Tipos de resultados de la protección de EKS - Amazon GuardDuty
CredentialAccess:Kubernetes/MaliciousIPCallerCredentialAccess:Kubernetes/MaliciousIPCaller.CustomCredentialAccess:Kubernetes/SuccessfulAnonymousAccessCredentialAccess:Kubernetes/TorIPCallerDefenseEvasion:Kubernetes/MaliciousIPCallerDefenseEvasion:Kubernetes/MaliciousIPCaller.CustomDefenseEvasion:Kubernetes/SuccessfulAnonymousAccessDefenseEvasion:Kubernetes/TorIPCallerDiscovery:Kubernetes/MaliciousIPCallerDiscovery:Kubernetes/MaliciousIPCaller.CustomDiscovery:Kubernetes/SuccessfulAnonymousAccessDiscovery:Kubernetes/TorIPCallerExecution:Kubernetes/ExecInKubeSystemPodImpact:Kubernetes/MaliciousIPCallerImpact:Kubernetes/MaliciousIPCaller.CustomImpact:Kubernetes/SuccessfulAnonymousAccessImpact:Kubernetes/TorIPCallerPersistence:Kubernetes/ContainerWithSensitiveMountPersistence:Kubernetes/MaliciousIPCallerPersistence:Kubernetes/MaliciousIPCaller.CustomPersistence:Kubernetes/SuccessfulAnonymousAccessPersistence:Kubernetes/TorIPCallerPolicy:Kubernetes/AdminAccessToDefaultServiceAccountPolicy:Kubernetes/AnonymousAccessGrantedPolicy:Kubernetes/ExposedDashboardPolicy:Kubernetes/KubeflowDashboardExposedPrivilegeEscalation:Kubernetes/PrivilegedContainerCredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreatedExecution:Kubernetes/AnomalousBehavior.ExecInPodPrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainerPersistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMountExecution:Kubernetes/AnomalousBehavior.WorkloadDeployedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreatedDiscovery:Kubernetes/AnomalousBehavior.PermissionChecked

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tipos de resultados de la protección de EKS

Los siguientes resultados son específicos de los recursos de Amazon EKS y tienen un resource_type de EKSCluster. La gravedad y los detalles de los resultados varían en función del tipo de resultado.

Para todos los resultados del tipo de registros de auditoría de EKS, recomendamos que examine el recurso en cuestión para determinar si la actividad es esperada o potencialmente maliciosa. Para obtener orientación sobre cómo corregir un recurso de registros de auditoría de EKS comprometido identificado mediante un GuardDuty hallazgo, consulteCorregir los resultados de la protección de EKS.

nota

Si se espera la actividad por la que se generan estos resultados, considere agregar Reglas de supresión en GuardDuty para evitar futuras alertas.

Temas
nota

Antes de la versión 1.14 de Kubernetes, el system:unauthenticated grupo estaba asociado a y de forma predeterminada. system:discovery system:basic-user ClusterRoles Esta asociación puede permitir el acceso no deseado de usuarios anónimos. Las actualizaciones del clúster no revocan estos permisos. Aunque se haya actualizado el clúster a la versión 1.14 o posterior, es posible que estos permisos sigan habilitados. Se recomienda que desasocie estos permisos del grupo system:unauthenticated. Para obtener orientación sobre cómo revocar estos permisos, consulte Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS.

CredentialAccess:Kubernetes/MaliciousIPCaller

Se ha invocado una API que se suele utilizar para acceder a las credenciales o los secretos de un clúster de Kubernetes desde una dirección IP maliciosa conocida.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una operación de API desde una dirección IP asociada a una actividad maliciosa conocida. La API observada suele asociarse a las tácticas de acceso a las credenciales, en las que un adversario intenta recopilar contraseñas, nombres de usuario y claves de acceso de su clúster de Kubernetes.

Recomendaciones de corrección:

Si el usuario del que se informa en el resultado de la sección KubernetesUserDetails es system:anonymous, investigue por qué se permitió al usuario anónimo invocar la API y revoque los permisos, si es necesario, conforme a las instrucciones que aparecen en las Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

Se ha invocado una API que se utiliza habitualmente para acceder a las credenciales o los secretos de un clúster de Kubernetes desde una dirección IP en una lista de amenazas personalizada.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una operación de la API desde una dirección IP que aparece en una lista de amenazas que se ha cargado. La lista de amenazas asociada a este resultado aparece enumerada en la sección Información adicional de los detalles del resultado. La API observada suele asociarse a las tácticas de acceso a las credenciales, en las que un adversario intenta recopilar contraseñas, nombres de usuario y claves de acceso de su clúster de Kubernetes.

Recomendaciones de corrección:

Si el usuario del que se informa en el resultado de la sección KubernetesUserDetails es system:anonymous, investigue por qué se permitió al usuario anónimo invocar la API y revoque los permisos, si es necesario, conforme a las instrucciones que aparecen en las Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

Un usuario no autenticado ha invocado una API que se suele utilizar para acceder a las credenciales o los secretos de un clúster de Kubernetes.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que el usuario system:anonymous ha invocado correctamente una operación de la API. No se han autenticado las llamadas a la API que ha hecho system:anonymous. La API observada suele asociarse a las tácticas de acceso a las credenciales, en las que un adversario intenta recopilar contraseñas, nombres de usuario y claves de acceso de su clúster de Kubernetes. Esta actividad indica que se permite el acceso anónimo o no autenticado a la acción de la API descrita en el resultado y que se puede permitir a otras acciones. Si no se espera este comportamiento, puede indicar un error de configuración o que sus credenciales se han visto afectadas.

Recomendaciones de corrección:

Debe examinar los permisos que se han otorgado al usuario system:anonymous en su clúster y asegurarse de que todos los permisos sean necesarios. Si los permisos se han concedido por error o de forma maliciosa, debe revocar el acceso del usuario y anular cualquier cambio hecho por un adversario en el clúster. Para obtener más información, consulte Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS.

Para obtener más información, consulte Corregir los resultados de la protección de EKS.

CredentialAccess:Kubernetes/TorIPCaller

Se ha invocado una API que se suele utilizar para acceder a las credenciales o los secretos de un clúster de Kubernetes desde una dirección IP de un nodo de salida de Tor.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una API desde una dirección IP de un nodo de salida de Tor. La API observada suele asociarse a las tácticas de acceso a las credenciales, en las que un adversario intenta recopilar contraseñas, nombres de usuario y claves de acceso de su clúster de Kubernetes. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado a los recursos del clúster de Kubernetes con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si el usuario del que se informa en el resultado de la sección KubernetesUserDetails es system:anonymous, investigue por qué se permitió al usuario anónimo invocar la API y revoque los permisos, si es necesario, conforme a las instrucciones que aparecen en las Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

DefenseEvasion:Kubernetes/MaliciousIPCaller

Se ha invocado una API que se suele utilizar para evadir medidas defensivas desde una dirección IP maliciosa conocida.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una operación de API desde una dirección IP asociada a una actividad maliciosa conocida. La API observada suele asociarse a las tácticas de evasión de la defensa, en las que un adversario intenta ocultar sus acciones para evitar ser detectado.

Recomendaciones de corrección:

Si el usuario del que se informa en el resultado de la sección KubernetesUserDetails es system:anonymous, investigue por qué se permitió al usuario anónimo invocar la API y revoque los permisos, si es necesario, conforme a las instrucciones que aparecen en las Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

Se ha invocado una API que se suele utilizar para evadir medidas de defensa desde una dirección IP de una lista de amenazas personalizada.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una operación de la API desde una dirección IP que aparece en una lista de amenazas que se ha cargado. La lista de amenazas asociada a este resultado aparece enumerada en la sección Información adicional de los detalles del resultado. La API observada suele asociarse a las tácticas de evasión de la defensa, en las que un adversario intenta ocultar sus acciones para evitar ser detectado.

Recomendaciones de corrección:

Si el usuario del que se informa en el resultado de la sección KubernetesUserDetails es system:anonymous, investigue por qué se permitió al usuario anónimo invocar la API y revoque los permisos, si es necesario, conforme a las instrucciones que aparecen en las Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

Un usuario no autenticado ha invocado una API que se suele utilizar para evadir medidas defensivas.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que el usuario system:anonymous ha invocado correctamente una operación de la API. No se han autenticado las llamadas a la API que ha hecho system:anonymous. La API observada suele asociarse a las tácticas de evasión de la defensa, en las que un adversario intenta ocultar sus acciones para evitar ser detectado. Esta actividad indica que se permite el acceso anónimo o no autenticado a la acción de la API descrita en el resultado y que se puede permitir a otras acciones. Si no se espera este comportamiento, puede indicar un error de configuración o que sus credenciales se han visto afectadas.

Recomendaciones de corrección:

Debe examinar los permisos que se han otorgado al usuario system:anonymous en su clúster y asegurarse de que todos los permisos sean necesarios. Si los permisos se han concedido por error o de forma maliciosa, debe revocar el acceso del usuario y anular cualquier cambio hecho por un adversario en el clúster. Para obtener más información, consulte Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS.

Para obtener más información, consulte Corregir los resultados de la protección de EKS.

DefenseEvasion:Kubernetes/TorIPCaller

Se ha invocado una API que se suele utilizar para evadir medidas defensivas desde una dirección IP de nodo de salida de Tor.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una API desde una dirección IP de un nodo de salida de Tor. La API observada suele asociarse a las tácticas de evasión de la defensa, en las que un adversario intenta ocultar sus acciones para evitar ser detectado. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado al clúster de Kubernetes con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si el usuario del que se informa en el resultado de la sección KubernetesUserDetails es system:anonymous, investigue por qué se permitió al usuario anónimo invocar la API y revoque los permisos, si es necesario, conforme a las instrucciones que aparecen en las Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Discovery:Kubernetes/MaliciousIPCaller

Se ha invocado una API que se suele utilizar para descubrir recursos en un clúster de Kubernetes desde una dirección IP.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una operación de API desde una dirección IP asociada a una actividad maliciosa conocida. La API observada se suele utilizar en la fase de detección de un ataque, en la que un atacante recopila información para determinar si el clúster de Kubernetes es susceptible a un ataque más amplio.

Para el acceso sin autenticar

MaliciousIPCaller los resultados no se generan para el acceso no autenticado.

SuccessfulAnonymousAccess los hallazgos se generan para el acceso anónimo o no autenticado.

Recomendaciones de corrección:

Si el usuario del que se informa en el resultado de la sección KubernetesUserDetails es system:anonymous, investigue por qué se permitió al usuario anónimo invocar la API y revoque los permisos, si es necesario, conforme a las instrucciones que aparecen en las Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Discovery:Kubernetes/MaliciousIPCaller.Custom

Se ha invocado una API que se suele utilizar para detectar recursos en un clúster de Kubernetes desde una dirección IP de una lista de amenazas personalizada.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una API desde una dirección IP que aparece en una lista de amenazas que se ha cargado. La lista de amenazas asociada a este resultado aparece enumerada en la sección Información adicional de los detalles del resultado. La API observada se suele utilizar en la fase de detección de un ataque, en la que un atacante recopila información para determinar si el clúster de Kubernetes es susceptible a un ataque más amplio.

Recomendaciones de corrección:

Si el usuario del que se informa en el resultado de la sección KubernetesUserDetails es system:anonymous, investigue por qué se permitió al usuario anónimo invocar la API y revoque los permisos, si es necesario, conforme a las instrucciones que aparecen en las Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Discovery:Kubernetes/SuccessfulAnonymousAccess

Un usuario no autenticado ha invocado una API que se suele utilizar para descubrir recursos en un clúster de Kubernetes.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que el usuario system:anonymous ha invocado correctamente una operación de la API. No se han autenticado las llamadas a la API que ha hecho system:anonymous. La API observada suele asociarse a la fase de detección de un ataque, cuando un adversario recopila información sobre el clúster de Kubernetes. Esta actividad indica que se permite el acceso anónimo o no autenticado a la acción de la API descrita en el resultado y que se puede permitir a otras acciones. Si no se espera este comportamiento, puede indicar un error de configuración o que sus credenciales se han visto afectadas.

Este tipo de resultado excluye los puntos de conexión de la API de comprobación de estado, como /healthz, /livez, /readyz y /version.

Recomendaciones de corrección:

Debe examinar los permisos que se han otorgado al usuario system:anonymous en su clúster y asegurarse de que todos los permisos sean necesarios. Si los permisos se han concedido por error o de forma maliciosa, debe revocar el acceso del usuario y anular cualquier cambio hecho por un adversario en el clúster. Para obtener más información, consulte Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS.

Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Discovery:Kubernetes/TorIPCaller

Se ha invocado una API que se suele utilizar para detectar recursos en un clúster de Kubernetes desde una dirección IP de nodo de salida de Tor.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una API desde una dirección IP de un nodo de salida de Tor. La API observada se suele utilizar en la fase de detección de un ataque, en la que un atacante recopila información para determinar si el clúster de Kubernetes es susceptible a un ataque más amplio. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado al clúster de Kubernetes con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si el usuario denunciado en la conclusión de la KubernetesUserDetails sección essystem:anonymous, investigue por qué se le permitió al usuario anónimo invocar o APIand revocar los permisos, si fuera necesario, siguiendo las instrucciones de las mejores prácticas de seguridad para Amazon EKS de la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Execution:Kubernetes/ExecInKubeSystemPod

Se ha ejecutado un comando en un pod dentro del espacio de nombres kube-system

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado indica que se ha ejecutado un comando en un pod dentro del espacio de nombres kube-system mediante la API exec de Kubernetes. El espacio de nombres kube-system es un espacio de nombres predeterminado, que se utiliza principalmente para componentes de nivel de sistema, como kube-dns y kube-proxy. Es muy poco común ejecutar comandos dentro de pods o contenedores de un espacio de nombres kube-system, lo que puede indicar una actividad sospechosa.

Recomendaciones de corrección:

Si la ejecución de este comando es inesperada, es posible que las credenciales de identidad de usuario utilizada para ejecutar el comando se hayan visto afectadas. Revoque el acceso del usuario y anule cualquier cambio que haya hecho un adversario en su clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Impact:Kubernetes/MaliciousIPCaller

Se ha invocado una API que se suele utilizar para manipular recursos en un clúster de Kubernetes desde una dirección IP maliciosa conocida.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una operación de API desde una dirección IP asociada a una actividad maliciosa conocida. La API observada suele asociarse a tácticas de impacto, en las que un adversario intenta manipular, interrumpir o destruir los datos de su entorno. AWS

Recomendaciones de corrección:

Si el usuario del que se informa en el resultado de la sección KubernetesUserDetails es system:anonymous, investigue por qué se permitió al usuario anónimo invocar la API y revoque los permisos, si es necesario, conforme a las instrucciones que aparecen en las Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Impact:Kubernetes/MaliciousIPCaller.Custom

Se ha invocado una API que se suele utilizar para manipular los recursos de un clúster de Kubernetes desde una dirección IP de una lista de amenazas personalizada.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una operación de la API desde una dirección IP que aparece en una lista de amenazas que se ha cargado. La lista de amenazas asociada a este resultado aparece enumerada en la sección Información adicional de los detalles del resultado. La API observada suele asociarse a tácticas de impacto, en las que un adversario intenta manipular, interrumpir o destruir los datos de su AWS entorno.

Recomendaciones de corrección:

Si el usuario del que se informa en el resultado de la sección KubernetesUserDetails es system:anonymous, investigue por qué se permitió al usuario anónimo invocar la API y revoque los permisos, si es necesario, conforme a las instrucciones que aparecen en las Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Impact:Kubernetes/SuccessfulAnonymousAccess

Un usuario no autenticado ha invocado una API que se suele utilizar para manipular los recursos de un clúster de Kubernetes.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que el usuario system:anonymous ha invocado correctamente una operación de la API. No se han autenticado las llamadas a la API que ha hecho system:anonymous. La API observada suele asociarse a la fase de impacto de un ataque, cuando un adversario está manipulando los recursos del clúster. Esta actividad indica que se permite el acceso anónimo o no autenticado a la acción de la API descrita en el resultado y que se puede permitir a otras acciones. Si no se espera este comportamiento, puede indicar un error de configuración o que sus credenciales se han visto afectadas.

Recomendaciones de corrección:

Debe examinar los permisos que se han otorgado al usuario system:anonymous en su clúster y asegurarse de que todos los permisos sean necesarios. Si los permisos se han concedido por error o de forma maliciosa, debe revocar el acceso del usuario y anular cualquier cambio hecho por un adversario en el clúster. Para obtener más información, consulte Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS.

Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Impact:Kubernetes/TorIPCaller

Se ha invocado una API que se suele utilizar para manipular los recursos de un clúster de Kubernetes desde una dirección IP de nodo de salida de Tor.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una API desde una dirección IP de un nodo de salida de Tor. La API observada suele asociarse a tácticas de impacto, en las que un adversario intenta manipular, interrumpir o destruir los datos que están dentro de su entorno de AWS . Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado al clúster de Kubernetes con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si el usuario del que se informa en el resultado de la sección KubernetesUserDetails es system:anonymous, investigue por qué se permitió al usuario anónimo invocar la API y revoque los permisos, si es necesario, conforme a las instrucciones que aparecen en las Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Persistence:Kubernetes/ContainerWithSensitiveMount

Se ha lanzado un contenedor con una ruta de host externa confidencial montada en su interior.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado indica que se ha lanzado un contenedor con una configuración que incluía una ruta de host confidencial con acceso de escritura en la sección volumeMounts. Esto hace que la ruta confidencial del host sea accesible y se pueda sobrescribir desde el interior del contenedor. Los adversarios suelen utilizar esta técnica para acceder al sistema de archivos del host.

Recomendaciones de corrección:

Si el lanzamiento de este contenedor es inesperado, es posible que las credenciales de identidad de usuario utilizadas para lanzarlo se hayan visto afectadas. Revoque el acceso del usuario y anule cualquier cambio que haya hecho un adversario en su clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Si el lanzamiento de este contenedor es esperado, se recomienda utilizar una regla de supresión que consista en un criterio de filtrado basado en el campo resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. En los criterios de filtrado, el campo imagePrefix debe ser el mismo que el imagePrefix especificado en el resultado. Para obtener más información sobre la creación de reglas de supresión, consulte Reglas de supresión.

Persistence:Kubernetes/MaliciousIPCaller

Se ha invocado una API que se suele utilizar para acceder a un clúster de Kubernetes desde una dirección IP maliciosa conocida.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una operación de API desde una dirección IP asociada a una actividad maliciosa conocida. La API observada suele asociarse a tácticas de persistencia, en las que un adversario ha logrado acceder al clúster de Kubernetes e intenta conservar ese acceso.

Recomendaciones de corrección:

Si el usuario del que se informa en el resultado de la sección KubernetesUserDetails es system:anonymous, investigue por qué se permitió al usuario anónimo invocar la API y revoque los permisos, si es necesario, conforme a las instrucciones que aparecen en las Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Persistence:Kubernetes/MaliciousIPCaller.Custom

Se ha invocado una API que se suele utilizar para obtener acceso persistente a un clúster de Kubernetes desde una dirección IP de una lista de amenazas personalizada.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una operación de la API desde una dirección IP que aparece en una lista de amenazas que se ha cargado. La lista de amenazas asociada a este resultado aparece enumerada en la sección Información adicional de los detalles del resultado. La API observada suele asociarse a tácticas de persistencia, en las que un adversario ha logrado acceder al clúster de Kubernetes e intenta conservar ese acceso.

Recomendaciones de corrección:

Si el usuario del que se informa en el resultado de la sección KubernetesUserDetails es system:anonymous, investigue por qué se permitió al usuario anónimo invocar la API y revoque los permisos, si es necesario, conforme a las instrucciones que aparecen en las Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Persistence:Kubernetes/SuccessfulAnonymousAccess

Un usuario no autenticado ha invocado una API que se suele utilizar para obtener permisos de nivel superior a un clúster de Kubernetes.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que el usuario system:anonymous ha invocado correctamente una operación de la API. No se han autenticado las llamadas a la API que ha hecho system:anonymous. La API observada suele asociarse a tácticas de persistencia, en las que un adversario ha logrado acceder al clúster e intenta conservar ese acceso. Esta actividad indica que se permite el acceso anónimo o no autenticado a la acción de la API descrita en el resultado y que se puede permitir a otras acciones. Si no se espera este comportamiento, puede indicar un error de configuración o que sus credenciales se han visto afectadas.

Recomendaciones de corrección:

Debe examinar los permisos que se han otorgado al usuario system:anonymous en su clúster y asegurarse de que todos los permisos sean necesarios. Si los permisos se han concedido por error o de forma maliciosa, debe revocar el acceso del usuario y anular cualquier cambio hecho por un adversario en el clúster. Para obtener más información, consulte Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS.

Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Persistence:Kubernetes/TorIPCaller

Se ha invocado una API que se suele utilizar para acceder a un clúster de Kubernetes desde una dirección IP de nodo de salida de Tor.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha invocado una API desde una dirección IP de un nodo de salida de Tor. La API observada suele asociarse a tácticas de persistencia, en las que un adversario ha logrado acceder al clúster de Kubernetes e intenta conservar ese acceso. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado a sus AWS recursos con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si el usuario del que se informa en el resultado de la sección KubernetesUserDetails es system:anonymous, investigue por qué se permitió al usuario anónimo invocar la API y revoque los permisos, si es necesario, conforme a las instrucciones que aparecen en las Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS. Si el usuario es un usuario autenticado, investíguelo para determinar si la actividad fue legítima o maliciosa. Si la actividad fue maliciosa, revoque el acceso del usuario y anule cualquier cambio hecho por un adversario en su clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

Se concedieron privilegios de administrador en un clúster de Kubernetes a la cuenta de servicio predeterminada.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se han concedido privilegios de administrador a la cuenta de servicio predeterminada de un espacio de nombres de su clúster de Kubernetes. Kubernetes crea una cuenta de servicio predeterminada para todos los espacios de nombres del clúster. Asigna automáticamente la cuenta de servicio predeterminada como identidad a los pods que no se han asociado explícitamente a otra cuenta de servicio. Si la cuenta de servicio predeterminada tiene privilegios de administrador, es posible que los pods se inicien involuntariamente con privilegios de administrador. Si no se espera este comportamiento, puede indicar un error de configuración o que sus credenciales se han visto afectadas.

Recomendaciones de corrección:

No debe utilizar la cuenta de servicio predeterminada para conceder permisos a los pods. En su lugar, debe crear una cuenta de servicio dedicada para cada carga de trabajo y conceder el permiso a esa cuenta en función de sus necesidades. Para solucionar este problema, debe crear cuentas de servicio dedicadas para todos sus pods y cargas de trabajo, además de actualizar los pods y las cargas de trabajo para migrarlos de la cuenta de servicio predeterminada a sus cuentas dedicadas. A continuación, debe eliminar el permiso de administrador de la cuenta de servicio predeterminada. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Policy:Kubernetes/AnonymousAccessGranted

Se ha concedido un permiso de API al usuario system:anonymous en un clúster de Kubernetes.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado le informa de que un usuario de su clúster de Kubernetes ha creado correctamente un ClusterRoleBinding o RoleBinding para enlazar al usuario system:anonymous a un rol. Esto permite el acceso no autenticado a las operaciones de la API permitidas por el rol. Si no se espera este comportamiento, puede indicar un error de configuración o que sus credenciales se han visto afectadas

Recomendaciones de corrección:

Debe examinar los permisos que se han otorgado al usuario system:anonymous o grupo system:unauthenticated en su clúster y revocar el acceso anónimo innecesario. Para obtener más información, consulte Prácticas recomendadas de seguridad para Amazon EKS en la Guía del usuario de Amazon EKS. Si los permisos se han concedido de forma maliciosa, debe revocar el acceso del usuario que concedió los permisos y anular cualquier cambio hecho por un adversario en el clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Policy:Kubernetes/ExposedDashboard

El panel de un clúster de Kubernetes estaba expuesto a Internet

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que el servicio de equilibrador de carga ha expuesto el panel de Kubernetes de su clúster a Internet. Un panel expuesto hace que la interfaz de administración del clúster sea accesible desde Internet y permite a los adversarios aprovechar cualquier brecha de autenticación y control de acceso que pueda existir.

Recomendaciones de corrección:

Debe asegurarse de que se apliquen una autenticación y una autorización sólidas en el panel de Kubernetes. También debe implementar un control de acceso a la red para restringir el acceso al panel desde direcciones IP específicas.

Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Policy:Kubernetes/KubeflowDashboardExposed

El panel de Kubeflow de un clúster de Kubernetes estaba expuesto a Internet

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que el servicio de equilibrador de carga ha expuesto el panel de Kubeflow de su clúster a Internet. Un panel de Kubeflow expuesto hace que la interfaz de administración del entorno de Kubeflow sea accesible desde Internet y permite a los adversarios aprovechar cualquier brecha de autenticación y control de acceso que pueda existir.

Recomendaciones de corrección:

Debe asegurarse de que se apliquen una autenticación y una autorización sólidas en el panel de Kubeflow. También debe implementar un control de acceso a la red para restringir el acceso al panel desde direcciones IP específicas.

Para obtener más información, consulte Corregir los resultados de la protección de EKS.

PrivilegeEscalation:Kubernetes/PrivilegedContainer

Se ha lanzado un contenedor privilegiado con acceso a nivel raíz en su clúster de Kubernetes.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado le informa de que se ha lanzado un contenedor privilegiado en su clúster de Kubernetes mediante una imagen que nunca antes se había utilizado para lanzar contenedores privilegiados en su clúster. Un contenedor privilegiado tiene acceso de nivel raíz al host. Los adversarios pueden lanzar contenedores privilegiados como una táctica de derivación de privilegios para acceder al host y, posteriormente, ponerlo en peligro.

Recomendaciones de corrección:

Si el lanzamiento de este contenedor es inesperado, es posible que las credenciales de identidad de usuario utilizadas para lanzarlo se hayan visto afectadas. Revoque el acceso del usuario y anule cualquier cambio que haya hecho un adversario en su clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed

Se invocó de forma anómala una API de Kubernetes utilizada habitualmente para acceder a secretos.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado informa de que un usuario de Kubernetes del clúster ha invocado una operación anómala de la API para recuperar secretos confidenciales del clúster. La API observada normalmente se asocia con tácticas de acceso a credenciales que pueden conducir a una escalada de privilegios y a un mayor acceso dentro del clúster. Si este comportamiento no es el esperado, puede indicar un error de configuración o que las credenciales de AWS están comprometidas.

El modelo de aprendizaje automático (ML) de detección de GuardDuty anomalías identificó la API observada como anómala. El modelo de ML evalúa toda la actividad de la API del usuario dentro del clúster de EKS e identifica eventos anómalos asociados a técnicas utilizadas por usuarios no autorizados. El modelo de ML hace un seguimiento de múltiples factores de la operación de la API, como el usuario que realiza la solicitud, la ubicación desde la que se realizó, el agente de usuario utilizado y el espacio de nombres que el usuario operó. Puedes encontrar los detalles de la solicitud de API que no son habituales en el panel de detalles de búsqueda de la GuardDuty consola.

Recomendaciones de corrección:

Examine los permisos concedidos al usuario de Kubernetes en el clúster y asegúrese de que todos estos permisos son necesarios. Si los permisos se concedieron por error o de forma malintencionada, revoque el acceso del usuario y revierta cualquier cambio realizado por un usuario no autorizado en el clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Si sus AWS credenciales están comprometidas, consulteCorregir credenciales de AWS potencialmente comprometidas.

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated

Se creó RoleBinding o ClusterRoleBinding modificó un rol o un espacio de nombres confidencial demasiado permisivo en tu clúster de Kubernetes.

Gravedad predeterminada: media*

nota

La gravedad predeterminada de este resultado es media. Sin embargo, si una RoleBinding o ClusterRoleBinding incluye la tecla o, la ClusterRoles admin gravedad es alta. cluster-admin

  • Característica: registros de auditoría de EKS

Este resultado informa de que un usuario en el clúster de Kubernetes ha creado un RoleBinding o ClusterRoleBinding para vincular un usuario a un rol con permisos de administrador o espacios de nombres confidenciales. Si este comportamiento no es el esperado, puede indicar un error de configuración o que las credenciales de AWS están comprometidas.

El modelo de aprendizaje automático (ML) de detección de GuardDuty anomalías identificó la API observada como anómala. El modelo de ML evalúa toda la actividad de la API del usuario dentro del clúster de EKS. Este modelo de ML también identifica eventos anómalos relacionados con las técnicas utilizadas por un usuario no autorizado. Además, el modelo de ML realiza un seguimiento de múltiples factores de la operación de la API, como el usuario que realiza la solicitud, la ubicación desde la que se realizó, el agente de usuario utilizado y el espacio de nombres que el usuario operó. Puedes encontrar los detalles de la solicitud de API que no son habituales en el panel de detalles de búsqueda de la GuardDuty consola.

Recomendaciones de corrección:

Examine los permisos concedidos al usuario de Kubernetes. Estos permisos se definen en el rol y los sujetos implicados en RoleBinding y ClusterRoleBinding. Si los permisos se concedieron por error o de forma malintencionada, revoque el acceso del usuario y revierta cualquier cambio realizado por un usuario no autorizado en el clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Si sus AWS credenciales están comprometidas, consulteCorregir credenciales de AWS potencialmente comprometidas.

Execution:Kubernetes/AnomalousBehavior.ExecInPod

Se ejecutó un comando dentro de un pod de forma anómala.

Gravedad predeterminada: media

  • Característica: registros de auditoría de EKS

Este resultado informa de que se ejecutó un comando en un pod mediante la API exec de Kubernetes. La API exec de Kubernetes permite ejecutar comandos arbitrarios en un pod. Si este comportamiento no es el esperado para el usuario, el espacio de nombres o el pod, puede indicar un error de configuración o que sus AWS credenciales están comprometidas.

El modelo de aprendizaje automático (ML) con detección de GuardDuty anomalías identificó la API observada como anómala. El modelo de ML evalúa toda la actividad de la API del usuario dentro del clúster de EKS. Este modelo de ML también identifica eventos anómalos relacionados con las técnicas utilizadas por un usuario no autorizado. Además, el modelo de ML realiza un seguimiento de múltiples factores de la operación de la API, como el usuario que realiza la solicitud, la ubicación desde la que se realizó, el agente de usuario utilizado y el espacio de nombres que el usuario operó. Puedes encontrar los detalles de la solicitud de API que no son habituales en el panel de detalles de búsqueda de la GuardDuty consola.

Recomendaciones de corrección:

Si la ejecución de este comando es inesperada, es posible que las credenciales de la identidad de usuario utilizada para ejecutar el comando se hayan visto comprometidas. Revoque el acceso del usuario y revierta cualquier cambio realizado por un usuario no autorizado en el clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Si sus AWS credenciales están comprometidas, consulteCorregir credenciales de AWS potencialmente comprometidas.

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

Se lanzó una carga de trabajo con un contenedor privilegiado de forma anómala.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado informa de que se ha lanzado una carga de trabajo con un contenedor privilegiado en el clúster de Amazon EKS. Un contenedor privilegiado tiene acceso de nivel raíz al host. Los usuarios no autorizados pueden lanzar contenedores privilegiados como una táctica de escalada de privilegios para primero obtener acceso al host y luego comprometerlo.

El modelo de aprendizaje automático (ML) de detección de GuardDuty anomalías identificó la creación o modificación del contenedor observada como anómala. El modelo de ML evalúa toda la actividad de la API del usuario y de la imagen del contenedor dentro del clúster de EKS. Este modelo de ML también identifica eventos anómalos relacionados con las técnicas utilizadas por un usuario no autorizado. El modelo de ML también realiza un seguimiento de múltiples factores de la operación de la API, como el usuario que realiza la solicitud, la ubicación desde la que se realizó la solicitud, el agente de usuario utilizado, las imágenes de contenedor observadas en su cuenta y el espacio de nombres que el usuario operó. Puedes encontrar los detalles de la solicitud de API que no sean habituales en el panel de detalles de búsqueda de la GuardDuty consola.

Recomendaciones de corrección:

Si este lanzamiento de contenedor es inesperado, es posible que las credenciales de la identidad de usuario utilizada para lanzar el contenedor se hayan visto comprometidas. Revoque el acceso del usuario y revierta cualquier cambio realizado por un usuario no autorizado en el clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Si sus AWS credenciales están comprometidas, consulteCorregir credenciales de AWS potencialmente comprometidas.

Si este lanzamiento de contenedor está previsto, se recomienda utilizar una regla de supresión con un criterio de filtro basado en el campo resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. En los criterios de filtrado, el campo imagePrefix debe tener el mismo valor que el campo imagePrefix especificado en el resultado. Para obtener más información, consulte Reglas de supresión en GuardDuty.

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

Se implementó una carga de trabajo de forma anómala, con una ruta de host confidencial montada dentro de la carga de trabajo.

Gravedad predeterminada: alta

  • Característica: registros de auditoría de EKS

Este resultado informa de que se ha lanzado una carga de trabajo con un contenedor que incluía una ruta de host confidencial en la sección volumeMounts. Esto potencialmente hace que la ruta confidencial del host sea accesible y que se pueda escribir en esta desde dentro del contenedor. Esta técnica es comúnmente utilizada por usuarios no autorizados para obtener acceso al sistema de archivos del host.

El modelo de aprendizaje automático (ML) de detección de GuardDuty anomalías identificó la creación o modificación del contenedor observada como anómala. El modelo de ML evalúa toda la actividad de la API del usuario y de la imagen del contenedor dentro del clúster de EKS. Este modelo de ML también identifica eventos anómalos relacionados con las técnicas utilizadas por un usuario no autorizado. El modelo de ML también realiza un seguimiento de múltiples factores de la operación de la API, como el usuario que realiza la solicitud, la ubicación desde la que se realizó la solicitud, el agente de usuario utilizado, las imágenes de contenedor observadas en su cuenta y el espacio de nombres que el usuario operó. Puedes encontrar los detalles de la solicitud de API que no sean habituales en el panel de detalles de búsqueda de la GuardDuty consola.

Recomendaciones de corrección:

Si este lanzamiento de contenedor es inesperado, es posible que las credenciales de la identidad de usuario utilizada para lanzar el contenedor se hayan visto comprometidas. Revoque el acceso del usuario y revierta cualquier cambio realizado por un usuario no autorizado en el clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Si sus AWS credenciales están comprometidas, consulteCorregir credenciales de AWS potencialmente comprometidas.

Si este lanzamiento de contenedor está previsto, se recomienda utilizar una regla de supresión con un criterio de filtro basado en el campo resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. En los criterios de filtrado, el campo imagePrefix debe tener el mismo valor que el campo imagePrefix especificado en el resultado. Para obtener más información, consulte Reglas de supresión en GuardDuty.

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

Se lanzó una carga de trabajo de forma anómala.

Gravedad predeterminada: baja*

nota

La gravedad predeterminada es Baja. Sin embargo, si la carga de trabajo contiene un nombre de imagen potencialmente sospechoso, como una herramienta de prueba de penetración conocida, o un contenedor que ejecuta un comando potencialmente sospechoso al momento del lanzamiento, como comandos de intérprete de comandos inverso, entonces la gravedad de este tipo de resultado se considerará Media.

  • Característica: registros de auditoría de EKS

Este resultado informa de que se ha creado o modificado una carga de trabajo de Kubernetes de forma anómala, como una actividad de la API, nuevas imágenes de contenedor o una configuración arriesgada de la carga de trabajo, dentro del clúster de Amazon EKS. Los usuarios no autorizados pueden lanzar contenedores como una táctica para ejecutar código arbitrario para primero obtener acceso al host y luego comprometerlo.

El modelo de aprendizaje automático (ML) de detección de GuardDuty anomalías identificó la creación o modificación del contenedor observada como anómala. El modelo de ML evalúa toda la actividad de la API del usuario y de la imagen del contenedor dentro del clúster de EKS. Este modelo de ML también identifica eventos anómalos relacionados con las técnicas utilizadas por un usuario no autorizado. El modelo de ML también realiza un seguimiento de múltiples factores de la operación de la API, como el usuario que realiza la solicitud, la ubicación desde la que se realizó la solicitud, el agente de usuario utilizado, las imágenes de contenedor observadas en su cuenta y el espacio de nombres que el usuario operó. Puedes encontrar los detalles de la solicitud de API que no sean habituales en el panel de detalles de búsqueda de la GuardDuty consola.

Recomendaciones de corrección:

Si este lanzamiento de contenedor es inesperado, es posible que las credenciales de la identidad de usuario utilizada para lanzar el contenedor se hayan visto comprometidas. Revoque el acceso del usuario y revierta cualquier cambio realizado por un usuario no autorizado en el clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Si sus AWS credenciales están comprometidas, consulteCorregir credenciales de AWS potencialmente comprometidas.

Si este lanzamiento de contenedor está previsto, se recomienda utilizar una regla de supresión con un criterio de filtro basado en el campo resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. En los criterios de filtrado, el campo imagePrefix debe tener el mismo valor que el campo imagePrefix especificado en el resultado. Para obtener más información, consulte Reglas de supresión en GuardDuty.

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

Un rol muy permisivo o que ClusterRole se creó o modificó de forma anómala.

Gravedad predeterminada: baja

  • Característica: registros de auditoría de EKS

Este resultado informa de que un usuario de Kubernetes en el clúster de Amazon EKS ha llamado a una operación de la API anómala para crear un Role o ClusterRole con permisos excesivos. Los actores pueden utilizar la creación de roles con permisos elevados para evitar el uso de roles predefinidos similares a administradores y evadir la detección. El exceso de permisos puede derivar en la escalada de privilegios, la ejecución remota de código e incluso el control completo de un espacio de nombres o clúster. Si este comportamiento no es el esperado, puede indicar un error de configuración o que las credenciales están comprometidas.

El modelo de aprendizaje automático (ML) con detección de GuardDuty anomalías identificó la API observada como anómala. El modelo de ML evalúa toda la actividad de la API del usuario dentro del clúster de Amazon EKS e identifica eventos anómalos asociados a las técnicas utilizadas por usuarios no autorizados. El modelo de ML también realiza un seguimiento de múltiples factores de la operación de la API, como el usuario que realiza la solicitud, la ubicación desde la que se realizó la solicitud, el agente de usuario utilizado, las imágenes de contenedor observadas en su cuenta y el espacio de nombres que el usuario operó. Puedes encontrar los detalles de la solicitud de API que no son habituales en el panel de detalles de búsqueda de la GuardDuty consola.

Recomendaciones de corrección:

Examine los permisos definidos en Role o ClusterRole para asegurarse de que todos los permisos son necesarios y siguen los principios de mínimo privilegio. Si los permisos se concedieron por error o de forma malintencionada, revoque el acceso del usuario y revierta cualquier cambio realizado por un usuario no autorizado en el clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Si sus AWS credenciales están comprometidas, consulteCorregir credenciales de AWS potencialmente comprometidas.

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

Un usuario comprobó su permiso de acceso de forma anómala.

Gravedad predeterminada: baja

  • Característica: registros de auditoría de EKS

Este resultado indica que un usuario en el clúster de Kubernetes ha verificado con éxito si están habilitados permisos elevados conocidos, los cuales pueden facilitar la escalada de privilegios y la ejecución remota de código. Por ejemplo, kubectl auth can-i es un comando común utilizado para comprobar los permisos de un usuario. Si este comportamiento no es el esperado, puede indicar un error de configuración o que las credenciales se han visto comprometidas.

El modelo de aprendizaje automático (ML) de detección de GuardDuty anomalías identificó la API observada como anómala. El modelo de ML evalúa toda la actividad de la API del usuario dentro del clúster de Amazon EKS e identifica eventos anómalos asociados a las técnicas utilizadas por usuarios no autorizados. El modelo de ML también realiza un seguimiento de múltiples factores de la operación de la API, como el usuario que realiza la solicitud, la ubicación desde la que se realizó la solicitud, el permiso que se comprueba y el espacio de nombres que el usuario operó. Puedes encontrar los detalles de la solicitud de API que no son habituales en el panel de detalles de búsqueda de la GuardDuty consola.

Recomendaciones de corrección:

Examine los permisos concedidos al usuario de Kubernetes para asegurarse de que todos los permisos son necesarios. Si los permisos se concedieron por error o de forma malintencionada, revoque el acceso del usuario y revierta cualquier cambio realizado por un usuario no autorizado en el clúster. Para obtener más información, consulte Corregir los resultados de la protección de EKS.

Si sus AWS credenciales están comprometidas, consulteCorregir credenciales de AWS potencialmente comprometidas.