluster gestartet wurde. Ein privilegierter Container hat Zugriff auf Root-Ebene auf den Host. Unbefugte Benutzer können privilegierte Container als Taktik zur Rechteerweiterung starten, um sich zunächst Zugriff auf den Host zu verschaffen und ihn dann zu kompromittieren.
Die beobachtete Erstellung oder Änderung eines Containers wurde durch das Modell des maschinellen Lernens (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer API - und Container-Image-Aktivitäten innerhalb Ihres Clusters. EKS Dieses ML-Modell identifiziert auch ungewöhnliche Ereignisse, die mit den von einem nicht autorisierten Benutzer verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt auch mehrere Faktoren des API Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten, die in Ihrem Konto beobachteten Container-Images und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API Anfrage finden Sie im Bereich mit den Suchdetails in der GuardDuty Konsole.
Empfehlungen zur Abhilfe:
Wenn dieser Container-Start unerwartet erfolgt, wurden möglicherweise die Anmeldeinformationen der Benutzeridentität, die zum Starten des Containers verwendet wurde, kompromittiert. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Falls Ihre AWS Anmeldeinformationen kompromittiert wurden, finden Sie weitere Informationen unterBehebung potenziell AWS kompromittierter Anmeldedaten.
Wenn dieser Container-Start erwartet wird, empfiehlt es sich, eine Unterdrückungsregel mit Filterkriterien zu verwenden, die auf dem resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix
-Feld basieren. In den Filterkriterien sollte das imagePrefix
-Feld dem in der Erkenntnis angegebenen Feld imagePrefix
entsprechen. Weitere Informationen finden Sie unter Unterdrückungsregeln in GuardDuty.
Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount
Ein Workload wurde auf ungewöhnliche Weise bereitgestellt, wobei ein sensibler Host-Pfad innerhalb des Workloads eingehängt wurde.
Standard-Schweregrad: Hoch
-
Funktion: EKS Audit-Logs
Diese Erkenntnis informiert Sie darüber, dass ein Workload mit einem Container gestartet wurde, der im Abschnitt volumeMounts
einen sensiblen Host-Pfad enthielt. Dadurch ist der sensible Host-Pfad potenziell vom Container aus zugänglich und beschreibbar. Diese Technik wird häufig von Gegnern verwendet, um Zugriff auf das Dateisystem des Hosts zu erhalten.
Die beobachtete Erstellung oder Änderung eines Containers wurde anhand des ML-Modells (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer API - und Container-Image-Aktivitäten innerhalb Ihres Clusters. EKS Dieses ML-Modell identifiziert auch ungewöhnliche Ereignisse, die mit den von einem nicht autorisierten Benutzer verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt auch mehrere Faktoren des API Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten, die in Ihrem Konto beobachteten Container-Images und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API Anfrage finden Sie im Bereich mit den Suchdetails in der GuardDuty Konsole.
Empfehlungen zur Abhilfe:
Wenn dieser Container-Start unerwartet erfolgt, wurden möglicherweise die Anmeldeinformationen der Benutzeridentität, die zum Starten des Containers verwendet wurde, kompromittiert. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Falls Ihre AWS Anmeldeinformationen kompromittiert wurden, finden Sie weitere Informationen unterBehebung potenziell AWS kompromittierter Anmeldedaten.
Wenn dieser Container-Start erwartet wird, empfiehlt es sich, eine Unterdrückungsregel mit Filterkriterien zu verwenden, die auf dem resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix
-Feld basieren. In den Filterkriterien sollte das imagePrefix
-Feld dem in der Erkenntnis angegebenen Feld imagePrefix
entsprechen. Weitere Informationen finden Sie unter Unterdrückungsregeln in GuardDuty.
Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed
Ein Workload wurde auf ungewöhnliche Weise gestartet.
Standard-Schweregrad: Niedrig*
Anmerkung
Der Standardschweregrad ist Niedrig. Wenn der Workload jedoch einen potenziell verdächtigen Image-Namen enthält, z. B. ein bekanntes Pentest-Tool, oder einen Container, in dem beim Start ein potenziell verdächtiger Befehl ausgeführt wird, z. B. Reverse-Shell-Befehle, wird der Schweregrad dieses Ergebnistyps als Mittel eingestuft.
-
Funktion: EKS Audit-Logs
Dieses Ergebnis informiert Sie darüber, dass ein Kubernetes-Workload in Ihrem Amazon-Cluster auf ungewöhnliche Weise erstellt oder geändert wurde, z. B. durch eine API Aktivität, neue Container-Images oder eine riskante Workload-Konfiguration. EKS Unbefugte Benutzer können privilegierte Container als Taktik zur Rechteerweiterung starten, um sich zunächst Zugriff auf den Host zu verschaffen und ihn dann zu kompromittieren.
Die beobachtete Erstellung oder Änderung eines Containers wurde anhand des ML-Modells (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer API - und Container-Image-Aktivitäten innerhalb Ihres Clusters. EKS Dieses ML-Modell identifiziert auch ungewöhnliche Ereignisse, die mit den von einem nicht autorisierten Benutzer verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt auch mehrere Faktoren des API Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten, die in Ihrem Konto beobachteten Container-Images und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API Anfrage finden Sie im Bereich mit den Suchdetails in der GuardDuty Konsole.
Empfehlungen zur Abhilfe:
Wenn dieser Container-Start unerwartet erfolgt, wurden möglicherweise die Anmeldeinformationen der Benutzeridentität, die zum Starten des Containers verwendet wurde, kompromittiert. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Falls Ihre AWS Anmeldeinformationen kompromittiert wurden, finden Sie weitere Informationen unterBehebung potenziell AWS kompromittierter Anmeldedaten.
Wenn dieser Container-Start erwartet wird, empfiehlt es sich, eine Unterdrückungsregel mit Filterkriterien zu verwenden, die auf dem resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix
-Feld basieren. In den Filterkriterien sollte das imagePrefix
-Feld dem in der Erkenntnis angegebenen Feld imagePrefix
entsprechen. Weitere Informationen finden Sie unter Unterdrückungsregeln in GuardDuty.
PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated
Eine sehr freizügige Rolle oder ClusterRole wurde auf ungewöhnliche Weise erstellt oder geändert.
Standard-Schweregrad: Niedrig
-
Funktion: Audit-Logs EKS
Dieses Ergebnis informiert Sie darüber, dass ein Kubernetes-Benutzer in Ihrem Amazon-Cluster eine ungewöhnliche API Operation zum Erstellen eines Role
oder ClusterRole
mit übermäßigen Berechtigungen aufgerufen hat. EKS Akteure können die Rollenerstellung mit leistungsstarken Berechtigungen verwenden, um die Verwendung integrierter Administratorrollen zu vermeiden und so zu verhindern, dass sie entdeckt werden. Die übermäßigen Berechtigungen können zur Eskalation von Rechten, zur Ausführung von Remote-Code und möglicherweise zur Kontrolle über einen Namespace oder Cluster führen. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre -Anmeldeinformationen kompromittiert wurden.
Das beobachtete Ereignis API wurde durch das Modell des maschinellen Lernens (ML) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle API Benutzeraktivitäten innerhalb Ihres EKS Amazon-Clusters und identifiziert ungewöhnliche Ereignisse, die mit den von nicht autorisierten Benutzern verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt auch mehrere Faktoren des API Vorgangs, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten, die in Ihrem Konto beobachteten Container-Images und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API Anfrage finden Sie im Bereich mit den Suchdetails in der GuardDuty Konsole.
Empfehlungen zur Abhilfe:
Prüfen Sie die in Role
oder ClusterRole
definierten Berechtigungen, um sicherzustellen, dass alle Berechtigungen benötigt werden, und halten Sie sich an die Grundsätze der geringsten Berechtigung. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Falls Ihre AWS Anmeldeinformationen kompromittiert wurden, finden Sie weitere Informationen unterBehebung potenziell AWS kompromittierter Anmeldedaten.
Discovery:Kubernetes/AnomalousBehavior.PermissionChecked
Ein Benutzer hat seine Zugriffsberechtigungen auf ungewöhnliche Weise überprüft.
Standard-Schweregrad: Niedrig
-
Funktion: EKS Audit-Logs
Diese Erkenntnis informiert Sie darüber, dass ein Benutzer in Ihrem Kubernetes-Cluster erfolgreich geprüft hat, ob die bekannten mächtigen Berechtigungen, die zu privilegierter Eskalation und Remote-Codeausführung führen können, zulässig sind. Ein gängiger Befehl, der verwendet wird, um die Berechtigungen eines Benutzers zu überprüfen, ist beispielsweise kubectl auth
can-i
. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden.
Das beobachtete API Objekt wurde durch das Modell des maschinellen Lernens (ML) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle API Benutzeraktivitäten innerhalb Ihres EKS Amazon-Clusters und identifiziert ungewöhnliche Ereignisse, die mit den von nicht autorisierten Benutzern verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt auch mehrere Faktoren des API Vorgangs, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, die Überprüfung der Berechtigungen und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API Anfrage finden Sie in der GuardDuty Konsole im Bereich mit den Suchdetails.
Empfehlungen zur Abhilfe:
Prüfen Sie die dem Kubernetes-Benutzer erteilten Berechtigungen, um sicherzustellen, dass alle Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Behebung von EKS Schutzfeststellungen.
Falls Ihre AWS Anmeldeinformationen kompromittiert wurden, finden Sie weitere Informationen unterBehebung potenziell AWS kompromittierter Anmeldedaten.