Types de recherche dans les journaux d'audit EKS - Amazon GuardDuty
CredentialAccess:Kubernetes/MaliciousIPCallerCredentialAccess:Kubernetes/MaliciousIPCaller.CustomCredentialAccess:Kubernetes/SuccessfulAnonymousAccessCredentialAccess:Kubernetes/TorIPCallerDefenseEvasion:Kubernetes/MaliciousIPCallerDefenseEvasion:Kubernetes/MaliciousIPCaller.CustomDefenseEvasion:Kubernetes/SuccessfulAnonymousAccessDefenseEvasion:Kubernetes/TorIPCallerDiscovery:Kubernetes/MaliciousIPCallerDiscovery:Kubernetes/MaliciousIPCaller.CustomDiscovery:Kubernetes/SuccessfulAnonymousAccessDiscovery:Kubernetes/TorIPCallerExecution:Kubernetes/ExecInKubeSystemPodImpact:Kubernetes/MaliciousIPCallerImpact:Kubernetes/MaliciousIPCaller.CustomImpact:Kubernetes/SuccessfulAnonymousAccessImpact:Kubernetes/TorIPCallerPersistence:Kubernetes/ContainerWithSensitiveMountPersistence:Kubernetes/MaliciousIPCallerPersistence:Kubernetes/MaliciousIPCaller.CustomPersistence:Kubernetes/SuccessfulAnonymousAccessPersistence:Kubernetes/TorIPCallerPolicy:Kubernetes/AdminAccessToDefaultServiceAccountPolicy:Kubernetes/AnonymousAccessGrantedPolicy:Kubernetes/ExposedDashboardPolicy:Kubernetes/KubeflowDashboardExposedPrivilegeEscalation:Kubernetes/PrivilegedContainerCredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreatedExecution:Kubernetes/AnomalousBehavior.ExecInPodPrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainerPersistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMountExecution:Kubernetes/AnomalousBehavior.WorkloadDeployedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreatedDiscovery:Kubernetes/AnomalousBehavior.PermissionChecked

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Types de recherche dans les journaux d'audit EKS

Les résultats suivants sont propres aux ressources Kubernetes et ont toujours un type de ressource EKSCluster. La gravité et les détails des résultats diffèrent selon le type de résultat.

Pour tous les résultats de type Kubernetes, nous vous recommandons d'examiner la ressource en question afin de déterminer si l'activité est attendue ou potentiellement malveillante. Pour obtenir des conseils sur la correction d'une ressource Kubernetes compromise identifiée par une GuardDuty découverte, consultez. Correction des résultats de la surveillance des journaux d'audit EKS

Note

Si l'activité à l'origine de ces résultats est attendue, envisagez d'ajouter Règles de suppression pour éviter de futures alertes.

Rubriques
Note

Avant la version 1.14 de Kubernetes, le system:unauthenticated groupe était associé à system:discovery et par défaut. system:basic-user ClusterRoles Cette association peut autoriser un accès involontaire de la part d'utilisateurs anonymes. Les mises à jour du cluster ne révoquent pas ces autorisations. Même si vous avez mis à jour votre cluster vers la version 1.14 ou ultérieure, ces autorisations peuvent toujours être activées. Nous vous recommandons de dissocier ces autorisations du groupe system:unauthenticated. Pour obtenir des conseils sur la révocation de ces autorisations, consultez les meilleures pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS.

CredentialAccess:Kubernetes/MaliciousIPCaller

Une API couramment utilisée pour accéder aux informations d'identification ou aux secrets d'un cluster Kubernetes a été invoquée à partir d'une adresse IP malveillante connue.

Gravité par défaut : élevée

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a été invoquée à partir d'une adresse IP associée à une activité malveillante connue. L'API observée est généralement associée aux tactiques d'accès aux informations d'identification lorsqu'un adversaire tente de collecter des mots de passe, des noms d'utilisateur et des clés d'accès pour votre cluster Kubernetes.

Recommandations de correction :

Si l'utilisateur indiqué dans le résultat de la KubernetesUserDetails section l'estsystem:anonymous, déterminez pourquoi l'utilisateur anonyme a été autorisé à invoquer l'API et à révoquer les autorisations, le cas échéant, en suivant les instructions de la section Bonnes pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS. S'il s'agit d'un utilisateur authentifié, vérifiez si l'activité était légitime ou malveillante. Si l'activité était malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

Une API couramment utilisée pour accéder aux informations d'identification ou aux secrets d'un cluster Kubernetes a été invoquée à partir d'une adresse IP figurant sur une liste de menaces personnalisée.

Gravité par défaut : élevée

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a été invoquée depuis une adresse IP figurant sur une liste de menaces que vous avez chargée. La liste des menaces associée à ce résultat est répertoriée dans la section Informations supplémentaires des détails d'un résultat. L'API observée est généralement associée aux tactiques d'accès aux informations d'identification lorsqu'un adversaire tente de collecter des mots de passe, des noms d'utilisateur et des clés d'accès pour votre cluster Kubernetes.

Recommandations de correction :

Si l'utilisateur indiqué dans le résultat de la KubernetesUserDetails section l'estsystem:anonymous, recherchez pourquoi l'utilisateur anonyme a été autorisé à invoquer l'API et révoquez les autorisations, le cas échéant, en suivant les instructions de la section Bonnes pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS. S'il s'agit d'un utilisateur authentifié, vérifiez si l'activité était légitime ou malveillante. Si l'activité était malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

Une API couramment utilisée pour accéder aux informations d'identification ou aux secrets d'un cluster Kubernetes a été invoquée par un utilisateur non authentifié.

Gravité par défaut : élevée

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a bien été invoquée par l'utilisateur system:anonymous. Les appels d'API effectués par system:anonymous ne sont pas authentifiés. L'API observée est généralement associée aux tactiques d'accès aux informations d'identification lorsqu'un adversaire tente de collecter des mots de passe, des noms d'utilisateur et des clés d'accès pour votre cluster Kubernetes. Cette activité indique qu'un accès anonyme ou non authentifié est autorisé sur l'action d'API signalée dans le résultat et peut être autorisé sur d'autres actions. Si ce comportement n'est pas prévu, cela peut indiquer une erreur de configuration ou que vos informations d'identification sont compromises.

Recommandations de correction :

Vous devez examiner les autorisations accordées à l'utilisateur system:anonymous sur votre cluster et vous assurer que toutes les autorisations sont nécessaires. Si les autorisations ont été accordées par erreur ou de manière malveillante, vous devez révoquer l'accès de l'utilisateur et annuler toute modification apportée par un adversaire à votre cluster. Pour plus d'informations, consultez les meilleures pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS.

Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

CredentialAccess:Kubernetes/TorIPCaller

Une API couramment utilisée pour accéder aux informations d'identification ou aux secrets d'un cluster Kubernetes a été invoquée à partir d'une adresse IP de nœud de sortie Tor.

Gravité par défaut : élevée

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a été invoquée depuis une adresse IP du nœud de sortie Tor. L'API observée est généralement associée aux tactiques d'accès aux informations d'identification lorsqu'un adversaire tente de collecter des mots de passe, des noms d'utilisateur et des clés d'accès pour votre cluster Kubernetes. Tor est un logiciel permettant d'activer les communications anonymes. Il crypte et retourne des communications de façon aléatoire à l'expéditeur via des relais entre une série de nœuds du réseau. Le dernier nœud Tor est appelé nœud de sortie. Cela peut être le signe d'un accès non autorisé à vos ressources de cluster Kubernetes dans le but de masquer la véritable identité du pirate.

Recommandations de correction :

Si l'utilisateur indiqué dans le résultat de la KubernetesUserDetails section l'estsystem:anonymous, déterminez pourquoi l'utilisateur anonyme a été autorisé à invoquer l'API et à révoquer les autorisations, le cas échéant, en suivant les instructions de la section Bonnes pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS. S'il s'agit d'un utilisateur authentifié, vérifiez si l'activité était légitime ou malveillante. Si l'activité était malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

DefenseEvasion:Kubernetes/MaliciousIPCaller

Une API couramment utilisée pour contourner les mesures défensives a été invoquée à partir d'une adresse IP malveillante connue.

Gravité par défaut : élevée

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a été invoquée à partir d'une adresse IP associée à une activité malveillante connue. L'API observée est généralement associée à des tactiques d'évasion défensive dans lesquelles un adversaire tente de masquer ses actions pour éviter d'être détecté.

Recommandations de correction :

Si l'utilisateur indiqué dans le résultat de la KubernetesUserDetails section l'estsystem:anonymous, déterminez pourquoi l'utilisateur anonyme a été autorisé à invoquer l'API et à révoquer les autorisations, le cas échéant, en suivant les instructions de la section Bonnes pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS. S'il s'agit d'un utilisateur authentifié, vérifiez si l'activité était légitime ou malveillante. Si l'activité était malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

Une API couramment utilisée pour contourner les mesures défensives a été invoquée depuis une adresse IP figurant sur une liste de menaces personnalisée.

Gravité par défaut : élevée

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a été invoquée depuis une adresse IP figurant sur une liste de menaces que vous avez chargée. La liste des menaces associée à ce résultat est répertoriée dans la section Informations supplémentaires des détails d'un résultat. L'API observée est généralement associée à des tactiques d'évasion défensive dans lesquelles un adversaire tente de masquer ses actions pour éviter d'être détecté.

Recommandations de correction :

Si l'utilisateur indiqué dans le résultat de la KubernetesUserDetails section l'estsystem:anonymous, déterminez pourquoi l'utilisateur anonyme a été autorisé à invoquer l'API et à révoquer les autorisations, le cas échéant, en suivant les instructions de la section Bonnes pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS. S'il s'agit d'un utilisateur authentifié, vérifiez si l'activité était légitime ou malveillante. Si l'activité était malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

Une API couramment utilisée pour contourner les mesures défensives a été invoquée par un utilisateur non authentifié.

Gravité par défaut : élevée

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a bien été invoquée par l'utilisateur system:anonymous. Les appels d'API effectués par system:anonymous ne sont pas authentifiés. L'API observée est généralement associée à des tactiques d'évasion défensive dans lesquelles un adversaire tente de masquer ses actions pour éviter d'être détecté. Cette activité indique qu'un accès anonyme ou non authentifié est autorisé sur l'action d'API signalée dans le résultat et peut être autorisé sur d'autres actions. Si ce comportement n'est pas prévu, cela peut indiquer une erreur de configuration ou que vos informations d'identification sont compromises.

Recommandations de correction :

Vous devez examiner les autorisations accordées à l'utilisateur system:anonymous sur votre cluster et vous assurer que toutes les autorisations sont nécessaires. Si les autorisations ont été accordées par erreur ou de manière malveillante, vous devez révoquer l'accès de l'utilisateur et annuler toute modification apportée par un adversaire à votre cluster. Pour plus d'informations, consultez les meilleures pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS.

Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

DefenseEvasion:Kubernetes/TorIPCaller

Une API couramment utilisée pour contourner les mesures défensives a été invoquée à partir de l'adresse IP d'un nœud de sortie Tor.

Gravité par défaut : élevée

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a été invoquée depuis une adresse IP du nœud de sortie Tor. L'API observée est généralement associée à des tactiques d'évasion défensive dans lesquelles un adversaire tente de masquer ses actions pour éviter d'être détecté. Tor est un logiciel permettant d'activer les communications anonymes. Il crypte et retourne des communications de façon aléatoire à l'expéditeur via des relais entre une série de nœuds du réseau. Le dernier nœud Tor est appelé nœud de sortie. Cela peut être le signe d'un accès non autorisé à votre cluster Kubernetes dans le but de masquer la véritable identité de l'adversaire.

Recommandations de correction :

Si l'utilisateur indiqué dans le résultat de la KubernetesUserDetails section l'estsystem:anonymous, déterminez pourquoi l'utilisateur anonyme a été autorisé à invoquer l'API et à révoquer les autorisations, le cas échéant, en suivant les instructions de la section Bonnes pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS. S'il s'agit d'un utilisateur authentifié, vérifiez si l'activité était légitime ou malveillante. Si l'activité était malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Discovery:Kubernetes/MaliciousIPCaller

Une API couramment utilisée pour découvrir des ressources dans un cluster Kubernetes a été invoquée à partir d'une adresse IP.

Gravité par défaut : moyenne

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a été invoquée à partir d'une adresse IP associée à une activité malveillante connue. L'API observée est couramment utilisée lors de la phase de découverte d'une attaque au cours de laquelle un pirate collecte des informations pour déterminer si votre cluster Kubernetes est vulnérable à une attaque de plus grande envergure.

Recommandations de correction :

Si l'utilisateur indiqué dans le résultat de la KubernetesUserDetails section l'estsystem:anonymous, déterminez pourquoi l'utilisateur anonyme a été autorisé à invoquer l'API et à révoquer les autorisations, le cas échéant, en suivant les instructions de la section Bonnes pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS. S'il s'agit d'un utilisateur authentifié, vérifiez si l'activité était légitime ou malveillante. Si l'activité était malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Discovery:Kubernetes/MaliciousIPCaller.Custom

Une API couramment utilisée pour découvrir des ressources dans un cluster Kubernetes a été invoquée à partir d'une adresse IP figurant sur une liste de menaces personnalisée.

Gravité par défaut : moyenne

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une API a été invoquée depuis une adresse IP figurant sur une liste de menaces que vous avez chargée. La liste des menaces associée à ce résultat est répertoriée dans la section Informations supplémentaires des détails d'un résultat. L'API observée est couramment utilisée lors de la phase de découverte d'une attaque au cours de laquelle un pirate collecte des informations pour déterminer si votre cluster Kubernetes est vulnérable à une attaque de plus grande envergure.

Recommandations de correction :

Si l'utilisateur indiqué dans le résultat de la KubernetesUserDetails section l'estsystem:anonymous, déterminez pourquoi l'utilisateur anonyme a été autorisé à invoquer l'API et à révoquer les autorisations, le cas échéant, en suivant les instructions de la section Bonnes pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS. S'il s'agit d'un utilisateur authentifié, vérifiez si l'activité était légitime ou malveillante. Si l'activité était malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Discovery:Kubernetes/SuccessfulAnonymousAccess

Une API couramment utilisée pour découvrir des ressources dans un cluster Kubernetes a été invoquée par un utilisateur non authentifié.

Gravité par défaut : moyenne

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a bien été invoquée par l'utilisateur system:anonymous. Les appels d'API effectués par system:anonymous ne sont pas authentifiés. L'API observée est généralement associée à la phase de découverte d'une attaque lorsqu'un adversaire collecte des informations sur votre cluster Kubernetes. Cette activité indique qu'un accès anonyme ou non authentifié est autorisé sur l'action d'API signalée dans le résultat et peut être autorisé sur d'autres actions. Si ce comportement n'est pas prévu, cela peut indiquer une erreur de configuration ou que vos informations d'identification sont compromises.

Recommandations de correction :

Vous devez examiner les autorisations accordées à l'utilisateur system:anonymous sur votre cluster et vous assurer que toutes les autorisations sont nécessaires. Si les autorisations ont été accordées par erreur ou de manière malveillante, vous devez révoquer l'accès de l'utilisateur et annuler toute modification apportée par un adversaire à votre cluster. Pour plus d'informations, consultez les meilleures pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS.

Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Discovery:Kubernetes/TorIPCaller

Une API couramment utilisée pour découvrir des ressources dans un cluster Kubernetes a été invoquée à partir de l'adresse IP d'un nœud de sortie Tor.

Gravité par défaut : moyenne

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a été invoquée depuis une adresse IP du nœud de sortie Tor. L'API observée est couramment utilisée lors de la phase de découverte d'une attaque au cours de laquelle un pirate collecte des informations pour déterminer si votre cluster Kubernetes est vulnérable à une attaque de plus grande envergure. Tor est un logiciel permettant d'activer les communications anonymes. Il crypte et retourne des communications de façon aléatoire à l'expéditeur via des relais entre une série de nœuds du réseau. Le dernier nœud Tor est appelé nœud de sortie. Cela peut être le signe d'un accès non autorisé à votre cluster Kubernetes dans le but de masquer la véritable identité de l'adversaire.

Recommandations de correction :

Si l'utilisateur indiqué dans le résultat de la KubernetesUserDetails section l'estsystem:anonymous, recherchez pourquoi l'utilisateur anonyme a été autorisé à invoquer l'API et révoquez les autorisations, si nécessaire, en suivant les instructions de la section Bonnes pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS. S'il s'agit d'un utilisateur authentifié, vérifiez si l'activité était légitime ou malveillante. Si l'activité était malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Execution:Kubernetes/ExecInKubeSystemPod

Une commande a été exécutée dans un pod au sein de l'espace de noms kube-system.

Gravité par défaut : moyenne

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une commande a été exécutée dans un pod au sein de l'espace de noms kube-system à l'aide de l'API Kubernetes exec. L'espace de noms kube-system est un espace de noms par défaut, principalement utilisé pour les composants au niveau du système tels que kube-dns et kube-proxy. Il est très rare d'exécuter des commandes dans des pods ou des conteneurs situés sous un espace de noms kube-system, ce qui peut indiquer une activité suspecte.

Recommandations de correction :

Si l'exécution de cette commande est inattendue, les informations d'identification de l'utilisateur utilisées pour exécuter la commande peuvent être compromises. Révoquez l'accès de l'utilisateur et annulez les modifications apportées par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Impact:Kubernetes/MaliciousIPCaller

Une API couramment utilisée pour altérer les ressources d'un cluster Kubernetes a été invoquée à partir d'une adresse IP malveillante connue.

Gravité par défaut : élevée

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a été invoquée à partir d'une adresse IP associée à une activité malveillante connue. L'API observée est généralement associée à des tactiques d'impact dans le cadre desquelles un adversaire tente de manipuler, d'interrompre ou de détruire des données au sein de votre AWS environnement.

Recommandations de correction :

Si l'utilisateur indiqué dans le résultat de la KubernetesUserDetails section l'estsystem:anonymous, déterminez pourquoi l'utilisateur anonyme a été autorisé à invoquer l'API et à révoquer les autorisations, le cas échéant, en suivant les instructions de la section Bonnes pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS. S'il s'agit d'un utilisateur authentifié, vérifiez si l'activité était légitime ou malveillante. Si l'activité était malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Impact:Kubernetes/MaliciousIPCaller.Custom

Une API couramment utilisée pour altérer les ressources d'un cluster Kubernetes a été invoquée à partir d'une adresse IP figurant sur une liste de menaces personnalisée.

Gravité par défaut : élevée

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a été invoquée depuis une adresse IP figurant sur une liste de menaces que vous avez chargée. La liste des menaces associée à ce résultat est répertoriée dans la section Informations supplémentaires des détails d'un résultat. L'API observée est généralement associée à des tactiques d'impact dans le cadre desquelles un adversaire tente de manipuler, d'interrompre ou de détruire des données au sein de votre AWS environnement.

Recommandations de correction :

Si l'utilisateur indiqué dans le résultat de la KubernetesUserDetails section l'estsystem:anonymous, déterminez pourquoi l'utilisateur anonyme a été autorisé à invoquer l'API et à révoquer les autorisations, le cas échéant, en suivant les instructions de la section Bonnes pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS. S'il s'agit d'un utilisateur authentifié, vérifiez si l'activité était légitime ou malveillante. Si l'activité était malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Impact:Kubernetes/SuccessfulAnonymousAccess

Une API couramment utilisée pour altérer les ressources d'un cluster Kubernetes a été invoquée par un utilisateur non authentifié.

Gravité par défaut : élevée

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a bien été invoquée par l'utilisateur system:anonymous. Les appels d'API effectués par system:anonymous ne sont pas authentifiés. L'API observée est généralement associée à la phase d'impact d'une attaque lorsqu'un adversaire altère les ressources de votre cluster. Cette activité indique qu'un accès anonyme ou non authentifié est autorisé sur l'action d'API signalée dans le résultat et peut être autorisé sur d'autres actions. Si ce comportement n'est pas prévu, cela peut indiquer une erreur de configuration ou que vos informations d'identification sont compromises.

Recommandations de correction :

Vous devez examiner les autorisations accordées à l'utilisateur system:anonymous sur votre cluster et vous assurer que toutes les autorisations sont nécessaires. Si les autorisations ont été accordées par erreur ou de manière malveillante, vous devez révoquer l'accès de l'utilisateur et annuler toute modification apportée par un adversaire à votre cluster. Pour plus d'informations, consultez les meilleures pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS.

Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Impact:Kubernetes/TorIPCaller

Une API couramment utilisée pour altérer les ressources d'un cluster Kubernetes a été invoquée à partir de l'adresse IP d'un nœud de sortie Tor.

Gravité par défaut : élevée

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a été invoquée depuis une adresse IP du nœud de sortie Tor. L'API observée est généralement associée à des tactiques d'impact où un adversaire tente de manipuler, d'interrompre ou de détruire des données au sein de votre environnement AWS . Tor est un logiciel permettant d'activer les communications anonymes. Il crypte et retourne des communications de façon aléatoire à l'expéditeur via des relais entre une série de nœuds du réseau. Le dernier nœud Tor est appelé nœud de sortie. Cela peut être le signe d'un accès non autorisé à votre cluster Kubernetes dans le but de masquer la véritable identité de l'adversaire.

Recommandations de correction :

Si l'utilisateur indiqué dans le résultat de la KubernetesUserDetails section l'estsystem:anonymous, déterminez pourquoi l'utilisateur anonyme a été autorisé à invoquer l'API et à révoquer les autorisations, le cas échéant, en suivant les instructions de la section Bonnes pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS. S'il s'agit d'un utilisateur authentifié, vérifiez si l'activité était légitime ou malveillante. Si l'activité était malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Persistence:Kubernetes/ContainerWithSensitiveMount

Un conteneur a été lancé avec un chemin d'accès de l'hôte externe sensible monté à l'intérieur.

Gravité par défaut : moyenne

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'un conteneur a été lancé avec une configuration incluant un chemin d'accès de l'hôte sensible avec accès en écriture dans la section volumeMounts. Cela rend le chemin d'accès de l'hôte sensible accessible et inscriptible depuis l'intérieur du conteneur. Cette technique est couramment utilisée par des adversaires pour accéder au système de fichiers de l'hôte.

Recommandations de correction :

Si ce lancement de conteneur est inattendu, les informations d'identification de l'utilisateur utilisées pour lancer le conteneur peuvent être compromises. Révoquez l'accès de l'utilisateur et annulez les modifications apportées par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Si ce lancement de conteneur est prévu, il est recommandé d'utiliser une règle de suppression composée de critères de filtre basés sur le champ resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. Dans les critères de filtre, le champ imagePrefix doit être identique au imagePrefix spécifié dans le résultat. Pour de plus amples informations sur la création de règles de suppression, veuillez consulter Règles de suppression (langue française non garantie).

Persistence:Kubernetes/MaliciousIPCaller

Une API couramment utilisée pour obtenir un accès permanent à un cluster Kubernetes a été invoquée à partir d'une adresse IP malveillante connue.

Gravité par défaut : moyenne

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a été invoquée à partir d'une adresse IP associée à une activité malveillante connue. L'API observée est généralement associée à des tactiques de persistance dans le cadre desquelles un adversaire a obtenu l'accès à votre cluster Kubernetes et tente de le conserver.

Recommandations de correction :

Si l'utilisateur indiqué dans le résultat de la KubernetesUserDetails section l'estsystem:anonymous, déterminez pourquoi l'utilisateur anonyme a été autorisé à invoquer l'API et à révoquer les autorisations, le cas échéant, en suivant les instructions de la section Bonnes pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS. S'il s'agit d'un utilisateur authentifié, vérifiez si l'activité était légitime ou malveillante. Si l'activité était malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Persistence:Kubernetes/MaliciousIPCaller.Custom

Une API couramment utilisée pour obtenir un accès permanent à un cluster Kubernetes a été invoquée à partir d'une adresse IP figurant sur une liste de menaces personnalisée.

Gravité par défaut : moyenne

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a été invoquée depuis une adresse IP figurant sur une liste de menaces que vous avez chargée. La liste des menaces associée à ce résultat est répertoriée dans la section Informations supplémentaires des détails d'un résultat. L'API observée est généralement associée à des tactiques de persistance dans le cadre desquelles un adversaire a obtenu l'accès à votre cluster Kubernetes et tente de le conserver.

Recommandations de correction :

Si l'utilisateur indiqué dans le résultat de la KubernetesUserDetails section l'estsystem:anonymous, déterminez pourquoi l'utilisateur anonyme a été autorisé à invoquer l'API et à révoquer les autorisations, le cas échéant, en suivant les instructions de la section Bonnes pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS. S'il s'agit d'un utilisateur authentifié, vérifiez si l'activité était légitime ou malveillante. Si l'activité était malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Persistence:Kubernetes/SuccessfulAnonymousAccess

Une API couramment utilisée pour obtenir des autorisations de haut niveau sur un cluster Kubernetes a été invoquée par un utilisateur non authentifié.

Gravité par défaut : élevée

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a bien été invoquée par l'utilisateur system:anonymous. Les appels d'API effectués par system:anonymous ne sont pas authentifiés. L'API observée est généralement associée aux tactiques de persistance dans le cadre desquelles un adversaire a obtenu l'accès à votre cluster et tente de le conserver. Cette activité indique qu'un accès anonyme ou non authentifié est autorisé sur l'action d'API signalée dans le résultat et peut être autorisé sur d'autres actions. Si ce comportement n'est pas prévu, cela peut indiquer une erreur de configuration ou que vos informations d'identification sont compromises.

Recommandations de correction :

Vous devez examiner les autorisations accordées à l'utilisateur system:anonymous sur votre cluster et vous assurer que toutes les autorisations sont nécessaires. Si les autorisations ont été accordées par erreur ou de manière malveillante, vous devez révoquer l'accès de l'utilisateur et annuler toute modification apportée par un adversaire à votre cluster. Pour plus d'informations, consultez les meilleures pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS.

Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Persistence:Kubernetes/TorIPCaller

Une API couramment utilisée pour obtenir un accès permanent à un cluster Kubernetes a été invoquée à partir de l'adresse IP d'un nœud de sortie Tor.

Gravité par défaut : moyenne

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API a été invoquée depuis une adresse IP du nœud de sortie Tor. L'API observée est généralement associée à des tactiques de persistance dans le cadre desquelles un adversaire a obtenu l'accès à votre cluster Kubernetes et tente de le conserver. Tor est un logiciel permettant d'activer les communications anonymes. Il crypte et retourne des communications de façon aléatoire à l'expéditeur via des relais entre une série de nœuds du réseau. Le dernier nœud Tor est appelé nœud de sortie. Cela peut indiquer un accès non autorisé à vos AWS ressources dans le but de cacher la véritable identité de l'attaquant.

Recommandations de correction :

Si l'utilisateur indiqué dans le résultat de la KubernetesUserDetails section l'estsystem:anonymous, déterminez pourquoi l'utilisateur anonyme a été autorisé à invoquer l'API et à révoquer les autorisations, le cas échéant, en suivant les instructions de la section Bonnes pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS. S'il s'agit d'un utilisateur authentifié, vérifiez si l'activité était légitime ou malveillante. Si l'activité était malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

Le compte de service par défaut a reçu des privilèges d'administrateur sur un cluster Kubernetes.

Gravité par défaut : élevée

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe que le compte de service par défaut pour un espace de noms de votre cluster Kubernetes a reçu des privilèges d'administrateur. Kubernetes crée un compte de service par défaut pour tous les espaces de noms du cluster. Il attribue automatiquement le compte de service par défaut en tant qu'identité aux pods qui n'ont pas été explicitement associés à un autre compte de service. Si le compte de service par défaut possède des privilèges d'administrateur, des pods peuvent être lancés involontairement avec des privilèges d'administrateur. Si ce comportement n'est pas prévu, cela peut indiquer une erreur de configuration ou que vos informations d'identification sont compromises.

Recommandations de correction :

Vous ne devez pas utiliser le compte de service par défaut pour accorder des autorisations aux pods. Vous devez plutôt créer un compte de service dédié pour chaque charge de travail et accorder l'autorisation à ce compte en fonction des besoins. Pour résoudre ce problème, vous devez créer des comptes de service dédiés pour tous vos pods et charges de travail et mettre à jour les pods et les charges de travail afin d'effectuer une migration du compte de service par défaut vers leurs comptes dédiés. Vous devez ensuite supprimer l'autorisation d'administrateur du compte de service par défaut. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Policy:Kubernetes/AnonymousAccessGranted

L'utilisateur system:anonymous a obtenu l'autorisation d'API sur un cluster Kubernetes.

Gravité par défaut : élevée

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'un utilisateur de votre cluster Kubernetes est parvenu à créer une ClusterRoleBinding ou une RoleBinding pour lier l'utilisateur à un rôle system:anonymous. Cela permet un accès non authentifié aux opérations d'API autorisées par le rôle. Si ce comportement n'est pas prévu, cela peut indiquer une erreur de configuration ou que vos informations d'identification sont compromises.

Recommandations de correction :

Vous devez examiner les autorisations accordées à l'utilisateur system:anonymous ou au groupe system:unauthenticated de votre cluster et révoquer les accès anonymes inutiles. Pour plus d'informations, consultez les meilleures pratiques de sécurité pour Amazon EKS dans le guide de l'utilisateur Amazon EKS. Si les autorisations ont été accordées de manière malveillante, vous devez révoquer l'accès de l'utilisateur qui les a accordées et annuler toute modification apportée par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Policy:Kubernetes/ExposedDashboard

Le tableau de bord d'un cluster Kubernetes a été exposé sur Internet

Gravité par défaut : moyenne

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe que le tableau de bord Kubernetes de votre cluster a été exposé sur Internet par un service d'équilibreur de charge. Un tableau de bord exposé permet d'accéder à l'interface de gestion de votre cluster depuis Internet et permet aux adversaires d'exploiter les éventuelles failles d'authentification et de contrôle d'accès.

Recommandations de correction :

Vous devez vous assurer que l'authentification et l'autorisation fortes sont appliquées sur le tableau de bord Kubernetes. Vous devez également implémenter le contrôle d'accès au réseau pour restreindre l'accès au tableau de bord à partir d'adresses IP spécifiques.

Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Policy:Kubernetes/KubeflowDashboardExposed

Le tableau de bord Kubeflow d'un cluster Kubernetes a été exposé sur Internet

Gravité par défaut : moyenne

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe que le tableau de bord Kubeflow de votre cluster a été exposé sur Internet par un service d'équilibreur de charge. Un tableau de bord Kubeflow exposé permet d'accéder à l'interface de gestion de votre environnement Kubeflow depuis Internet et permet aux adversaires d'exploiter les éventuelles failles d'authentification et de contrôle d'accès.

Recommandations de correction :

Vous devez vous assurer que l'authentification et l'autorisation fortes sont appliquées sur le tableau de bord Kubeflow. Vous devez également implémenter le contrôle d'accès au réseau pour restreindre l'accès au tableau de bord à partir d'adresses IP spécifiques.

Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

PrivilegeEscalation:Kubernetes/PrivilegedContainer

Un conteneur privilégié avec accès au niveau racine a été lancé sur votre cluster Kubernetes.

Gravité par défaut : moyenne

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'un conteneur privilégié a été lancé sur votre cluster Kubernetes à l'aide d'une image qui n'a jamais été utilisée auparavant pour lancer des conteneurs privilégiés dans votre cluster. Un conteneur privilégié dispose d'un accès au niveau racine à l'hôte. Les adversaires peuvent lancer des conteneurs privilégiés comme tactique d'escalade des privilèges pour accéder à l'hôte puis le compromettre.

Recommandations de correction :

Si ce lancement de conteneur est inattendu, les informations d'identification de l'utilisateur utilisées pour lancer le conteneur peuvent être compromises. Révoquez l'accès de l'utilisateur et annulez les modifications apportées par un adversaire à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed

Une API Kubernetes couramment utilisée pour accéder aux secrets a été invoquée de manière anormale.

Gravité par défaut : moyenne

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API anormale visant à récupérer des secrets de cluster sensibles a été invoquée par un utilisateur Kubernetes dans votre cluster. L'API observée est généralement associée à des tactiques d'accès aux informations d'identification qui peuvent entraîner une escalade des privilèges et un accès accru au sein de votre cluster. Si ce comportement n'est pas attendu, cela peut indiquer soit une erreur de configuration, soit le fait que vos AWS informations d'identification sont compromises.

L'API observée a été identifiée comme anormale par le modèle d'apprentissage automatique (ML) de détection d' GuardDuty anomalies. Le modèle de ML évalue toutes les activités d'API utilisateur au sein de votre cluster EKS et identifie les événements anormaux associés aux techniques utilisées par des utilisateurs non autorisés. Le modèle de ML suit plusieurs facteurs de l'opération d'API, tels que l'utilisateur qui fait la demande, le lieu d'origine de la demande, l'agent utilisateur utilisé et l'espace de noms exploité par l'utilisateur. Vous pouvez trouver les détails inhabituels de la demande d'API dans le panneau des détails de recherche de la GuardDuty console.

Recommandations de correction :

Examinez les autorisations accordées à l'utilisateur Kubernetes dans votre cluster et assurez-vous que toutes ces autorisations sont nécessaires. Si les autorisations ont été accordées par erreur ou de manière malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un utilisateur non autorisé à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Si vos AWS informations d'identification sont compromises, consultezCorriger les informations d'identification potentiellement compromises AWS.

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated

Un rôle trop permissif RoleBinding ou ClusterRoleBinding un espace de noms sensible ont été créés ou modifiés dans votre cluster Kubernetes.

Gravité par défaut : moyenne*

Note

La gravité par défaut de ce résultat est moyenne. Toutefois, si un RoleBinding ou ClusterRoleBinding implique le ClusterRoles admin oucluster-admin, la gravité est élevée.

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'un utilisateur de votre cluster Kubernetes a créé une RoleBinding ou une ClusterRoleBinding pour lier un utilisateur à un rôle avec des autorisations d'administrateur ou des espaces de noms sensibles. Si ce comportement n'est pas attendu, cela peut indiquer soit une erreur de configuration, soit le fait que vos AWS informations d'identification sont compromises.

L'API observée a été identifiée comme anormale par le modèle d'apprentissage automatique (ML) de détection d' GuardDuty anomalies. Le modèle de ML évalue toutes les activités d'API utilisateur au sein de votre cluster EKS. Ce modèle de machine learning identifie également les événements anormaux associés aux techniques utilisées par un utilisateur non autorisé. Le modèle de ML suit aussi plusieurs facteurs de l'opération d'API, tels que l'utilisateur qui fait la demande, le lieu d'origine de la demande, l'agent utilisateur utilisé et l'espace de noms exploité par l'utilisateur. Vous pouvez trouver les détails inhabituels de la demande d'API dans le panneau des détails de recherche de la GuardDuty console.

Recommandations de correction :

Examinez les autorisations accordées à l'utilisateur Kubernetes. Ces autorisations sont définies dans le rôle et les sujets concernés dans RoleBinding et ClusterRoleBinding. Si les autorisations ont été accordées par erreur ou de manière malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un utilisateur non autorisé à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Si vos AWS informations d'identification sont compromises, consultezCorriger les informations d'identification potentiellement compromises AWS.

Execution:Kubernetes/AnomalousBehavior.ExecInPod

Une commande a été exécutée à l'intérieur d'un pod de manière anormale.

Gravité par défaut : moyenne

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une commande a été exécutée dans un pod à l'aide de l'API Kubernetes exec. L'API Kubernetes exec permet d'exécuter des commandes arbitraires dans un pod. Si ce comportement n'est pas attendu pour l'utilisateur, l'espace de noms ou le pod, cela peut indiquer une erreur de configuration ou que vos AWS informations d'identification sont compromises.

L'API observée a été identifiée comme anormale par le modèle d'apprentissage automatique (ML) de détection d' GuardDuty anomalies. Le modèle de ML évalue toutes les activités d'API utilisateur au sein de votre cluster EKS. Ce modèle de machine learning identifie également les événements anormaux associés aux techniques utilisées par un utilisateur non autorisé. Le modèle de ML suit aussi plusieurs facteurs de l'opération d'API, tels que l'utilisateur qui fait la demande, le lieu d'origine de la demande, l'agent utilisateur utilisé et l'espace de noms exploité par l'utilisateur. Vous pouvez trouver les détails inhabituels de la demande d'API dans le panneau des détails de recherche de la GuardDuty console.

Recommandations de correction :

Si l'exécution de cette commande est inattendue, les informations d'identification de l'utilisateur utilisées pour exécuter la commande peuvent avoir été compromises. Révoquez l'accès de l'utilisateur et annulez toute modification apportée par un utilisateur non autorisé à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Si vos AWS informations d'identification sont compromises, consultezCorriger les informations d'identification potentiellement compromises AWS.

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

Une charge de travail a été lancée avec un conteneur privilégié de manière anormale.

Gravité par défaut : élevée

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une charge de travail a été lancée avec un conteneur privilégié dans votre cluster Amazon EKS. Un conteneur privilégié dispose d'un accès au niveau racine à l'hôte. Les utilisateurs non autorisés peuvent lancer des conteneurs privilégiés comme tactique d'escalade des privilèges pour d'abord accéder à l'hôte, puis le compromettre.

La création ou la modification du conteneur observée a été identifiée comme anormale par le modèle d'apprentissage automatique (ML) de détection des GuardDuty anomalies. Le modèle de ML évalue toutes les activités d'API utilisateur et des images de conteneur au sein de votre cluster EKS. Ce modèle de machine learning identifie également les événements anormaux associés aux techniques utilisées par un utilisateur non autorisé. Le modèle de ML suit également plusieurs facteurs liés au fonctionnement de l'API, tels que l'utilisateur qui fait la demande, le lieu d'origine de la demande, l'agent utilisateur utilisé, les images de conteneur observées dans votre compte et l'espace de noms exploité par l'utilisateur. Vous pouvez trouver les détails inhabituels de la demande d'API dans le panneau des détails de recherche de la GuardDuty console.

Recommandations de correction :

Si ce lancement de conteneur est inattendu, les informations d'identification de l'utilisateur utilisées pour lancer le conteneur peuvent avoir été compromises. Révoquez l'accès de l'utilisateur et annulez toute modification apportée par un utilisateur non autorisé à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Si vos AWS informations d'identification sont compromises, consultezCorriger les informations d'identification potentiellement compromises AWS.

Si ce lancement de conteneur est prévu, il est recommandé d'utiliser une règle de suppression avec des critères de filtre basés sur le champ resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. Dans les critères de filtre, le champ imagePrefix doit avoir la même valeur que le champ imagePrefix spécifié dans le résultat. Pour plus d’informations, consultez Règles de suppression.

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

Une charge de travail a été déployée de manière anormale, avec un chemin d'accès de l'hôte sensible installé à l'intérieur de la charge de travail.

Gravité par défaut : élevée

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une charge de travail a été lancée avec un conteneur qui incluait un chemin d'accès de l'hôte sensible dans la section volumeMounts. Cela rend potentiellement le chemin d'accès de l'hôte sensible accessible et inscriptible depuis l'intérieur du conteneur. Cette technique est couramment utilisée par des utilisateurs non autorisés pour accéder au système de fichiers de l'hôte.

La création ou la modification du conteneur observée a été identifiée comme anormale par le modèle d'apprentissage automatique (ML) de détection des GuardDuty anomalies. Le modèle de ML évalue toutes les activités d'API utilisateur et des images de conteneur au sein de votre cluster EKS. Ce modèle de machine learning identifie également les événements anormaux associés aux techniques utilisées par un utilisateur non autorisé. Le modèle de ML suit également plusieurs facteurs liés au fonctionnement de l'API, tels que l'utilisateur qui fait la demande, le lieu d'origine de la demande, l'agent utilisateur utilisé, les images de conteneur observées dans votre compte et l'espace de noms exploité par l'utilisateur. Vous pouvez trouver les détails inhabituels de la demande d'API dans le panneau des détails de recherche de la GuardDuty console.

Recommandations de correction :

Si ce lancement de conteneur est inattendu, les informations d'identification de l'utilisateur utilisées pour lancer le conteneur peuvent avoir été compromises. Révoquez l'accès de l'utilisateur et annulez toute modification apportée par un utilisateur non autorisé à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Si vos AWS informations d'identification sont compromises, consultezCorriger les informations d'identification potentiellement compromises AWS.

Si ce lancement de conteneur est prévu, il est recommandé d'utiliser une règle de suppression avec des critères de filtre basés sur le champ resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. Dans les critères de filtre, le champ imagePrefix doit avoir la même valeur que le champ imagePrefix spécifié dans le résultat. Pour plus d’informations, consultez Règles de suppression.

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

Une charge de travail a été lancée de manière anormale.

Gravité par défaut : faible*

Note

Le niveau de gravité par défaut est faible. Toutefois, si la charge de travail contient un nom d'image potentiellement suspect, tel qu'un outil pentest connu, ou si un conteneur exécute une commande potentiellement suspecte au lancement, telle que des commandes shell inverses, le niveau de gravité de ce type de résultat sera considéré comme moyen.

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une charge de travail Kubernetes a été créée ou modifiée de manière anormale, par exemple en raison d'une activité d'API, de nouvelles images de conteneur ou d'une configuration de charge de travail risquée, au sein de votre cluster Amazon EKS. Les utilisateurs non autorisés peuvent lancer des conteneurs comme tactique pour exécuter du code arbitraire pour d'abord accéder à l'hôte, puis le compromettre.

La création ou la modification du conteneur observée a été identifiée comme anormale par le modèle d'apprentissage automatique (ML) de détection des GuardDuty anomalies. Le modèle de ML évalue toutes les activités d'API utilisateur et des images de conteneur au sein de votre cluster EKS. Ce modèle de machine learning identifie également les événements anormaux associés aux techniques utilisées par un utilisateur non autorisé. Le modèle de ML suit également plusieurs facteurs liés au fonctionnement de l'API, tels que l'utilisateur qui fait la demande, le lieu d'origine de la demande, l'agent utilisateur utilisé, les images de conteneur observées dans votre compte et l'espace de noms exploité par l'utilisateur. Vous pouvez trouver les détails inhabituels de la demande d'API dans le panneau des détails de recherche de la GuardDuty console.

Recommandations de correction :

Si ce lancement de conteneur est inattendu, les informations d'identification de l'utilisateur utilisées pour lancer le conteneur peuvent avoir été compromises. Révoquez l'accès de l'utilisateur et annulez toute modification apportée par un utilisateur non autorisé à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Si vos AWS informations d'identification sont compromises, consultezCorriger les informations d'identification potentiellement compromises AWS.

Si ce lancement de conteneur est prévu, il est recommandé d'utiliser une règle de suppression avec des critères de filtre basés sur le champ resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. Dans les critères de filtre, le champ imagePrefix doit avoir la même valeur que le champ imagePrefix spécifié dans le résultat. Pour plus d’informations, consultez Règles de suppression.

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

Rôle hautement permissif ou ClusterRole créé ou modifié de manière anormale.

Gravité par défaut : faible

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'une opération d'API anormale visant à créer un Role ou un ClusterRole avec des autorisations excessives a été appelée par un utilisateur Kubernetes dans votre cluster Amazon EKS. Les acteurs peuvent utiliser la création de rôles avec de puissantes autorisations pour éviter d'utiliser des rôles intégrés de type administrateur et éviter d'être détectés. Les autorisations excessives peuvent entraîner une escalade des privilèges, l'exécution de code à distance et éventuellement le contrôle d'un espace de noms ou d'un cluster. Si ce comportement n'est pas prévu, cela peut indiquer une erreur de configuration ou que vos informations d'identification sont compromises.

L'API observée a été identifiée comme anormale par le modèle d'apprentissage automatique (ML) de détection d' GuardDuty anomalies. Le modèle de ML évalue toutes les activités d'API utilisateur au sein de votre cluster Amazon EKS et identifie les événements anormaux associés aux techniques utilisées par des utilisateurs non autorisés. Le modèle de ML suit également plusieurs facteurs liés au fonctionnement de l'API, tels que l'utilisateur qui fait la demande, le lieu d'origine de la demande, l'agent utilisateur utilisé, les images de conteneur observées dans votre compte et l'espace de noms exploité par l'utilisateur. Vous pouvez trouver les détails inhabituels de la demande d'API dans le panneau des détails de recherche de la GuardDuty console.

Recommandations de correction :

Examinez les autorisations définies dans Role ou ClusterRole pour vous assurer que toutes les autorisations sont nécessaires et respectez le principe du moindre privilège. Si les autorisations ont été accordées par erreur ou de manière malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un utilisateur non autorisé à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Si vos AWS informations d'identification sont compromises, consultezCorriger les informations d'identification potentiellement compromises AWS.

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

Un utilisateur a vérifié son autorisation d'accès de manière anormale.

Gravité par défaut : faible

  • Fonctionnalité : journaux d'audit EKS

Ce résultat vous informe qu'un utilisateur de votre cluster Kubernetes est parvenu à vérifier si les puissantes autorisations connues pouvant entraîner une escalade des privilèges et l'exécution de code à distance sont autorisées ou non. Par exemple, une commande couramment utilisée pour vérifier les autorisations d'un utilisateur est kubectl auth can-i. Si ce comportement n'est pas prévu, cela peut indiquer une erreur de configuration ou que vos informations d'identification ont été compromises.

L'API observée a été identifiée comme anormale par le modèle d'apprentissage automatique (ML) de détection d' GuardDuty anomalies. Le modèle de ML évalue toutes les activités d'API utilisateur au sein de votre cluster Amazon EKS et identifie les événements anormaux associés aux techniques utilisées par des utilisateurs non autorisés. Le modèle de ML suit également plusieurs facteurs de l'opération d'API, tels que l'utilisateur qui fait la demande, le lieu d'origine de la demande, l'autorisation en cours de vérification et l'espace de noms exploité par l'utilisateur. Vous pouvez trouver les détails inhabituels de la demande d'API dans le panneau des détails de recherche de la GuardDuty console.

Recommandations de correction :

Examinez les autorisations accordées à l'utilisateur Kubernetes pour vous assurer qu'elles sont toutes nécessaires. Si les autorisations ont été accordées par erreur ou de manière malveillante, révoquez l'accès de l'utilisateur et annulez les modifications apportées par un utilisateur non autorisé à votre cluster. Pour plus d’informations, consultez Correction des résultats de la surveillance des journaux d'audit EKS.

Si vos AWS informations d'identification sont compromises, consultezCorriger les informations d'identification potentiellement compromises AWS.