EKS 保護調查結果類型 - Amazon GuardDuty
CredentialAccess:Kubernetes/MaliciousIPCallerCredentialAccess:Kubernetes/MaliciousIPCaller.CustomCredentialAccess:Kubernetes/SuccessfulAnonymousAccessCredentialAccess:Kubernetes/TorIPCallerDefenseEvasion:Kubernetes/MaliciousIPCallerDefenseEvasion:Kubernetes/MaliciousIPCaller.CustomDefenseEvasion:Kubernetes/SuccessfulAnonymousAccessDefenseEvasion:Kubernetes/TorIPCallerDiscovery:Kubernetes/MaliciousIPCallerDiscovery:Kubernetes/MaliciousIPCaller.CustomDiscovery:Kubernetes/SuccessfulAnonymousAccessDiscovery:Kubernetes/TorIPCallerExecution:Kubernetes/ExecInKubeSystemPodImpact:Kubernetes/MaliciousIPCallerImpact:Kubernetes/MaliciousIPCaller.CustomImpact:Kubernetes/SuccessfulAnonymousAccessImpact:Kubernetes/TorIPCallerPersistence:Kubernetes/ContainerWithSensitiveMountPersistence:Kubernetes/MaliciousIPCallerPersistence:Kubernetes/MaliciousIPCaller.CustomPersistence:Kubernetes/SuccessfulAnonymousAccessPersistence:Kubernetes/TorIPCallerPolicy:Kubernetes/AdminAccessToDefaultServiceAccountPolicy:Kubernetes/AnonymousAccessGrantedPolicy:Kubernetes/ExposedDashboardPolicy:Kubernetes/KubeflowDashboardExposedPrivilegeEscalation:Kubernetes/PrivilegedContainerCredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreatedExecution:Kubernetes/AnomalousBehavior.ExecInPodPrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainerPersistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMountExecution:Kubernetes/AnomalousBehavior.WorkloadDeployedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreatedDiscovery:Kubernetes/AnomalousBehavior.PermissionChecked

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

EKS 保護調查結果類型

下列調查結果是 Amazon EKS 資源特有的,且具有 的 resource_typeEKSCluster。調查結果的嚴重性和詳細資訊依據調查結果類型而有所不同。

對於所有EKS稽核日誌類型調查結果,我們建議您檢查有問題的資源,以確定活動是否預期或潛在惡意。如需修復由 GuardDuty 調查結果識別的遭入侵EKS稽核日誌資源的指引,請參閱 修復EKS保護調查結果

注意

如果預期有此活動 (因其產生這些調查結果),請考慮新增 中的隱藏規則 GuardDuty 以防止未來出現警報。

主題
注意

在 Kubernetes 1.14 版之前,system:unauthenticated群組system:basic-userClusterRoles預設與 system:discovery和 相關聯。此關聯可能會允許匿名使用者的非預期存取。叢集更新不會撤銷這些許可。即使您將叢集更新至 1.14 或更高版本,仍可能會啟用這些權限。建議您取消這些許可與 system:unauthenticated 群組的關聯。如需撤銷這些許可的指引,請參閱 Amazon 使用者指南 中的 Amazon 安全最佳實務EKS EKS

CredentialAccess:Kubernetes/MaliciousIPCaller

從已知的惡意 IP 地址叫用API常用於存取 Kubernetes 叢集中的憑證或秘密。

預設嚴重性:高

  • 功能:EKS稽核日誌

此調查結果會通知您,已從與已知惡意活動相關聯的 IP 地址叫用 API操作。API 觀察到的 通常與憑證存取策略相關,其中對手正在嘗試收集 Kubernetes 叢集的密碼、使用者名稱和存取金鑰。

修復建議:

如果 KubernetesUserDetails區段下的調查結果中報告的使用者是 system:anonymous,請根據 Amazon EKS使用者指南 中的 Amazon 安全最佳實務EKS的指示,調查為什麼允許匿名使用者在必要時叫用 API和撤銷許可。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

從自訂威脅清單上的 IP 地址調用 Kubernetes 叢集中API常用於存取憑證或秘密的 。

預設嚴重性:高

  • 功能:EKS稽核日誌

此調查結果會通知您,已從您上傳的威脅清單中包含的 IP 地址叫用 API操作。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的其他資訊區段中。API 觀察到的 通常與憑證存取策略相關,其中對手正在嘗試收集 Kubernetes 叢集的密碼、使用者名稱和存取金鑰。

修復建議:

如果 KubernetesUserDetails區段下的調查結果中報告的使用者是 system:anonymous,請調查為什麼允許匿名使用者叫用 ,API並在必要時撤銷許可,方法是遵循 Amazon EKS使用者指南Amazon 安全最佳實務EKS中的指示。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

未經驗證的使用者調用 API Kubernetes 叢集中常用於存取憑證或秘密的 。

預設嚴重性:高

  • 功能:EKS稽核日誌

此調查結果會通知您,system:anonymous使用者已成功叫用 API操作。API 由 發出的呼叫system:anonymous未經驗證。觀察到的 API通常與憑證存取策略相關,其中對手正在嘗試收集 Kubernetes 叢集的密碼、使用者名稱和存取金鑰。此活動表示,對調查結果中報告API的動作允許匿名或未驗證的存取,並可能允許對其他動作進行存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。

修復建議:

您應該檢查已向叢集上 system:anonymous 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱 Amazon 使用者指南 中的 Amazon 安全最佳實務EKS EKS

如需詳細資訊,請參閱修復EKS保護調查結果

CredentialAccess:Kubernetes/TorIPCaller

從 Tor 結束節點 IP 地址調用 Kubernetes 叢集中API常用於存取憑證或秘密的 。

預設嚴重性:高

  • 功能:EKS稽核日誌

此調查結果會通知您API已從 Tor 結束節點 IP 地址叫用 。API 觀察到的 通常與憑證存取策略相關,其中對手正在嘗試收集 Kubernetes 叢集的密碼、使用者名稱和存取金鑰。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示您的 Kubernetes 叢集資源有未經授權的存取,目的是隱藏攻擊者的真實身分。

修復建議:

如果 KubernetesUserDetails區段下的調查結果中報告的使用者是 system:anonymous,請根據 Amazon 使用者指南 中的 Amazon 安全最佳實務EKS中的說明,調查匿名使用者為何被允許叫用 API 並在必要時撤銷許可。 EKS 如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

DefenseEvasion:Kubernetes/MaliciousIPCaller

從已知的惡意 IP 地址叫用API常用來逃避防禦措施。

預設嚴重性:高

  • 功能:EKS稽核日誌

此調查結果會通知您,已從與已知惡意活動相關聯的 IP 地址叫用 API操作。API 觀察到的 通常與對手嘗試隱藏其動作以避免偵測的防禦逃避策略有關。

修復建議:

如果 KubernetesUserDetails區段下的調查結果中報告的使用者是 system:anonymous,請根據 Amazon 使用者指南 中的 Amazon 安全最佳實務EKS中的指示,調查為什麼允許匿名使用者在必要時叫用 API和撤銷許可。 EKS 如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

從自訂威脅清單上的 IP 地址叫用API常用來逃避防禦措施。

預設嚴重性:高

  • 功能:EKS稽核日誌

此調查結果會通知您,已從您上傳的威脅清單中包含的 IP 地址叫用 API操作。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的其他資訊區段中。API 觀察到的 通常與對手嘗試隱藏其動作以避免偵測的防禦逃避策略有關。

修復建議:

如果 KubernetesUserDetails區段下的調查結果中報告的使用者是 system:anonymous,請根據 Amazon 使用者指南 中的 Amazon 安全最佳實務EKS中的說明,調查為什麼允許匿名使用者在必要時叫用 API和撤銷許可。 EKS 如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

未驗證的使用者調用API常用來逃避防禦性措施。

預設嚴重性:高

  • 功能:EKS稽核日誌

此調查結果會通知您,system:anonymous使用者已成功叫用 API操作。API 由 發出的呼叫system:anonymous未經驗證。觀察到的 API通常與對手嘗試隱藏其動作以避免偵測的防禦逃避策略有關。此活動表示,對調查結果中報告API的動作允許匿名或未驗證的存取,並可能允許對其他動作進行存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。

修復建議:

您應該檢查已向叢集上 system:anonymous 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱 Amazon 使用者指南 中的 Amazon 安全最佳實務EKS EKS

如需詳細資訊,請參閱修復EKS保護調查結果

DefenseEvasion:Kubernetes/TorIPCaller

從 Tor 結束節點 IP 地址調用API常用來逃避防禦措施。

預設嚴重性:高

  • 功能:EKS稽核日誌

此調查結果會通知您API已從 Tor 結束節點 IP 地址叫用 。API 觀察到的 通常與對手嘗試隱藏其動作以避免偵測的防禦逃避策略有關。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示您的 Kubernetes 叢集有未經授權的存取,目的是隱藏對手的真實身分。

修復建議:

如果 KubernetesUserDetails區段下的調查結果中報告的使用者是 system:anonymous,請根據 Amazon 使用者指南 中的 Amazon 安全最佳實務EKS中的說明,調查為什麼允許匿名使用者在必要時叫用 API和撤銷許可。 EKS 如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

Discovery:Kubernetes/MaliciousIPCaller

從 IP 地址調用 Kubernetes 叢集中API常用來探索資源。

預設嚴重性:中

  • 功能:EKS稽核日誌

此調查結果會通知您,已從與已知惡意活動相關聯的 IP 地址叫用 API操作。觀察到的 API通常與攻擊的探索階段搭配使用,其中攻擊者正在收集資訊,以判斷您的 Kubernetes 叢集是否容易受到更廣泛的攻擊。

對於未驗證的存取

MaliciousIPCaller 未驗證的存取不會產生 調查結果。

SuccessfulAnonymousAccess 調查結果會針對未驗證或匿名存取產生。

修復建議:

如果 KubernetesUserDetails區段下的調查結果中報告的使用者是 system:anonymous,請根據 Amazon EKS使用者指南 中的 Amazon 安全最佳實務EKS的指示,調查為什麼允許匿名使用者在必要時叫用 API和撤銷許可。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

Discovery:Kubernetes/MaliciousIPCaller.Custom

從自訂威脅清單上的 IP 地址調用 Kubernetes 叢集中API常用的資源。

預設嚴重性:中

  • 功能:EKS稽核日誌

此調查結果會通知您API,已從您上傳的威脅清單中包含的 IP 地址叫用 。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的其他資訊區段中。觀察到的 API通常與攻擊的探索階段搭配使用,其中攻擊者正在收集資訊,以判斷您的 Kubernetes 叢集是否容易受到更廣泛的攻擊。

修復建議:

如果 KubernetesUserDetails區段下的調查結果中報告的使用者是 system:anonymous,請根據 Amazon EKS使用者指南 中的 Amazon 安全最佳實務EKS中的說明,調查為什麼允許匿名使用者在必要時叫用 API和撤銷許可。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

Discovery:Kubernetes/SuccessfulAnonymousAccess

未經驗證的使用者調用 Kubernetes 叢集中API常用來探索資源。

預設嚴重性:中

  • 功能:EKS稽核日誌

此調查結果會通知您,system:anonymous使用者已成功叫用 API操作。API 由 發出的呼叫system:anonymous未經驗證。當對手在 Kubernetes 叢集上收集資訊時,觀察到的結果API通常與攻擊的探索階段相關聯。此活動表示,對調查結果中報告API的動作允許匿名或未驗證的存取,並可能允許對其他動作進行存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。

此調查結果類型不包括運作狀態檢查API端點,例如 /healthz/livez/readyz/version

修復建議:

您應該檢查已向叢集上 system:anonymous 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱 Amazon 使用者指南 中的 Amazon 安全最佳實務EKS EKS

如需詳細資訊,請參閱修復EKS保護調查結果

Discovery:Kubernetes/TorIPCaller

從 Tor 結束節點 IP 地址調用 Kubernetes 叢集中API常用來探索資源。

預設嚴重性:中

  • 功能:EKS稽核日誌

此調查結果會通知您API已從 Tor 結束節點 IP 地址叫用 。觀察到的 API通常與攻擊的探索階段搭配使用,其中攻擊者正在收集資訊,以判斷您的 Kubernetes 叢集是否容易受到更廣泛的攻擊。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示您的 Kubernetes 叢集有未經授權的存取,目的是隱藏對手的真實身分。

修復建議:

如果 KubernetesUserDetails區段下的調查結果中報告的使用者是 system:anonymous,請視需要遵循 Amazon 使用者指南 中 Amazon 安全最佳實務EKS的指示,調查匿名使用者為何被允許叫用APIand撤銷許可。 EKS 如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

Execution:Kubernetes/ExecInKubeSystemPod

命令已在 kube-system 命名空間中的 Pod 內執行

預設嚴重性:中

  • 功能:EKS稽核日誌

此調查結果會通知您,命令已在kube-system命名空間內的 Pod 中使用 Kubernetes exec API執行。kube-system命名空間是預設命名空間,主要用於系統層級元件,例如 kube-dnskube-proxy。在 kube-system 命名空間下的 Pod 或容器內執行命令的情控非常罕見,並且可能表示可疑活動。

修復建議:

如果未預期執行此命令,用於執行命令的使用者身分憑證可能已遭入侵。請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

Impact:Kubernetes/MaliciousIPCaller

從已知的惡意 IP 地址調用 Kubernetes 叢集中API經常用於篡改資源的 。

預設嚴重性:高

  • 功能:EKS稽核日誌

此調查結果會通知您,已從與已知惡意活動相關聯的 IP 地址叫用 API操作。觀察到的 API通常與對手嘗試操縱、中斷或銷毀 AWS 環境中資料的影響策略相關。

修復建議:

如果 KubernetesUserDetails區段下的調查結果中報告的使用者是 system:anonymous,請根據 Amazon 使用者指南 中的 Amazon 安全最佳實務EKS中的說明,調查匿名使用者為何被允許叫用 API 並在必要時撤銷許可。 EKS 如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

Impact:Kubernetes/MaliciousIPCaller.Custom

從自訂威脅清單上的 IP 地址調用API常用於篡改 Kubernetes 叢集中的資源。

預設嚴重性:高

  • 功能:EKS稽核日誌

此調查結果會通知您,已從您上傳的威脅清單中包含的 IP 地址叫用 API操作。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的其他資訊區段中。觀察到的 API通常與對手嘗試操縱、中斷或銷毀 AWS 環境中資料的影響策略相關。

修復建議:

如果 KubernetesUserDetails區段下的調查結果中報告的使用者是 system:anonymous,請根據 Amazon EKS使用者指南 中的 Amazon 安全最佳實務EKS的指示,調查為什麼允許匿名使用者在必要時叫用 API和撤銷許可。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

Impact:Kubernetes/SuccessfulAnonymousAccess

未經驗證的使用者調用 Kubernetes 叢集中API經常用於篡改資源的 。

預設嚴重性:高

  • 功能:EKS稽核日誌

此調查結果會通知您,system:anonymous使用者已成功叫用 API操作。API 由 發出的呼叫system:anonymous未經驗證。當對手竄改叢集中的資源時,觀察到的 API通常與攻擊的影響階段相關聯。此活動表示,對調查結果中報告API的動作允許匿名或未驗證的存取,並可能允許對其他動作進行存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。

修復建議:

您應該檢查已向叢集上 system:anonymous 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱 Amazon 使用者指南 中的 Amazon 安全最佳實務EKS EKS

如需詳細資訊,請參閱修復EKS保護調查結果

Impact:Kubernetes/TorIPCaller

從 Tor 結束節點 IP 地址調用API常用於竄改 Kubernetes 叢集中的資源的 。

預設嚴重性:高

  • 功能:EKS稽核日誌

此調查結果會通知您API已從 Tor 結束節點 IP 地址叫用 。API 觀察到的 通常與對手嘗試操縱、中斷或銷毀環境中 AWS 資料的影響策略相關。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示您的 Kubernetes 叢集有未經授權的存取,目的是隱藏對手的真實身分。

修復建議:

如果 KubernetesUserDetails區段下的調查結果中報告的使用者是 system:anonymous,請根據 Amazon 使用者指南 中的 Amazon 安全最佳實務EKS中的指示,調查為什麼允許匿名使用者在必要時叫用 API和撤銷許可。 EKS 如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

Persistence:Kubernetes/ContainerWithSensitiveMount

啟動了一個容器,其中掛載了敏感的外部主機路徑。

預設嚴重性:中

  • 功能:EKS稽核日誌

此調查結果會通知您已啟動容器,其組態包含在 volumeMounts 區段中具有寫入存取權限的敏感主機路徑。這使得敏感的主機路徑可從容器內部存取和寫入。這種技術通常被對手用來存取主機的檔案系統。

修復建議:

如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭入侵。請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

如果此容器啟動為預期的結果,建議您根據 resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix 欄位使用篩選條件準則組成的抑制規則。在篩選條件準則中,imagePrefix 欄位應與調查結果中指定的 imagePrefix 相同。若要進一步了解有關建立隱藏規則的資訊,請參閱隱藏規則

Persistence:Kubernetes/MaliciousIPCaller

從已知的惡意 IP 地址調用API常用來取得 Kubernetes 叢集的持久存取權。

預設嚴重性:中

  • 功能:EKS稽核日誌

此調查結果會通知您,已從與已知惡意活動相關聯的 IP 地址叫用 API操作。API 觀察到的 通常與持續性策略相關,其中對手已取得 Kubernetes 叢集的存取權,並嘗試維護該存取權。

修復建議:

如果 KubernetesUserDetails區段下的調查結果中報告的使用者是 system:anonymous,請根據 Amazon 使用者指南 中的 Amazon 安全最佳實務EKS中的說明,調查為什麼允許匿名使用者在必要時叫用 API和撤銷許可。 EKS 如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

Persistence:Kubernetes/MaliciousIPCaller.Custom

從自訂威脅清單上的 IP 地址調用API常用來取得 Kubernetes 叢集的持久存取權。

預設嚴重性:中

  • 功能:EKS稽核日誌

此調查結果會通知您,API操作是從您上傳的威脅清單中包含的 IP 地址叫用。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的其他資訊區段中。API 觀察到的 通常與持續性策略相關,其中對手已取得 Kubernetes 叢集的存取權,並嘗試維護該存取權。

修復建議:

如果 KubernetesUserDetails區段下的調查結果中報告的使用者是 system:anonymous,請根據 Amazon 使用者指南 中的 Amazon 安全最佳實務EKS中的說明,調查匿名使用者為何被允許叫用 API 並在必要時撤銷許可。 EKS 如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

Persistence:Kubernetes/SuccessfulAnonymousAccess

未驗證的使用者調用API了通常用來取得 Kubernetes 叢集的高階許可。

預設嚴重性:高

  • 功能:EKS稽核日誌

此調查結果會通知您,system:anonymous使用者已成功調用 API操作。API 由 發出的呼叫system:anonymous未經驗證。觀察到的 API通常與持續性策略相關,其中對手已取得叢集的存取權,並嘗試維護該存取權。此活動表示,在調查結果中報告API的動作上允許匿名或未驗證的存取,並且可能允許其他動作。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。

修復建議:

您應該檢查已向叢集上 system:anonymous 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱 Amazon 使用者指南 中的 Amazon 安全最佳實務EKS EKS

如需詳細資訊,請參閱修復EKS保護調查結果

Persistence:Kubernetes/TorIPCaller

從 Tor 結束節點 IP 地址調用API常用於持續存取 Kubernetes 叢集的 。

預設嚴重性:中

  • 功能:EKS稽核日誌

此調查結果會通知您API已從 Tor 結束節點 IP 地址叫用 。API 觀察到的 通常與持續性策略相關,其中對手已取得 Kubernetes 叢集的存取權,並嘗試維護該存取權。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示未經授權存取您的 AWS 資源,目的是隱藏攻擊者的真實身分。

修復建議:

如果 KubernetesUserDetails區段下的調查結果中報告的使用者是 system:anonymous,請根據 Amazon 使用者指南 中的 Amazon 安全最佳實務EKS的指示,調查為什麼允許匿名使用者在必要時叫用 API和撤銷許可。 EKS 如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

預設服務帳戶已被授與 Kubernetes 叢集上的管理員權限。

預設嚴重性:高

  • 功能:EKS稽核日誌

此調查結果會通知您,Kubernetes 叢集中命名空間的預設服務帳戶已被授與管理員權限。Kubernetes 會為叢集中的所有命名空間建立預設服務帳戶。它會自動將預設服務帳戶以身分的形式指派給尚未明確關聯至另一個服務帳戶的 Pod。如果預設服務帳戶具有管理員權限,可能會導致意外地以管理員權限啟動 Pod。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。

修復建議:

您不應使用預設服務帳戶對 Pod 授與許可。相反地,您應該為每個工作負載建立專用服務帳戶,並根據需要對該帳戶授與許可。若要修正此問題,您應該為所有 Pod 和工作負載建立專用服務帳戶,並更新 Pod 和工作負載,以便從預設服務帳戶遷移至其專用帳戶。然後,您應該從預設服務帳戶中移除管理員權限。如需詳細資訊,請參閱修復EKS保護調查結果

Policy:Kubernetes/AnonymousAccessGranted

system:anonymous 使用者已獲得 Kubernetes 叢集的API許可。

預設嚴重性:高

  • 功能:EKS稽核日誌

此調查結果會通知您,Kubernetes 叢集上的使用者已成功建立 ClusterRoleBindingRoleBinding,以將使用者 system:anonymous 繫結至角色。這可讓未驗證的存取角色允許的API操作。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵

修復建議:

您應該檢查已授與叢集上 system:anonymous 使用者或 system:unauthenticated 群組的許可,並撤銷不必要的匿名存取權限。如需詳細資訊,請參閱 Amazon 使用者指南 中的 Amazon 安全最佳實務EKS EKS 如果惡意地授與許可,您應該撤銷已授與許可之使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

Policy:Kubernetes/ExposedDashboard

Kubernetes 叢集的儀表板已公開至網際網路

預設嚴重性:中

  • 功能:EKS稽核日誌

此調查結果會通知您,叢集的 Kubernetes 儀表板已由負載平衡器服務公開至網際網路。公開的儀表板使叢集的管理界面可從網際網路存取,並允許對手利用任何可能存在的驗證和存取控制差距。

修復建議:

您應該確保在 Kubernetes 儀表板上強制執行強式驗證和授權。您也應該實作網路存取控制,以限制從特定 IP 地址存取儀表板。

如需詳細資訊,請參閱修復EKS保護調查結果

Policy:Kubernetes/KubeflowDashboardExposed

Kubernetes 叢集的 Kubeflow 儀表板已向網際網路公開

預設嚴重性:中

  • 功能:EKS稽核日誌

此調查結果會通知您,叢集的 Kubeflow 儀表板已由負載平衡器服務公開至網際網路。公開的 Kubeflow 儀表板使 Kubeflow 環境的管理界面可從網際網路存取,並允許對手利用任何可能存在的驗證和存取控制差距。

修復建議:

您應該確保在 Kubeflow 儀表板上強制執行強式驗證和授權。您也應該實作網路存取控制,以限制從特定 IP 地址存取儀表板。

如需詳細資訊,請參閱修復EKS保護調查結果

PrivilegeEscalation:Kubernetes/PrivilegedContainer

在您的 Kubernetes 叢集上啟動具有根層級存取權限的具有權限容器。

預設嚴重性:中

  • 功能:EKS稽核日誌

此調查結果會通知您,在 Kubernetes 叢集上使用映像啟動具有權限容器,以前從未被用來啟動叢集中具有權限的容器。具有權限容器有主機的根層級存取權限。對手可以啟動具有特權容器作為特權提升策略,以取得主機的存取權限,然後入侵主機。

修復建議:

如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭入侵。請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed

API 常用於存取秘密的 Kubernetes 是以異常方式叫用。

預設嚴重性:中

  • 功能:EKS稽核日誌

此調查結果會通知您,叢集中的 Kubernetes 使用者調用擷取敏感叢集秘密的異常API操作。觀察到的 API通常與憑證存取策略相關,這些策略可能導致您的叢集內的權限升級和進一步存取。如果未預期出現這種行為,則可能表示組態錯誤或您的 AWS 憑證遭到入侵。

API 異常偵測機器學習 (ML) 模型會將觀察到的 識別為 GuardDuty 異常。ML 模型會評估EKS叢集中的所有使用者API活動,並識別與未經授權使用者使用之技術相關聯的異常事件。ML 模型會追蹤API操作的多個因素,例如提出請求的使用者、提出請求的位置、使用者代理程式使用的位置,以及使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到異常API請求的詳細資訊。

修復建議:

檢查授與叢集中 Kubernetes 使用者的許可並確保需要這所有許可。如果錯誤或惡意地授與許可,則撤銷使用者的存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

如果您的 AWS 憑證遭到入侵,請參閱 修復可能遭到入侵 AWS 的憑證

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated

在 Kubernetes 叢集中建立或修改 RoleBinding 或 ClusterRoleBinding 到過度寬鬆的角色或敏感命名空間。

預設嚴重性:中*

注意

此調查結果的預設嚴重性為「中」。不過,如果 RoleBinding 或 ClusterRoleBinding 涉及 ClusterRoles admincluster-admin,則嚴重性為高。

  • 功能:EKS稽核日誌

此調查結果會通知您,Kubernetes 叢集中的使用者已建立 RoleBindingClusterRoleBinding,將使用者繫結至具有管理員許可或敏感命名空間的角色。如果未預期出現這種行為,則可能表示組態錯誤或您的 AWS 憑證遭到入侵。

API 異常偵測機器學習 (ML) 模型會將觀察到的 識別為 GuardDuty 異常。ML 模型會評估EKS叢集中的所有使用者API活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤API操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式,以及使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到異常API請求的詳細資訊。

修復建議:

檢查授與 Kubernetes 使用者的許可。這些許可以 RoleBindingClusterRoleBinding 中涉及的角色和主體予以定義。如果錯誤或惡意地授與許可,則撤銷使用者的存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

如果您的 AWS 憑證遭到入侵,請參閱 修復可能遭到入侵 AWS 的憑證

Execution:Kubernetes/AnomalousBehavior.ExecInPod

Pod 內命令的執行方式異常。

預設嚴重性:中

  • 功能:EKS稽核日誌

此調查結果會通知您,命令已在 Pod 中使用 Kubernetes exec 執行API。Kubernetes exec 允許在 Pod 中API執行任意命令。如果預期使用者、命名空間或 Pod 不會發生此行為,則可能表示組態錯誤或 AWS 憑證遭到入侵。

API 異常偵測機器學習 (ML) 模型會將觀察到的 識別為 GuardDuty 異常。ML 模型會評估EKS叢集中的所有使用者API活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤API操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式,以及使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到異常API請求的詳細資訊。

修復建議:

如果未預期執行此命令,用於執行命令的使用者身分憑證可能已遭到入侵。撤銷使用者存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

如果您的 AWS 憑證遭到入侵,請參閱 修復可能遭到入侵 AWS 的憑證

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

使用具有特權容器,啟動工作負載的方式異常。

預設嚴重性:高

  • 功能:EKS稽核日誌

此調查結果會通知您,已使用 Amazon EKS叢集中的特權容器啟動工作負載。具有權限容器有主機的根層級存取權限。未經授權使用者可以啟動具有特權容器作為特權提升策略,先取得主機的存取權限,然後入侵主機。

觀察到的容器建立或修改被 GuardDuty 異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估EKS叢集內的所有使用者API和容器映像活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤API操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式、帳戶中觀察到的容器映像,以及使用者操作的命名空間。您可以在主控台的調查結果詳細資訊面板 GuardDuty中找到異常API請求的詳細資訊。

修復建議:

如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭到入侵。撤銷使用者存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

如果您的 AWS 憑證遭到入侵,請參閱 修復可能遭到入侵 AWS 的憑證

如果此容器啟動為預期的結果,建議您根據 resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix 欄位使用具有篩選條件準則的抑制規則。在篩選條件準則中,imagePrefix 欄位必須具有與調查結果中指定的 imagePrefix 欄位相同的值。如需詳細資訊,請參閱中的隱藏規則 GuardDuty

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

部署工作負載的方式異常,並在工作負載內部裝載了敏感的主機路徑。

預設嚴重性:高

  • 功能:EKS稽核日誌

此調查結果會通知您,已透過 volumeMounts 區段中包含敏感主機路徑的容器啟動工作負載。這可能使得敏感的主機路徑可從容器內部存取和寫入。這種技術通常被未經授權使用者用來存取主機的檔案系統。

觀察到的容器建立或修改被 GuardDuty 異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估EKS叢集內的所有使用者API和容器映像活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤API操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式、帳戶中觀察到的容器映像,以及使用者操作的命名空間。您可以在主控台的調查結果詳細資訊面板 GuardDuty中找到異常API請求的詳細資訊。

修復建議:

如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭到入侵。撤銷使用者存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

如果您的 AWS 憑證遭到入侵,請參閱 修復可能遭到入侵 AWS 的憑證

如果此容器啟動為預期的結果,建議您根據 resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix 欄位使用具有篩選條件準則的抑制規則。在篩選條件準則中,imagePrefix 欄位必須具有與調查結果中指定的 imagePrefix 欄位相同的值。如需詳細資訊,請參閱中的隱藏規則 GuardDuty

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

啟動工作負載的方式異常。

預設嚴重性:低*

注意

預設嚴重性為低。不過,如果工作負載包含潛在可疑的映像名稱 (例如已知的滲透測試工具),或是在啟動時執行潛在可疑命令的容器 (例如反向 Shell 命令),則此調查結果類型的嚴重性將被視為「中」。

  • 功能:EKS稽核日誌

此調查結果會通知您,Kubernetes 工作負載是在 Amazon EKS叢集中以異常方式建立或修改,例如API活動、新容器映像或風險工作負載組態。未經授權使用者可以啟動容器作為執行任意程式碼的策略,先取得主機的存取權限,然後入侵主機。

觀察到的容器建立或修改被 GuardDuty 異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估EKS叢集內的所有使用者API和容器映像活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤API操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式、帳戶中觀察到的容器映像,以及使用者操作的命名空間。您可以在主控台的調查結果詳細資訊面板 GuardDuty中找到異常API請求的詳細資訊。

修復建議:

如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭到入侵。撤銷使用者存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

如果您的 AWS 憑證遭到入侵,請參閱 修復可能遭到入侵 AWS 的憑證

如果此容器啟動為預期的結果,建議您根據 resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix 欄位使用具有篩選條件準則的抑制規則。在篩選條件準則中,imagePrefix 欄位必須具有與調查結果中指定的 imagePrefix 欄位相同的值。如需詳細資訊,請參閱中的隱藏規則 GuardDuty

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

高度寬鬆的角色 ClusterRole ,或以異常方式建立或修改。

預設嚴重性:低

  • 功能:EKS稽核日誌

此調查結果會通知您,Amazon EKS叢集中的 Kubernetes 使用者呼叫建立 Role或 的異常API操作ClusterRole,而該操作具有過多的許可。行動者可以使用具有強大許可的角色建立,以避免使用內建管理員式角色並避免偵測。過多的許可,可能會導致具有特權提升、遠端程式碼執行,以及可能控制命名空間或叢集。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。

API 異常偵測機器學習 (ML) 模型會將觀察到的 識別為 GuardDuty 異常。ML 模型會評估 Amazon EKS叢集內的所有使用者API活動,並識別與未經授權的使用者使用之技術相關聯的異常事件。ML 模型也會追蹤API操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式、帳戶中觀察到的容器映像,以及使用者操作的命名空間。您可以在主控台的調查結果詳細資訊面板 GuardDuty中找到異常API請求的詳細資訊。

修復建議:

檢查 RoleClusterRole 中定義的權限,以確保需要所有權限,並遵循最低權限政策。如果錯誤或惡意地授與許可,則撤銷使用者的存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

如果您的 AWS 憑證遭到入侵,請參閱 修復可能遭到入侵 AWS 的憑證

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

使用者檢查其存取許可的方式異常。

預設嚴重性:低

  • 功能:EKS稽核日誌

此調查結果會通知您,Kubernetes 叢集中的使用者已成功檢查是否允許可導致具有權限提升和遠端程式碼執行的已知強大許可。例如,用來檢查使用者許可的常用命令為 kubectl auth can-i。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。

API 異常偵測機器學習 (ML) 模型會將觀察到的 識別為 GuardDuty 異常。ML 模型會評估 Amazon EKS叢集內的所有使用者API活動,並識別與未經授權的使用者使用之技術相關聯的異常事件。ML 模型也會追蹤API操作的多個因素,例如提出請求的使用者、提出請求的位置、檢查的許可,以及使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到異常API請求的詳細資訊。

修復建議:

檢查授與 Kubernetes 使用者的許可,以確保需要所有許可。如果錯誤或惡意地授與許可,則撤銷使用者的存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱修復EKS保護調查結果

如果您的 AWS 憑證遭到入侵,請參閱 修復可能遭到入侵 AWS 的憑證