EKS 감사 로그 찾기 유형 - 아마존 GuardDuty
CredentialAccess:Kubernetes/MaliciousIPCallerCredentialAccess:Kubernetes/MaliciousIPCaller.CustomCredentialAccess:Kubernetes/SuccessfulAnonymousAccessCredentialAccess:Kubernetes/TorIPCallerDefenseEvasion:Kubernetes/MaliciousIPCallerDefenseEvasion:Kubernetes/MaliciousIPCaller.CustomDefenseEvasion:Kubernetes/SuccessfulAnonymousAccessDefenseEvasion:Kubernetes/TorIPCallerDiscovery:Kubernetes/MaliciousIPCallerDiscovery:Kubernetes/MaliciousIPCaller.CustomDiscovery:Kubernetes/SuccessfulAnonymousAccessDiscovery:Kubernetes/TorIPCallerExecution:Kubernetes/ExecInKubeSystemPodImpact:Kubernetes/MaliciousIPCallerImpact:Kubernetes/MaliciousIPCaller.CustomImpact:Kubernetes/SuccessfulAnonymousAccessImpact:Kubernetes/TorIPCallerPersistence:Kubernetes/ContainerWithSensitiveMountPersistence:Kubernetes/MaliciousIPCallerPersistence:Kubernetes/MaliciousIPCaller.CustomPersistence:Kubernetes/SuccessfulAnonymousAccessPersistence:Kubernetes/TorIPCallerPolicy:Kubernetes/AdminAccessToDefaultServiceAccountPolicy:Kubernetes/AnonymousAccessGrantedPolicy:Kubernetes/ExposedDashboardPolicy:Kubernetes/KubeflowDashboardExposedPrivilegeEscalation:Kubernetes/PrivilegedContainerCredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreatedExecution:Kubernetes/AnomalousBehavior.ExecInPodPrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainerPersistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMountExecution:Kubernetes/AnomalousBehavior.WorkloadDeployedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreatedDiscovery:Kubernetes/AnomalousBehavior.PermissionChecked

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

EKS 감사 로그 찾기 유형

다음 결과는 Kubernetes 리소스에만 해당되며 항상 resource_typeEKSCluster입니다. 결과의 심각도 및 세부 정보는 결과 유형에 따라 다릅니다.

모든 Kubernetes 유형 결과에 대해 해당 리소스를 검토하여 활동이 예상된 것인지 또는 잠재적으로 악의적일 수 있는지 확인하는 것이 좋습니다. 발견으로 식별된 손상된 Kubernetes 리소스를 수정하는 방법에 대한 지침은 을 참조하십시오. GuardDuty EKS 감사 로그 모니터링 결과 해결

참고

이러한 결과 생성의 원인이 된 활동이 예상된 활동일 경우 향후 알림을 방지하기 위해 억제 규칙 추가를 고려해 보세요.

주제
참고

쿠버네티스 버전 1.14 이전에는 그룹이 기본적으로 연결되어 있었습니다. system:unauthenticated system:discovery system:basic-user ClusterRoles 이 연결로 인해 익명 사용자의 의도하지 않은 액세스가 허용될 수 있습니다. 클러스터 업데이트를 통해 이러한 권한을 철회되지 않습니다. 클러스터를 버전 1.14 이상으로 업데이트한 경우에도 이러한 권한은 계속 활성화될 수 있습니다. system:unauthenticated 그룹에서 이러한 권한을 분리하는 것이 좋습니다. 이러한 권한 취소에 대한 지침은 Amazon EKS 사용 설명서의 Amazon EKS의 보안 모범 사례를 참조하십시오.

CredentialAccess:Kubernetes/MaliciousIPCaller

Kubernetes 클러스터의 보안 인증 정보나 보안 암호에 액세스하는 데 일반적으로 사용되는 API가 알려진 악성 IP 주소에서 간접적으로 호출되었습니다.

기본 심각도: 높음

  • 기능: EKS 감사 로그

이 결과는 알려진 악성 활동과 관련된 IP 주소에서 API 작업이 간접적으로 호출되었음을 알려줍니다. 관찰되는 API는 일반적으로 공격자가 Kubernetes 클러스터의 암호, 사용자 이름 및 액세스 키를 수집하려고 시도하는 공격의 보안 인증 정보 액세스 전략과 관련이 있습니다.

해결 권장 사항:

사용자가 KubernetesUserDetails 섹션의 결과에 다음과 같다고 보고한 경우system:anonymous, Amazon EKS 사용 설명서의 Amazon EKS 보안 모범 사례의 지침에 따라 익명 사용자에게 API 호출이 허용된 이유를 조사하고 필요한 경우 권한을 취소하십시오. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

Kubernetes 클러스터의 보안 인증 정보나 보안 암호에 액세스하는 데 일반적으로 사용되는 API가 사용자 지정 위협 목록에서 간접적으로 호출되었습니다.

기본 심각도: 높음

  • 기능: EKS 감사 로그

이 결과는 API 작업이 사용자가 업로드한 위협 목록에 포함된 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 이 결과와 관련된 위협 목록은 결과 세부 정보의 추가 정보 섹션에 나열됩니다. 관찰되는 API는 일반적으로 공격자가 Kubernetes 클러스터의 암호, 사용자 이름 및 액세스 키를 수집하려고 시도하는 공격의 보안 인증 정보 액세스 전략과 관련이 있습니다.

해결 권장 사항:

사용자가 KubernetesUserDetails 섹션의 결과에 다음과 같다고 보고한 경우 Amazon EKS 사용 설명서의 Amazon EKS 보안 모범 사례의 지침에 따라 익명 사용자에게 API 호출이 허용된 이유를 조사하고 필요한 경우 권한을 취소하십시오. system:anonymous 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

인증되지 않은 사용자가 Kubernetes 클러스터의 보안 인증 정보나 보안 암호에 액세스하는 데 일반적으로 사용되는 API를 간접적으로 호출했습니다.

기본 심각도: 높음

  • 특징: EKS 감사 로그

이 결과는 system:anonymous 사용자가 API 작업을 성공적으로 간접 호출했음을 알려줍니다. system:anonymous의 API 호출이 인증되지 않았습니다. 관찰되는 API는 일반적으로 공격자가 Kubernetes 클러스터의 암호, 사용자 이름 및 액세스 키를 수집하려고 시도하는 공격의 보안 인증 정보 액세스 전략과 관련이 있습니다. 이 활동은 결과에 보고된 API 작업에서 익명 또는 인증되지 않은 액세스가 허용되고 다른 작업에서 허용될 수 있음을 나타냅니다. 이러한 동작이 예상된 동작이 아닌 경우 구성 실수이거나 보안 인증 정보가 손상되었기 때문일 수 있습니다.

해결 권장 사항:

클러스터의 system:anonymous 사용자에게 부여된 권한을 검사하고 모든 권한이 필요한지 여부를 확인해야 합니다. 권한이 실수로 또는 악의적으로 부여된 경우 사용자의 액세스를 철회하고 공격자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 내용은 Amazon EKS 사용 설명서의 Amazon EKS의 보안 모범 사례를 참조하십시오.

자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

CredentialAccess:Kubernetes/TorIPCaller

Kubernetes 클러스터의 보안 인증 정보나 보안 암호에 액세스하는 데 일반적으로 사용되는 API가 알려진 Tor 출구 노드 IP 주소에서 간접적으로 호출되었습니다.

기본 심각도: 높음

  • 기능: EKS 감사 로그

이 결과는 API 작업이 Tor 출구 노드 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 관찰되는 API는 일반적으로 공격자가 Kubernetes 클러스터의 암호, 사용자 이름 및 액세스 키를 수집하려고 시도하는 공격의 보안 인증 정보 액세스 전략과 관련이 있습니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 공격자의 실제 신원을 숨기려는 의도를 갖고 Kubernetes 클러스터 리소스에 무단으로 액세스하려 함을 나타낼 수 있습니다.

해결 권장 사항:

사용자가 KubernetesUserDetails 섹션의 결과에 다음과 같다고 보고한 경우system:anonymous, Amazon EKS 사용 설명서의 Amazon EKS 보안 모범 사례의 지침에 따라 익명 사용자에게 API 호출이 허용된 이유를 조사하고 필요한 경우 권한을 취소하십시오. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

DefenseEvasion:Kubernetes/MaliciousIPCaller

방어 조치를 우회하는 데 일반적으로 사용되는 API가 알려진 악성 IP 주소에서 간접 호출되었습니다.

기본 심각도: 높음

  • 기능: EKS 감사 로그

이 결과는 알려진 악성 활동과 관련된 IP 주소에서 API 작업이 간접적으로 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 자신의 행동을 감추고 탐지를 피하려는 방어 우회 전략과 관련이 있습니다.

해결 권장 사항:

사용자가 KubernetesUserDetails 섹션의 결과에 다음과 같다고 보고한 경우system:anonymous, Amazon EKS 사용 설명서의 Amazon EKS 보안 모범 사례의 지침에 따라 익명 사용자에게 API 호출이 허용된 이유를 조사하고 필요한 경우 권한을 취소하십시오. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

방어 조치를 우회하는 데 일반적으로 사용되는 API가 사용자 지정 위협 목록의 IP 주소에서 간접 호출되었습니다.

기본 심각도: 높음

  • 기능: EKS 감사 로그

이 결과는 API 작업이 사용자가 업로드한 위협 목록에 포함된 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 이 결과와 관련된 위협 목록은 결과 세부 정보의 추가 정보 섹션에 나열됩니다. 관찰된 API는 일반적으로 공격자가 자신의 행동을 감추고 탐지를 피하려는 방어 우회 전략과 관련이 있습니다.

해결 권장 사항:

사용자가 KubernetesUserDetails 섹션의 결과에 다음과 같다고 보고한 경우system:anonymous, Amazon EKS 사용 설명서의 Amazon EKS 보안 모범 사례의 지침에 따라 익명 사용자에게 API 호출이 허용된 이유를 조사하고 필요한 경우 권한을 취소하십시오. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

인증되지 않은 사용자가 방어 조치를 우회하는 데 일반적으로 사용되는 API를 간접 호출했습니다.

기본 심각도: 높음

  • 기능: EKS 감사 로그

이 결과는 system:anonymous 사용자가 API 작업을 성공적으로 간접 호출했음을 알려줍니다. system:anonymous의 API 호출이 인증되지 않았습니다. 관찰된 API는 일반적으로 공격자가 자신의 행동을 감추고 탐지를 피하려는 방어 우회 전략과 관련이 있습니다. 이 활동은 결과에 보고된 API 작업에서 익명 또는 인증되지 않은 액세스가 허용되고 다른 작업에서 허용될 수 있음을 나타냅니다. 이러한 동작이 예상된 동작이 아닌 경우 구성 실수이거나 보안 인증 정보가 손상되었기 때문일 수 있습니다.

해결 권장 사항:

클러스터의 system:anonymous 사용자에게 부여된 권한을 검사하고 모든 권한이 필요한지 여부를 확인해야 합니다. 권한이 실수로 또는 악의적으로 부여된 경우 사용자의 액세스를 철회하고 공격자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 내용은 Amazon EKS 사용 설명서의 Amazon EKS의 보안 모범 사례를 참조하십시오.

자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

DefenseEvasion:Kubernetes/TorIPCaller

방어 조치를 우회하는 데 일반적으로 사용되는 API가 Tor 출구 노드 IP 주소에서 간접적으로 호출되었습니다.

기본 심각도: 높음

  • 기능: EKS 감사 로그

이 결과는 API 작업이 Tor 출구 노드 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 자신의 행동을 감추고 탐지를 피하려는 방어 우회 전략과 관련이 있습니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 공격자의 실제 신원을 숨기려는 의도를 갖고 Kubernetes 클러스터에 무단으로 액세스하려 함을 나타낼 수 있습니다.

해결 권장 사항:

사용자가 KubernetesUserDetails 섹션의 결과에 다음과 같다고 보고한 경우system:anonymous, Amazon EKS 사용 설명서의 Amazon EKS 보안 모범 사례의 지침에 따라 익명 사용자에게 API 호출이 허용된 이유를 조사하고 필요한 경우 권한을 취소하십시오. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

Discovery:Kubernetes/MaliciousIPCaller

Kubernetes 클러스터에서 리소스를 검색하는 데 일반적으로 사용되는 API가 IP 주소에서 간접적으로 호출되었습니다.

기본 심각도: 중간

  • 기능: EKS 감사 로그

이 결과는 알려진 악성 활동과 관련된 IP 주소에서 API 작업이 간접적으로 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 Kubernetes 클러스터가 광범위한 공격에 취약한지 판단하기 위해 정보를 수집하는 공격의 발견 단계에서 사용됩니다.

해결 권장 사항:

사용자가 KubernetesUserDetails 섹션의 결과에 다음과 같다고 보고한 경우system:anonymous, Amazon EKS 사용 설명서의 Amazon EKS 보안 모범 사례의 지침에 따라 익명 사용자에게 API 호출이 허용된 이유를 조사하고 필요한 경우 권한을 취소하십시오. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

Discovery:Kubernetes/MaliciousIPCaller.Custom

Kubernetes 클러스터에서 리소스를 검색하는 데 일반적으로 사용되는 API가 사용자 지정 위협 목록의 IP 주소에서 간접적으로 호출되었습니다.

기본 심각도: 중간

  • 기능: EKS 감사 로그

이 결과는 API가 사용자가 업로드한 위협 목록에 포함된 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 이 결과와 관련된 위협 목록은 결과 세부 정보의 추가 정보 섹션에 나열됩니다. 관찰된 API는 일반적으로 공격자가 Kubernetes 클러스터가 광범위한 공격에 취약한지 판단하기 위해 정보를 수집하는 공격의 발견 단계에서 사용됩니다.

해결 권장 사항:

사용자가 KubernetesUserDetails 섹션의 결과에 다음과 같다고 보고한 경우system:anonymous, Amazon EKS 사용 설명서의 Amazon EKS 보안 모범 사례의 지침에 따라 익명 사용자에게 API 호출이 허용된 이유를 조사하고 필요한 경우 권한을 취소하십시오. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

Discovery:Kubernetes/SuccessfulAnonymousAccess

인증되지 않은 사용자가 Kubernetes 클러스터에서 리소스를 검색하는 데 일반적으로 사용되는 API를 간접적으로 호출했습니다.

기본 심각도: 중간

  • 기능: EKS 감사 로그

이 결과는 system:anonymous 사용자가 API 작업을 성공적으로 간접 호출했음을 알려줍니다. system:anonymous의 API 호출이 인증되지 않았습니다. 관찰된 API는 일반적으로 공격자가 Kubernetes 클러스터에 관한 정보를 수집하는 공격의 발견 단계와 관련이 있습니다. 이 활동은 결과에 보고된 API 작업에서 익명 또는 인증되지 않은 액세스가 허용되고 다른 작업에서 허용될 수 있음을 나타냅니다. 이러한 동작이 예상된 동작이 아닌 경우 구성 실수이거나 보안 인증 정보가 손상되었기 때문일 수 있습니다.

해결 권장 사항:

클러스터의 system:anonymous 사용자에게 부여된 권한을 검사하고 모든 권한이 필요한지 여부를 확인해야 합니다. 권한이 실수로 또는 악의적으로 부여된 경우 사용자의 액세스를 철회하고 공격자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 내용은 Amazon EKS 사용 설명서의 Amazon EKS의 보안 모범 사례를 참조하십시오.

자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

Discovery:Kubernetes/TorIPCaller

Kubernetes 클러스터에서 리소스를 검색하는 데 일반적으로 사용되는 API가 Tor 출구 노드 IP 주소에서 간접적으로 호출되었습니다.

기본 심각도: 중간

  • 기능: EKS 감사 로그

이 결과는 API 작업이 Tor 출구 노드 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 Kubernetes 클러스터가 광범위한 공격에 취약한지 판단하기 위해 정보를 수집하는 공격의 발견 단계에서 사용됩니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 공격자의 실제 신원을 숨기려는 의도를 갖고 Kubernetes 클러스터에 무단으로 액세스하려 함을 나타낼 수 있습니다.

해결 권장 사항:

사용자가 KubernetesUserDetails 섹션의 결과에 다음과 같다고 보고한 경우 Amazon EKS 사용 설명서의 Amazon EKS 보안 모범 사례의 지침에 따라 익명 사용자에게 API 호출이 허용된 이유를 조사하고 필요한 경우 권한을 취소하십시오. system:anonymous 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

Execution:Kubernetes/ExecInKubeSystemPod

kube-system 네임스페이스 내에 있는 포드 내부에서 명령이 실행되었습니다.

기본 심각도: 중간

  • 특징: EKS 감사 로그

이 결과는 Kubernetes exec API를 사용하여 kube-system 네임스페이스 내의 포드에서 명령이 실행되었음을 알려줍니다. kube-system 네임스페이스는 기본 네임스페이스로, 주로 kube-dnskube-proxy와 같은 시스템 수준 구성 요소에 사용됩니다. kube-system 네임스페이스의 포드 또는 컨테이너 내에서 명령을 실행하는 경우는 매우 드물며, 의심스러운 활동을 나타낼 수 있습니다.

해결 권장 사항:

이 명령이 예기치 않게 실행된 경우 명령을 실행하는 데 사용된 사용자 ID의 보안 인증 정보가 손상되었을 수 있습니다. 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

Impact:Kubernetes/MaliciousIPCaller

Kubernetes 클러스터에 있는 리소스를 변조하는 데 일반적으로 사용되는 API가 알려진 악성 IP 주소에서 간접적으로 호출되었습니다.

기본 심각도: 높음

  • 특징: EKS 감사 로그

이 결과는 알려진 악성 활동과 관련된 IP 주소에서 API 작업이 간접적으로 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 환경 내의 데이터를 조작, 방해 또는 파괴하려고 하는 영향 전술과 관련이 있습니다. AWS

해결 권장 사항:

사용자가 KubernetesUserDetails 섹션의 결과에 다음과 같다고 보고한 경우system:anonymous, Amazon EKS 사용 설명서의 Amazon EKS 보안 모범 사례의 지침에 따라 익명 사용자에게 API 호출이 허용된 이유를 조사하고 필요한 경우 권한을 취소하십시오. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

Impact:Kubernetes/MaliciousIPCaller.Custom

Kubernetes 클러스터에 있는 리소스를 변조하는 데 일반적으로 사용되는 API가 사용자 지정 위협 목록의 IP 주소에서 간접적으로 호출되었습니다.

기본 심각도: 높음

  • 기능: EKS 감사 로그

이 결과는 API 작업이 사용자가 업로드한 위협 목록에 포함된 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 이 결과와 관련된 위협 목록은 결과 세부 정보의 추가 정보 섹션에 나열됩니다. 관찰된 API는 일반적으로 공격자가 환경 내의 데이터를 조작, 방해 또는 파괴하려고 하는 영향 전술과 관련이 있습니다. AWS

해결 권장 사항:

사용자가 KubernetesUserDetails 섹션의 결과에 다음과 같다고 보고한 경우system:anonymous, Amazon EKS 사용 설명서의 Amazon EKS 보안 모범 사례의 지침에 따라 익명 사용자에게 API 호출이 허용된 이유를 조사하고 필요한 경우 권한을 취소하십시오. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

Impact:Kubernetes/SuccessfulAnonymousAccess

인증되지 않은 사용자가 Kubernetes 클러스터에 있는 리소스를 변조하는 데 일반적으로 사용되는 API를 간접적으로 호출했습니다.

기본 심각도: 높음

  • 기능: EKS 감사 로그

이 결과는 system:anonymous 사용자가 API 작업을 성공적으로 간접 호출했음을 알려줍니다. system:anonymous의 API 호출이 인증되지 않았습니다. 관찰된 API는 일반적으로 공격자가 클러스터에 있는 리소스를 변조하는 공격의 영향 단계와 관련이 있습니다. 이 활동은 결과에 보고된 API 작업에서 익명 또는 인증되지 않은 액세스가 허용되고 다른 작업에서 허용될 수 있음을 나타냅니다. 이러한 동작이 예상된 동작이 아닌 경우 구성 실수이거나 보안 인증 정보가 손상되었기 때문일 수 있습니다.

해결 권장 사항:

클러스터의 system:anonymous 사용자에게 부여된 권한을 검사하고 모든 권한이 필요한지 여부를 확인해야 합니다. 권한이 실수로 또는 악의적으로 부여된 경우 사용자의 액세스를 철회하고 공격자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 내용은 Amazon EKS 사용 설명서의 Amazon EKS의 보안 모범 사례를 참조하십시오.

자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

Impact:Kubernetes/TorIPCaller

Kubernetes 클러스터에 있는 리소스를 변조하는 데 일반적으로 사용되는 API가 Tor 출구 노드 IP 주소에서 간접적으로 호출되었습니다.

기본 심각도: 높음

  • 기능: EKS 감사 로그

이 결과는 API 작업이 Tor 출구 노드 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 AWS 환경의 데이터를 조작, 방해 또는 파괴하려는 공격 전략과 관련이 있습니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 공격자의 실제 신원을 숨기려는 의도를 갖고 Kubernetes 클러스터에 무단으로 액세스하려 함을 나타낼 수 있습니다.

해결 권장 사항:

사용자가 KubernetesUserDetails 섹션의 결과에 다음과 같다고 보고한 경우system:anonymous, Amazon EKS 사용 설명서의 Amazon EKS 보안 모범 사례의 지침에 따라 익명 사용자에게 API 호출이 허용된 이유를 조사하고 필요한 경우 권한을 취소하십시오. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

Persistence:Kubernetes/ContainerWithSensitiveMount

내부에 탑재된 민감한 외부 호스트 경로에서 컨테이너가 시작되었습니다.

기본 심각도: 중간

  • 기능: EKS 감사 로그

이 결과는 volumeMounts 섹션에서 쓰기 액세스를 보유한 민감한 호스트 경로를 포함한 구성에서 컨테이너가 시작되었음을 알려줍니다. 이로 인해 민감한 호스트 경로가 컨테이너 내부에서 액세스 및 쓰기가 가능합니다. 이 기법은 공격자가 호스트의 파일 시스템에 대한 액세스 권한을 얻는 데 일반적으로 사용됩니다.

해결 권장 사항:

이 컨테이너의 시작이 예상치 못한 동작인 경우 컨테이너 시작에 사용된 사용자 ID의 보안 인증 정보가 손상되었을 수 있습니다. 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

이 컨테이너의 시작이 예상된 동작인 경우 resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix 필드를 기반으로 하는 필터 기준으로 구성된 억제 규칙을 사용하는 것이 좋습니다. 필터 기준에서 imagePrefix 필드는 결과에 지정된 imagePrefix와 같아야 합니다. 억제 규칙 작성에 대한 자세한 내용은 억제 규칙을 참조하세요.

Persistence:Kubernetes/MaliciousIPCaller

Kubernetes 클러스터의 리소스에 대한 영구 액세스를 획득하는 데 일반적으로 사용되는 API가 알려진 악성 IP 주소에서 간접적으로 호출되었습니다.

기본 심각도: 중간

  • 특징: EKS 감사 로그

이 결과는 알려진 악성 활동과 관련된 IP 주소에서 API 작업이 간접적으로 호출되었음을 알려줍니다. 일반적으로 관찰되는 API는 공격자가 Kubernetes 클러스터에 대한 액세스 권한을 획득하고 이를 유지하려고 하는 지속성 전략과 관련이 있습니다.

해결 권장 사항:

사용자가 KubernetesUserDetails 섹션의 결과에 다음과 같다고 보고한 경우system:anonymous, Amazon EKS 사용 설명서의 Amazon EKS 보안 모범 사례의 지침에 따라 익명 사용자에게 API 호출이 허용된 이유를 조사하고 필요한 경우 권한을 취소하십시오. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

Persistence:Kubernetes/MaliciousIPCaller.Custom

Kubernetes 클러스터의 리소스에 대한 영구 액세스를 획득하는 데 일반적으로 사용되는 API가 알려진 사용자 지정 위협 목록의 IP 주소에서 간접적으로 호출되었습니다.

기본 심각도: 중간

  • 기능: EKS 감사 로그

이 결과는 API 작업이 사용자가 업로드한 위협 목록에 포함된 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 이 결과와 관련된 위협 목록은 결과 세부 정보의 추가 정보 섹션에 나열됩니다. 일반적으로 관찰되는 API는 공격자가 Kubernetes 클러스터에 대한 액세스 권한을 획득하고 이를 유지하려고 하는 지속성 전략과 관련이 있습니다.

해결 권장 사항:

사용자가 KubernetesUserDetails 섹션의 결과에 다음과 같다고 보고한 경우system:anonymous, Amazon EKS 사용 설명서의 Amazon EKS 보안 모범 사례의 지침에 따라 익명 사용자에게 API 호출이 허용된 이유를 조사하고 필요한 경우 권한을 취소하십시오. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

Persistence:Kubernetes/SuccessfulAnonymousAccess

인증되지 않은 사용자가 Kubernetes 클러스터에 대한 상위 수준 권한을 획득하는 데 일반적으로 사용되는 API를 간접적으로 호출했습니다.

기본 심각도: 높음

  • 기능: EKS 감사 로그

이 결과는 system:anonymous 사용자가 API 작업을 성공적으로 간접 호출했음을 알려줍니다. system:anonymous의 API 호출이 인증되지 않았습니다. 관찰된 API는 일반적으로 공격자가 클러스터에 대한 액세스 권한을 획득하고 이를 유지하려고 하는 지속성 전략과 관련이 있습니다. 이 활동은 결과에 보고된 API 작업에서 익명 또는 인증되지 않은 액세스가 허용되고 다른 작업에서 허용될 수 있음을 나타냅니다. 이러한 동작이 예상된 동작이 아닌 경우 구성 실수이거나 보안 인증 정보가 손상되었기 때문일 수 있습니다.

해결 권장 사항:

클러스터의 system:anonymous 사용자에게 부여된 권한을 검사하고 모든 권한이 필요한지 여부를 확인해야 합니다. 권한이 실수로 또는 악의적으로 부여된 경우 사용자의 액세스를 철회하고 공격자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 내용은 Amazon EKS 사용 설명서의 Amazon EKS의 보안 모범 사례를 참조하십시오.

자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

Persistence:Kubernetes/TorIPCaller

Kubernetes 클러스터의 리소스에 대한 영구 액세스를 획득하는 데 일반적으로 사용되는 API가 Tor 출구 노드 IP 주소에서 간접적으로 호출되었습니다.

기본 심각도: 중간

  • 기능: EKS 감사 로그

이 결과는 API 작업이 Tor 출구 노드 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 일반적으로 관찰되는 API는 공격자가 Kubernetes 클러스터에 대한 액세스 권한을 획득하고 이를 유지하려고 하는 지속성 전략과 관련이 있습니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 공격자의 실제 ID를 숨기려는 의도로 AWS 리소스에 무단으로 액세스했음을 의미할 수 있습니다.

해결 권장 사항:

사용자가 KubernetesUserDetails 섹션의 결과에 다음과 같다고 보고한 경우system:anonymous, Amazon EKS 사용 설명서의 Amazon EKS 보안 모범 사례의 지침에 따라 익명 사용자에게 API 호출이 허용된 이유를 조사하고 필요한 경우 권한을 취소하십시오. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

Kubernetes 클러스터의 관리자 권한이 기본 서비스 계정에 부여되었습니다.

기본 심각도: 높음

  • 기능: EKS 감사 로그

이 결과는 Kubernetes 클러스터의 네임스페이스에 대한 기본 서비스 계정에 관리자 권한이 부여되었음을 알려줍니다. Kubernetes는 클러스터의 모든 네임스페이스에 대해 기본 서비스 계정을 생성합니다. 다른 서비스 계정에 명시적으로 연결되지 않은 포드에 기본 서비스 계정을 자격 증명으로 자동 할당합니다. 기본 서비스 계정에 관리자 권한이 있는 경우 의도치 않게 관리자 권한을 사용하여 포드가 시작될 수 있습니다. 이러한 동작이 예상된 동작이 아닌 경우 구성 실수이거나 보안 인증 정보가 손상되었기 때문일 수 있습니다.

해결 권장 사항:

기본 서비스 계정을 사용하여 포드에 권한을 부여해서는 안 됩니다. 대신 각 워크로드에 전용 서비스 계정을 생성하고 필요에 따라 해당 계정에 권한을 부여해야 합니다. 이 문제를 해결하려면 모든 포드와 워크로드에 전용 서비스 계정을 생성하고 포드와 워크로드를 업데이트하여 기본 서비스 계정에서 전용 계정으로 마이그레이션해야 합니다. 이후 기본 서비스 계정에서 관리자 권한을 제거해야 합니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

Policy:Kubernetes/AnonymousAccessGranted

system:anonymous 사용자에게 Kubernetes 클러스터에 대한 API 권한이 부여되었습니다.

기본 심각도: 높음

  • 특징: EKS 감사 로그

이 결과는 Kubernetes 클러스터의 사용자가 ClusterRoleBinding 또는 RoleBinding을 성공적으로 생성하여 사용자 system:anonymous에 역할을 바인딩했음을 알려줍니다. 이를 통해 역할에서 허용하는 API 작업에 대해 인증되지 않은 액세스가 가능합니다. 이러한 동작이 예상된 동작이 아닌 경우 구성 실수이거나 보안 인증 정보가 손상되었기 때문일 수 있습니다.

해결 권장 사항:

클러스터의 system:anonymous 사용자 또는 system:unauthenticated 그룹에 부여된 권한을 검사하여 불필요한 익명 액세스를 철회해야 합니다. 자세한 내용은 Amazon EKS 사용 설명서의 Amazon EKS의 보안 모범 사례를 참조하십시오. 권한이 악의적으로 부여된 경우 권한이 부여된 사용자의 액세스를 철회하고 공격자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

Policy:Kubernetes/ExposedDashboard

Kubernetes 클러스터의 대시보드가 인터넷에 노출되었습니다.

기본 심각도: 중간

  • 기능: EKS 감사 로그

이 결과는 클러스터의 Kubernetes 대시보드가 로드 밸런서 서비스에 의해 인터넷에 노출되었음을 알려줍니다. 대시보드가 노출되면 인터넷에서 클러스터의 관리 인터페이스에 액세스할 수 있고 공격자가 존재할 수 있는 인증 및 액세스 제어 허점을 악용할 수 있습니다.

해결 권장 사항:

Kubernetes 대시보드에 강력한 인증 및 권한 부여가 시행되도록 해야 합니다. 또한 네트워크 액세스 제어를 구현하여 특정 IP 주소에서의 대시보드 액세스를 제한해야 합니다.

자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

Policy:Kubernetes/KubeflowDashboardExposed

Kubernetes 클러스터의 Kubeflow 대시보드가 인터넷에 노출되었습니다.

기본 심각도: 중간

  • 특징: EKS 감사 로그

이 결과는 클러스터의 Kubeflow 대시보드가 로드 밸런서 서비스에 의해 인터넷에 노출되었음을 알려줍니다. Kubeflow 대시보드가 노출되면 인터넷에서 Kubeflow 환경의 관리 인터페이스에 액세스할 수 있고 공격자가 존재할 수 있는 인증 및 액세스 제어 허점을 악용할 수 있습니다.

해결 권장 사항:

Kubeflow 대시보드에 강력한 인증 및 권한 부여가 시행되도록 해야 합니다. 또한 네트워크 액세스 제어를 구현하여 특정 IP 주소에서의 대시보드 액세스를 제한해야 합니다.

자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

PrivilegeEscalation:Kubernetes/PrivilegedContainer

루트 수준 액세스 권한이 있는 컨테이너가 Kubernetes 클러스터에서 시작되었습니다.

기본 심각도: 중간

  • 특징: EKS 감사 로그

이 결과는 Kubernetes 클러스터에서 권한이 있는 컨테이너가 이전에 클러스터에서 권한이 있는 컨테이너를 시작하는 데 사용된 적이 없는 이미지를 사용하여 Kubernetes 클러스터에서 시작되었음을 알려줍니다. 권한이 있는 컨테이너는 호스트에 대한 루트 수준 액세스 권한을 갖습니다. 공격자는 권한 상승 전략으로 권한이 있는 컨테이너를 시작하여 호스트에 대한 액세스 권한을 획득하고 호스트를 손상시킬 수 있습니다.

해결 권장 사항:

이 컨테이너의 시작이 예상치 못한 동작인 경우 컨테이너 시작에 사용된 사용자 ID의 보안 인증 정보가 손상되었을 수 있습니다. 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed

보안 암호에 액세스하는 데 일반적으로 사용되는 Kubernetes API가 변칙적인 방식으로 간접 호출되었습니다.

기본 심각도: 중간

  • 특징: EKS 감사 로그

이 결과는 민감한 클러스터 보안 암호를 검색하는 변칙적인 API 작업을 클러스터의 Kubernetes 사용자가 간접적으로 호출했음을 알려줍니다. 관찰된 API는 일반적으로 클러스터 내에서 권한 상승 및 추가 액세스로 이어질 수 있는 보안 인증 정보 액세스 전략과 관련이 있습니다. 이 동작이 예상되지 않는 경우 구성 실수이거나 AWS 자격 증명이 손상되었기 때문일 수 있습니다.

관찰된 API는 GuardDuty 이상 탐지 기계 학습 (ML) 모델에 의해 이상 API로 식별되었습니다. ML 모델은 EKS 클러스터 내의 모든 사용자 API 활동을 평가하고 승인되지 않은 사용자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. ML 모델은 요청을 보낸 사용자, 요청을 보낸 위치, 사용한 사용자 에이전트, 사용자가 작업하는 네임스페이스 등 API 작업의 여러 요소를 추적합니다. 콘솔의 검색 결과 세부 정보 패널에서 특이한 API 요청 세부 정보를 찾을 수 있습니다. GuardDuty

해결 권장 사항:

클러스터의 Kubernetes 사용자에게 부여된 권한을 검사하고 모든 권한이 필요한지 여부를 확인해야 합니다. 권한이 실수로 또는 악의적으로 부여된 경우 사용자 액세스를 철회하고 승인되지 않은 사용자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

AWS 자격 증명이 손상된 경우 을 참조하십시오잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS.

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated

지나치게 허용된 역할 RoleBinding 또는 ClusterRoleBinding 민감한 네임스페이스가 Kubernetes 클러스터에서 생성되거나 수정되었습니다.

기본 심각도: 중간*

참고

이 결과의 기본 심각도는 중간입니다. 하지만 a가 OR와 ClusterRoleBinding 관련된 경우 RoleBinding 심각도가 높습니다. ClusterRoles admin cluster-admin

  • 기능: EKS 감사 로그

이 결과는 Kubernetes 클러스터의 사용자가 RoleBinding 또는 ClusterRoleBinding을 생성하여 사용자를 관리자 권한이 있는 역할 또는 민감한 네임스페이스에 바인딩했음을 알려줍니다. 이 동작이 예상되지 않는 경우 구성 실수이거나 AWS 자격 증명이 손상되었기 때문일 수 있습니다.

관찰된 API는 GuardDuty 이상 탐지 기계 학습 (ML) 모델에 의해 이상 API로 식별되었습니다. ML 모델은 EKS 클러스터 내의 모든 사용자 API 활동을 평가합니다. 또한 이 ML 모델은 승인되지 않은 사용자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. 또한 ML 모델은 요청을 보낸 사용자, 요청을 보낸 위치, 사용한 사용자 에이전트, 사용자가 작업하는 네임스페이스 등 API 작업의 여러 요소를 추적합니다. 콘솔의 검색 결과 세부 정보 패널에서 특이한 API 요청 세부 정보를 찾을 수 있습니다. GuardDuty

해결 권장 사항:

Kubernetes 사용자에게 부여된 권한을 검사합니다. 이러한 권한은 RoleBindingClusterRoleBinding과 관련된 역할 및 주체에 정의되어 있습니다. 권한이 실수로 또는 악의적으로 부여된 경우 사용자 액세스를 철회하고 승인되지 않은 사용자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

AWS 자격 증명이 손상된 경우 을 참조하십시오잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS.

Execution:Kubernetes/AnomalousBehavior.ExecInPod

포드 내에서 명령이 변칙적으로 실행되었습니다.

기본 심각도: 중간

  • 기능: EKS 감사 로그

이 결과는 Kubernetes exec API를 사용하여 포드에서 명령이 실행되었음을 알려줍니다. Kubernetes exec API를 사용하면 포드에서 임의의 명령을 실행할 수 있습니다. 사용자, 네임스페이스 또는 포드에서 이러한 동작이 예상되지 않는 경우 구성 실수이거나 AWS 자격 증명이 손상된 것일 수 있습니다.

관찰된 API는 GuardDuty 이상 탐지 기계 학습 (ML) 모델에 의해 이상 API로 식별되었습니다. ML 모델은 EKS 클러스터 내의 모든 사용자 API 활동을 평가합니다. 또한 이 ML 모델은 승인되지 않은 사용자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. 또한 ML 모델은 요청을 보낸 사용자, 요청을 보낸 위치, 사용한 사용자 에이전트, 사용자가 작업하는 네임스페이스 등 API 작업의 여러 요소를 추적합니다. 콘솔의 검색 결과 세부 정보 패널에서 특이한 API 요청 세부 정보를 찾을 수 있습니다. GuardDuty

해결 권장 사항:

이 명령이 예기치 않게 실행된 경우 명령을 실행하는 데 사용된 사용자 ID의 보안 인증 정보가 손상되었을 수 있습니다. 사용자 액세스를 철회하고 클러스터에서 승인되지 않은 사용자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

AWS 자격 증명이 손상된 경우 을 참조하십시오잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS.

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

권한이 있는 컨테이너를 사용하여 워크로드가 변칙적인 방식으로 시작되었습니다.

기본 심각도: 높음

  • 기능: EKS 감사 로그

이 결과는 Amazon EKS 클러스터의 권한이 있는 컨테이너를 사용하여 워크로드가 시작되었음을 알려줍니다. 권한이 있는 컨테이너는 호스트에 대한 루트 수준 액세스 권한을 갖습니다. 승인되지 않은 사용자는 권한 상승 전략으로 권한이 있는 컨테이너를 시작하여 우선 호스트에 대한 액세스 권한을 획득하고 이후 이를 손상시킬 수 있습니다.

관찰된 컨테이너 생성 또는 수정은 GuardDuty 이상 탐지 기계 학습 (ML) 모델에 의해 비정상으로 식별되었습니다. ML 모델은 EKS 클러스터 내의 모든 사용자 API 및 컨테이너 이미지 활동을 평가합니다. 또한 이 ML 모델은 승인되지 않은 사용자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. 또한 ML 모델은 요청을 보낸 사용자, 요청을 보낸 위치, 사용한 사용자 에이전트, 계정에서 관찰된 컨테이너 이미지, 사용자가 작업하는 네임스페이스 등 API 작업의 여러 요소를 추적합니다. 콘솔의 검색 결과 세부 정보 패널에서 특이한 API 요청 세부 정보를 찾을 수 있습니다. GuardDuty

해결 권장 사항:

이 컨테이너의 시작이 예상치 못한 동작인 경우 컨테이너 시작에 사용된 사용자 ID의 보안 인증 정보가 손상되었을 수 있습니다. 사용자 액세스를 철회하고 클러스터에서 승인되지 않은 사용자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

AWS 자격 증명이 손상된 경우 을 참조하십시오잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS.

이 컨테이너의 시작이 예상된 동작인 경우 resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix 필드를 기반으로 하는 필터 기준으로 구성된 억제 규칙을 사용하는 것이 좋습니다. 필터 기준에서 imagePrefix 필드는 결과에 지정된 imagePrefix 필드와 값이 같아야 합니다. 자세한 정보는 억제 규칙을 참조하세요.

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

민감한 호스트 경로가 워크로드 내에 탑재된 상태에서 워크로드가 변칙적인 방식으로 배포되었습니다.

기본 심각도: 높음

  • 기능: EKS 감사 로그

이 결과는 volumeMounts 섹션에 민감한 호스트 경로가 포함된 컨테이너에서 워크로드가 시작되었음을 알려줍니다. 이로 인해 민감한 호스트 경로가 컨테이너 내부에서 액세스 및 쓰기가 가능할 수 있습니다. 이 기법은 승인되지 않은 사용자가 호스트의 파일 시스템에 대한 액세스 권한을 얻는 데 일반적으로 사용됩니다.

관찰된 컨테이너 생성 또는 수정은 GuardDuty 이상 탐지 기계 학습 (ML) 모델에 의해 비정상으로 식별되었습니다. ML 모델은 EKS 클러스터 내의 모든 사용자 API 및 컨테이너 이미지 활동을 평가합니다. 또한 이 ML 모델은 승인되지 않은 사용자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. 또한 ML 모델은 요청을 보낸 사용자, 요청을 보낸 위치, 사용한 사용자 에이전트, 계정에서 관찰된 컨테이너 이미지, 사용자가 작업하는 네임스페이스 등 API 작업의 여러 요소를 추적합니다. 콘솔의 검색 결과 세부 정보 패널에서 특이한 API 요청 세부 정보를 찾을 수 있습니다. GuardDuty

해결 권장 사항:

이 컨테이너의 시작이 예상치 못한 동작인 경우 컨테이너 시작에 사용된 사용자 ID의 보안 인증 정보가 손상되었을 수 있습니다. 사용자 액세스를 철회하고 클러스터에서 승인되지 않은 사용자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

AWS 자격 증명이 손상된 경우 을 참조하십시오잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS.

이 컨테이너의 시작이 예상된 동작인 경우 resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix 필드를 기반으로 하는 필터 기준으로 구성된 억제 규칙을 사용하는 것이 좋습니다. 필터 기준에서 imagePrefix 필드는 결과에 지정된 imagePrefix 필드와 값이 같아야 합니다. 자세한 정보는 억제 규칙을 참조하세요.

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

워크로드가 변칙적인 방식으로 시작되었습니다.

기본 심각도: 낮음*

참고

기본 심각도는 낮음입니다. 하지만 워크로드에 알려진 침투 테스트 도구와 같이 잠재적으로 의심스러운 이미지 이름 또는 시작 시 잠재적으로 의심스러운 명령(예: reverse shell 명령)을 실행하는 컨테이너가 포함된 경우 이 결과 유형의 심각도는 중간으로 간주됩니다.

  • 기능: EKS 감사 로그

이 결과는 Kubernetes 워크로드가 Amazon EKS 클러스터 내에서 API 활동, 새 컨테이너 이미지 또는 위험한 워크로드 구성과 같은 변칙적인 방식으로 생성 또는 수정되었음을 알려줍니다. 승인되지 않은 사용자는 전략적으로 컨테이너를 시작하여 임의 코드를 실행해 우선 호스트에 대한 액세스 권한을 획득하고 이후 이를 손상시킬 수 있습니다.

관찰된 컨테이너 생성 또는 수정은 GuardDuty 이상 탐지 기계 학습 (ML) 모델에 의해 비정상으로 식별되었습니다. ML 모델은 EKS 클러스터 내의 모든 사용자 API 및 컨테이너 이미지 활동을 평가합니다. 또한 이 ML 모델은 승인되지 않은 사용자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. 또한 ML 모델은 요청을 보낸 사용자, 요청을 보낸 위치, 사용한 사용자 에이전트, 계정에서 관찰된 컨테이너 이미지, 사용자가 작업하는 네임스페이스 등 API 작업의 여러 요소를 추적합니다. 콘솔의 검색 결과 세부 정보 패널에서 특이한 API 요청 세부 정보를 찾을 수 있습니다. GuardDuty

해결 권장 사항:

이 컨테이너의 시작이 예상치 못한 동작인 경우 컨테이너 시작에 사용된 사용자 ID의 보안 인증 정보가 손상되었을 수 있습니다. 사용자 액세스를 철회하고 클러스터에서 승인되지 않은 사용자의 변경 사항을 되돌립니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

AWS 자격 증명이 손상된 경우 을 참조하십시오잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS.

이 컨테이너의 시작이 예상된 동작인 경우 resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix 필드를 기반으로 하는 필터 기준으로 구성된 억제 규칙을 사용하는 것이 좋습니다. 필터 기준에서 imagePrefix 필드는 결과에 지정된 imagePrefix 필드와 값이 같아야 합니다. 자세한 정보는 억제 규칙을 참조하세요.

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

매우 허용적인 역할이거나 비정상적인 방식으로 생성 또는 ClusterRole 수정되었습니다.

기본 심각도: 낮음

  • 기능: EKS 감사 로그

이 결과는 Amazon EKS 클러스터의 Kubernetes 사용자가 변칙적인 API 작업을 호출하여 과도한 권한을 가진 Role 또는 ClusterRole을 생성했음을 알려줍니다. 작업자는 강력한 권한이 있는 역할 생성을 사용하여 관리자와 유사한 기본 역할을 사용하지 않고 탐지를 피할 수 있습니다. 과도한 권한은 권한 상승, 원격 코드 실행, 잠재적으로 네임스페이스나 클러스터에 대한 통제로 이어질 수 있습니다. 이러한 동작이 예상된 동작이 아닌 경우 구성 실수이거나 보안 인증 정보가 손상되었기 때문일 수 있습니다.

관찰된 API는 GuardDuty 이상 탐지 기계 학습 (ML) 모델에 의해 비정상으로 식별되었습니다. ML 모델은 Amazon EKS 클러스터 내의 모든 사용자 API 활동을 평가하고 승인되지 않은 사용자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. 또한 ML 모델은 요청을 보낸 사용자, 요청을 보낸 위치, 사용한 사용자 에이전트, 계정에서 관찰된 컨테이너 이미지, 사용자가 작업하는 네임스페이스 등 API 작업의 여러 요소를 추적합니다. 콘솔의 검색 결과 세부 정보 패널에서 특이한 API 요청 세부 정보를 찾을 수 있습니다. GuardDuty

해결 권장 사항:

Role 또는 ClusterRole에 정의된 권한을 검사하여 모든 권한이 필요한지 확인하고 최소 권한 원칙을 준수합니다. 권한이 실수로 또는 악의적으로 부여된 경우 사용자 액세스를 철회하고 승인되지 않은 사용자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

AWS 자격 증명이 손상된 경우 을 참조하십시오잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS.

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

사용자가 변칙적인 방식으로 액세스 권한을 확인했습니다.

기본 심각도: 낮음

  • 기능: EKS 감사 로그

이 결과는 Kubernetes 클러스터의 사용자가 권한 상승 및 원격 코드 실행으로 이어질 수 있는 알려진 강력한 권한의 허용 여부를 확인했음을 알려줍니다. 예를 들어 사용자의 권한을 확인하는 데 사용되는 일반적인 명령은 kubectl auth can-i입니다. 이 동작이 예상된 동작이 아닌 경우 구성 실수이거나 보안 인증 정보가 손상되었기 때문일 수 있습니다.

관찰된 API는 GuardDuty 이상 탐지 기계 학습 (ML) 모델에 의해 비정상으로 식별되었습니다. ML 모델은 Amazon EKS 클러스터 내의 모든 사용자 API 활동을 평가하고 승인되지 않은 사용자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. 또한 ML 모델은 요청을 보낸 사용자, 요청을 보낸 위치, 확인된 권한, 사용자가 작업하는 네임스페이스 등 API 작업의 여러 요소를 추적합니다. 콘솔의 검색 결과 세부 정보 패널에서 특이한 API 요청 세부 정보를 찾을 수 있습니다. GuardDuty

해결 권장 사항:

Kubernetes 사용자에게 부여된 권한을 검사하고 모든 권한이 필요한지 여부를 확인해야 합니다. 권한이 실수로 또는 악의적으로 부여된 경우 사용자 액세스를 철회하고 승인되지 않은 사용자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 정보는 EKS 감사 로그 모니터링 결과 해결을 참조하세요.

AWS 자격 증명이 손상된 경우 을 참조하십시오잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS.