Jenis penemuan Perlindungan EKS - Amazon GuardDuty
CredentialAccess:Kubernetes/MaliciousIPCallerCredentialAccess:Kubernetes/MaliciousIPCaller.CustomCredentialAccess:Kubernetes/SuccessfulAnonymousAccessCredentialAccess:Kubernetes/TorIPCallerDefenseEvasion:Kubernetes/MaliciousIPCallerDefenseEvasion:Kubernetes/MaliciousIPCaller.CustomDefenseEvasion:Kubernetes/SuccessfulAnonymousAccessDefenseEvasion:Kubernetes/TorIPCallerDiscovery:Kubernetes/MaliciousIPCallerDiscovery:Kubernetes/MaliciousIPCaller.CustomDiscovery:Kubernetes/SuccessfulAnonymousAccessDiscovery:Kubernetes/TorIPCallerExecution:Kubernetes/ExecInKubeSystemPodImpact:Kubernetes/MaliciousIPCallerImpact:Kubernetes/MaliciousIPCaller.CustomImpact:Kubernetes/SuccessfulAnonymousAccessImpact:Kubernetes/TorIPCallerPersistence:Kubernetes/ContainerWithSensitiveMountPersistence:Kubernetes/MaliciousIPCallerPersistence:Kubernetes/MaliciousIPCaller.CustomPersistence:Kubernetes/SuccessfulAnonymousAccessPersistence:Kubernetes/TorIPCallerPolicy:Kubernetes/AdminAccessToDefaultServiceAccountPolicy:Kubernetes/AnonymousAccessGrantedPolicy:Kubernetes/ExposedDashboardPolicy:Kubernetes/KubeflowDashboardExposedPrivilegeEscalation:Kubernetes/PrivilegedContainerCredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreatedExecution:Kubernetes/AnomalousBehavior.ExecInPodPrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainerPersistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMountExecution:Kubernetes/AnomalousBehavior.WorkloadDeployedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreatedDiscovery:Kubernetes/AnomalousBehavior.PermissionChecked

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Jenis penemuan Perlindungan EKS

Temuan berikut khusus untuk sumber daya Amazon EKS dan memiliki resource_type. EKSCluster Tingkat keparahan dan detail temuan berbeda berdasarkan jenis temuan.

Untuk semua temuan jenis log audit EKS, kami sarankan Anda memeriksa sumber daya yang dimaksud untuk menentukan apakah aktivitas tersebut diharapkan atau berpotensi berbahaya. Untuk panduan tentang memulihkan sumber daya log audit EKS yang dikompromikan yang diidentifikasi oleh GuardDuty temuan, lihat. Remediasi temuan Perlindungan EKS

catatan

Jika aktivitas yang menghasilkan temuan ini diharapkan, pertimbangkan Aturan penindasan di GuardDuty untuk menambahkan untuk mencegah peringatan di masa depan.

Topik
catatan

Sebelum Kubernetes versi 1.14, system:unauthenticated grup ini dikaitkan dengan dan secara default. system:discovery system:basic-user ClusterRoles Asosiasi ini memungkinkan akses yang tidak diinginkan dari pengguna anonim. Pembaruan cluster tidak mencabut izin ini. Bahkan jika Anda memperbarui klaster Anda ke versi 1.14 atau lebih tinggi, izin ini mungkin masih diaktifkan. Kami menyarankan Anda untuk memisahkan izin ini dari grup. system:unauthenticated Untuk panduan tentang mencabut izin ini, lihat Praktik terbaik keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS.

CredentialAccess:Kubernetes/MaliciousIPCaller

API yang biasa digunakan untuk mengakses kredensial atau rahasia dalam klaster Kubernetes diinvokasi dari alamat IP berbahaya yang telah diketahui.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API diinvokasi dari alamat IP yang terkait dengan aktivitas berbahaya yang telah diketahui. API yang diamati biasanya dikaitkan dengan taktik akses kredenal di mana musuh mencoba mengumpulkan kata sandi, nama pengguna, dan kunci akses untuk klaster Kubernetes Anda.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah bagian KubernetesUserDetails adalah system:anonymous, selidiki mengapa pengguna anonim diizinkan untuk menginvokasi API dan mencabut izin, jika diperlukan, dengan mengikuti instruksi dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas tersebut berbahaya, cabut akses pengguna dan pulihkan perubahan apa pun yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

API yang biasa digunakan untuk mengakses kredensial atau rahasia dalam klaster Kubernetes diinvokasi dari alamat IP yang disertakan di daftar ancaman kustom.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API diinvokasi dari alamat IP yang disertakan di daftar ancaman yang Anda unggah. Daftar ancaman yang terkait dengan temuan ini tercantum di bagian Informasi Tambahan dari detail temuan ini. API yang diamati biasanya dikaitkan dengan taktik akses kredenal di mana musuh mencoba mengumpulkan kata sandi, nama pengguna, dan kunci akses untuk klaster Kubernetes Anda.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah KubernetesUserDetails bagian ini adalahsystem:anonymous, selidiki mengapa pengguna anonim diizinkan untuk memanggil API dan dan mencabut izin, jika diperlukan, dengan mengikuti petunjuk dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas tersebut berbahaya, cabut akses pengguna dan pulihkan perubahan apa pun yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

API yang biasa digunakan untuk mengakses kredensial atau rahasia dalam klaster Kubernetes diinvokasi oleh pengguna yang tidak diautentikasi.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API berhasil diinvokasi oleh pengguna system:anonymous. Panggilan API yang dibuat oleh system:anonymous tidak diautentikasi. API yang diamati biasanya dikaitkan dengan taktik akses kredenal di mana musuh mencoba mengumpulkan kata sandi, nama pengguna, dan kunci akses untuk klaster Kubernetes Anda. Aktivitas ini menunjukkan bahwa akses yang anonim atau tidak diautentikasi diizinkan pada tindakan API yang dilaporkan dalam temuan dan mungkin diizinkan pada tindakan lain. Jika perilaku ini tidak terduga, ini mungkin menunjukkan kesalahan konfigurasi atau kredensial Anda disusupi.

Rekomendasi remediasi:

Anda harus memeriksa izin yang telah diberikan kepada pengguna system:anonymous di klaster Anda dan memastikan bahwa semua izin memang diperlukan. Jika izin diberikan secara keliru atau karena niat jahat, Anda harus mencabut akses pengguna dan memulihkan perubahan yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS.

Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

CredentialAccess:Kubernetes/TorIPCaller

API yang biasa digunakan untuk mengakses kredensial atau rahasia dalam klaster Kubernetes diinvokasi dari alamat IP simpul keluar Tor.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa API diinvokasi dari alamat IP simpul keluar Tor. API yang diamati biasanya dikaitkan dengan taktik akses kredenal di mana musuh mencoba mengumpulkan kata sandi, nama pengguna, dan kunci akses untuk klaster Kubernetes Anda. Tor adalah perangkat lunak yang memungkinkan komunikasi anonim. Hal ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relai antara serangkaian simpul jaringan. Node Tor terakhir disebut sebagai nod keluar. Hal ini dapat mengindikasikan akses yang tidak sah ke sumber daya klaster Kubernetes Anda dengan maksud menyembunyikan identitas penyerang yang sebenarnya.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah bagian KubernetesUserDetails adalah system:anonymous, selidiki mengapa pengguna anonim diizinkan untuk menginvokasi API dan mencabut izin, jika diperlukan, dengan mengikuti instruksi dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas tersebut berbahaya, cabut akses pengguna dan pulihkan perubahan apa pun yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

DefenseEvasion:Kubernetes/MaliciousIPCaller

API yang biasa digunakan untuk menghindari tindakan defensif diinvokasi dari alamat IP berbahaya yang telah diketahui.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API diinvokasi dari alamat IP yang terkait dengan aktivitas berbahaya yang telah diketahui. API yang diamati umumnya terkait dengan taktik penghindaran pertahanan di mana penyerang mencoba menyembunyikan tindakan mereka untuk menghindari deteksi.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah bagian KubernetesUserDetails adalah system:anonymous, selidiki mengapa pengguna anonim diizinkan untuk menginvokasi API dan mencabut izin, jika diperlukan, dengan mengikuti instruksi dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas tersebut berbahaya, cabut akses pengguna dan pulihkan perubahan apa pun yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

API yang biasa digunakan untuk menghindari tindakan defensif diinvokasi dari alamat IP yang disertakan di daftar ancaman kustom.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API diinvokasi dari alamat IP yang disertakan di daftar ancaman yang Anda unggah. Daftar ancaman yang terkait dengan temuan ini tercantum di bagian Informasi Tambahan dari detail temuan ini. API yang diamati umumnya terkait dengan taktik penghindaran pertahanan di mana penyerang mencoba menyembunyikan tindakan mereka untuk menghindari deteksi.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah bagian KubernetesUserDetails adalah system:anonymous, selidiki mengapa pengguna anonim diizinkan untuk menginvokasi API dan mencabut izin, jika diperlukan, dengan mengikuti instruksi dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas tersebut berbahaya, cabut akses pengguna dan pulihkan perubahan apa pun yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

API yang biasa digunakan untuk menghindari tindakan defensif diinvokasi oleh pengguna yang tidak diautentikasi.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API berhasil diinvokasi oleh pengguna system:anonymous. Panggilan API yang dibuat oleh system:anonymous tidak diautentikasi. API yang diamati umumnya dikaitkan dengan taktik penghindaran pertahanan di mana penyerang mencoba menyembunyikan tindakan mereka untuk menghindari deteksi. Aktivitas ini menunjukkan bahwa akses yang anonim atau tidak diautentikasi diizinkan pada tindakan API yang dilaporkan dalam temuan dan mungkin diizinkan pada tindakan lain. Jika perilaku ini tidak terduga, ini mungkin menunjukkan kesalahan konfigurasi atau kredensial Anda disusupi.

Rekomendasi remediasi:

Anda harus memeriksa izin yang telah diberikan kepada pengguna system:anonymous di klaster Anda dan memastikan bahwa semua izin memang diperlukan. Jika izin diberikan secara keliru atau karena niat jahat, Anda harus mencabut akses pengguna dan memulihkan perubahan yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS.

Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

DefenseEvasion:Kubernetes/TorIPCaller

API yang biasa digunakan untuk menghindari tindakan defensif diinvokasi dari alamat IP simpul keluar Tor.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa API diinvokasi dari alamat IP simpul keluar Tor. API yang diamati umumnya terkait dengan taktik penghindaran pertahanan di mana penyerang mencoba menyembunyikan tindakan mereka untuk menghindari deteksi. Tor adalah perangkat lunak yang memungkinkan komunikasi anonim. Hal ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relai antara serangkaian simpul jaringan. Node Tor terakhir disebut sebagai nod keluar. Hal ini dapat menunjukkan akses tidak sah ke klaster Kubernetes Anda dengan maksud menyembunyikan identitas asli musuh.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah bagian KubernetesUserDetails adalah system:anonymous, selidiki mengapa pengguna anonim diizinkan untuk menginvokasi API dan mencabut izin, jika diperlukan, dengan mengikuti instruksi dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas tersebut berbahaya, cabut akses pengguna dan pulihkan perubahan apa pun yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Discovery:Kubernetes/MaliciousIPCaller

API yang biasa digunakan untuk menemukan sumber daya di klaster Kubernetes dipanggil dari alamat IP.

Tingkat keparahan default: Medium

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API diinvokasi dari alamat IP yang terkait dengan aktivitas berbahaya yang telah diketahui. API yang diamati biasanya digunakan dengan tahap penemuan serangan di mana penyerang mengumpulkan informasi untuk menentukan apakah klaster Kubernetes Anda rentan terhadap serangan yang lebih luas.

Untuk akses yang tidak diautentikasi

MaliciousIPCallertemuan tidak dihasilkan untuk akses yang tidak diautentikasi.

SuccessfulAnonymousAccessTemuan dihasilkan untuk akses yang tidak diautentikasi atau anonim.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah bagian KubernetesUserDetails adalah system:anonymous, selidiki mengapa pengguna anonim diizinkan untuk menginvokasi API dan mencabut izin, jika diperlukan, dengan mengikuti instruksi dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas tersebut berbahaya, cabut akses pengguna dan pulihkan perubahan apa pun yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Discovery:Kubernetes/MaliciousIPCaller.Custom

API yang biasa digunakan untuk menemukan sumber daya dalam klaster Kubernetes diinvokasi dari alamat IP yang disertakan di daftar ancaman kustom.

Tingkat keparahan default: Medium

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa API diinvokasi dari alamat IP yang disertakan di daftar ancaman yang Anda unggah. Daftar ancaman yang terkait dengan temuan ini tercantum di bagian Informasi Tambahan dari detail temuan ini. API yang diamati biasanya digunakan dengan tahap penemuan serangan di mana penyerang mengumpulkan informasi untuk menentukan apakah klaster Kubernetes Anda rentan terhadap serangan yang lebih luas.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah bagian KubernetesUserDetails adalah system:anonymous, selidiki mengapa pengguna anonim diizinkan untuk menginvokasi API dan mencabut izin, jika diperlukan, dengan mengikuti instruksi dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas tersebut berbahaya, cabut akses pengguna dan pulihkan perubahan apa pun yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Discovery:Kubernetes/SuccessfulAnonymousAccess

API yang biasa digunakan untuk menemukan sumber daya dalam klaster Kubernetes diinvokasi oleh pengguna yang tidak diautentikasi.

Tingkat keparahan default: Medium

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API berhasil diinvokasi oleh pengguna system:anonymous. Panggilan API yang dibuat oleh system:anonymous tidak diautentikasi. API yang diamati umumnya terkait dengan tahap penemuan serangan ketika penyerang mengumpulkan informasi tentang klaster Kubernetes Anda. Aktivitas ini menunjukkan bahwa akses yang anonim atau tidak diautentikasi diizinkan pada tindakan API yang dilaporkan dalam temuan dan mungkin diizinkan pada tindakan lain. Jika perilaku ini tidak terduga, ini mungkin menunjukkan kesalahan konfigurasi atau kredensial Anda disusupi.

Jenis temuan ini mengecualikan titik akhir API pemeriksaan kesehatan seperti/healthz,, /livez/readyz, dan. /version

Rekomendasi remediasi:

Anda harus memeriksa izin yang telah diberikan kepada pengguna system:anonymous di klaster Anda dan memastikan bahwa semua izin memang diperlukan. Jika izin diberikan secara keliru atau karena niat jahat, Anda harus mencabut akses pengguna dan memulihkan perubahan yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS.

Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Discovery:Kubernetes/TorIPCaller

API yang biasa digunakan untuk menemukan sumber daya dalam klaster Kubernetes diinvokasi dari alamat IP simpul keluar Tor.

Tingkat keparahan default: Medium

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa API diinvokasi dari alamat IP simpul keluar Tor. API yang diamati biasanya digunakan dengan tahap penemuan serangan di mana penyerang mengumpulkan informasi untuk menentukan apakah klaster Kubernetes Anda rentan terhadap serangan yang lebih luas. Tor adalah perangkat lunak yang memungkinkan komunikasi anonim. Hal ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relai antara serangkaian simpul jaringan. Node Tor terakhir disebut sebagai nod keluar. Hal ini dapat menunjukkan akses tidak sah ke klaster Kubernetes Anda dengan maksud menyembunyikan identitas asli musuh.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah KubernetesUserDetails bagian ini adalahsystem:anonymous, selidiki mengapa pengguna anonim diizinkan untuk memanggil APIand pencabutan izin, jika diperlukan, dengan mengikuti petunjuk dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas tersebut berbahaya, cabut akses pengguna dan pulihkan perubahan apa pun yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Execution:Kubernetes/ExecInKubeSystemPod

Sebuah perintah dieksekusi di dalam pod di dalam kube-system namespace

Tingkat keparahan default: Medium

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa sebuah perintah telah dijalankan di sebuah pod di dalam kube-system namespace menggunakan Kubernetes exec API. kube-systemnamespace adalah ruang nama default, yang terutama digunakan untuk komponen tingkat sistem seperti dan. kube-dns kube-proxy Sangat jarang untuk mengeksekusi perintah di dalam pod atau kontainer di bawah kube-system namespace dan mungkin menunjukkan aktivitas yang mencurigakan.

Rekomendasi remediasi:

Jika eksekusi perintah ini tidak terduga, kredensial identitas pengguna yang digunakan untuk menjalankan perintah mungkin disusupi. Cabut akses pengguna dan pulihkan perubahan yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Impact:Kubernetes/MaliciousIPCaller

API yang biasa digunakan untuk mengutak-atik sumber daya dalam klaster Kubernetes diinvokasi dari alamat IP berbahaya yang telah diketahui.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API diinvokasi dari alamat IP yang terkait dengan aktivitas berbahaya yang telah diketahui. API yang diamati umumnya dikaitkan dengan taktik dampak di mana musuh mencoba memanipulasi, mengganggu, atau menghancurkan data dalam lingkungan Anda. AWS

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah bagian KubernetesUserDetails adalah system:anonymous, selidiki mengapa pengguna anonim diizinkan untuk menginvokasi API dan mencabut izin, jika diperlukan, dengan mengikuti instruksi dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas tersebut berbahaya, cabut akses pengguna dan pulihkan perubahan apa pun yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Impact:Kubernetes/MaliciousIPCaller.Custom

API yang biasa digunakan untuk mengutak-atik sumber daya dalam klaster Kubernetes diinvokasi dari alamat IP yang disertakan di daftar ancaman kustom.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API diinvokasi dari alamat IP yang disertakan di daftar ancaman yang Anda unggah. Daftar ancaman yang terkait dengan temuan ini tercantum di bagian Informasi Tambahan dari detail temuan ini. API yang diamati umumnya dikaitkan dengan taktik dampak di mana musuh mencoba memanipulasi, mengganggu, atau menghancurkan data dalam lingkungan Anda. AWS

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah bagian KubernetesUserDetails adalah system:anonymous, selidiki mengapa pengguna anonim diizinkan untuk menginvokasi API dan mencabut izin, jika diperlukan, dengan mengikuti instruksi dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas tersebut berbahaya, cabut akses pengguna dan pulihkan perubahan apa pun yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Impact:Kubernetes/SuccessfulAnonymousAccess

API yang biasa digunakan untuk mengutak-atik sumber daya dalam klaster Kubernetes diinvokasi oleh pengguna yang tidak diautentikasi.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API berhasil diinvokasi oleh pengguna system:anonymous. Panggilan API yang dibuat oleh system:anonymous tidak diautentikasi. API yang diamati umumnya terkait dengan tahap dampak serangan ketika penyerang mengganggu sumber daya di klaster Anda. Aktivitas ini menunjukkan bahwa akses yang anonim atau tidak diautentikasi diizinkan pada tindakan API yang dilaporkan dalam temuan dan mungkin diizinkan pada tindakan lain. Jika perilaku ini tidak terduga, ini mungkin menunjukkan kesalahan konfigurasi atau kredensial Anda disusupi.

Rekomendasi remediasi:

Anda harus memeriksa izin yang telah diberikan kepada pengguna system:anonymous di klaster Anda dan memastikan bahwa semua izin memang diperlukan. Jika izin diberikan secara keliru atau karena niat jahat, Anda harus mencabut akses pengguna dan memulihkan perubahan yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS.

Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Impact:Kubernetes/TorIPCaller

API yang biasa digunakan untuk mengutak-atik sumber daya dalam klaster Kubernetes diinvokasi dari alamat IP simpul keluar Tor.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa API diinvokasi dari alamat IP simpul keluar Tor. API yang diamati umumnya terkait dengan taktik dampak di mana penyerang mencoba memanipulasi, mengganggu, atau menghancurkan data dalam lingkungan AWS Anda. Tor adalah perangkat lunak yang memungkinkan komunikasi anonim. Hal ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relai antara serangkaian simpul jaringan. Node Tor terakhir disebut sebagai nod keluar. Hal ini dapat menunjukkan akses tidak sah ke klaster Kubernetes Anda dengan maksud menyembunyikan identitas asli musuh.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah bagian KubernetesUserDetails adalah system:anonymous, selidiki mengapa pengguna anonim diizinkan untuk menginvokasi API dan mencabut izin, jika diperlukan, dengan mengikuti instruksi dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas tersebut berbahaya, cabut akses pengguna dan pulihkan perubahan apa pun yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Persistence:Kubernetes/ContainerWithSensitiveMount

Sebuah kontainer diluncurkan dengan jalur host eksternal sensitif yang dipasang di dalamnya.

Tingkat keparahan default: Medium

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa wadah diluncurkan dengan konfigurasi yang menyertakan jalur host sensitif dengan akses tulis di volumeMounts bagian tersebut. Ini membuat jalur host sensitif dapat diakses dan dapat ditulis dari dalam wadah. Teknik ini biasanya digunakan oleh penyerang untuk mendapatkan akses ke sistem file host.

Rekomendasi remediasi:

Jika peluncuran kontainer ini tidak terduga, kredensial identitas pengguna yang digunakan untuk meluncurkan kontainer mungkin disusupi. Cabut akses pengguna dan pulihkan perubahan yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Jika peluncuran kontainer ini memang diharapkan, gunakan aturan penekanan yang terdiri dari kriteria filter berdasarkan bidang resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. Dalam kriteria filter, bidang imagePrefix harus sama dengan imagePrefix yang ditentukan dalam temuan tersebut. Untuk mempelajari selengkapnya tentang cara membuat aturan penekanan, lihat Aturan penekanan.

Persistence:Kubernetes/MaliciousIPCaller

API yang biasa digunakan untuk mendapatkan akses persisten ke klaster Kubernetes diinvokasi dari alamat IP berbahaya yang telah diketahui.

Tingkat keparahan default: Medium

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API diinvokasi dari alamat IP yang terkait dengan aktivitas berbahaya yang telah diketahui. API yang diamati umumnya terkait dengan taktik persisten di mana penyerang telah mendapatkan akses ke klaster Kubernetes Anda dan mencoba mempertahankan akses tersebut.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah bagian KubernetesUserDetails adalah system:anonymous, selidiki mengapa pengguna anonim diizinkan untuk menginvokasi API dan mencabut izin, jika diperlukan, dengan mengikuti instruksi dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas tersebut berbahaya, cabut akses pengguna dan pulihkan perubahan apa pun yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Persistence:Kubernetes/MaliciousIPCaller.Custom

API yang biasa digunakan untuk mendapatkan akses persisten ke klaster Kubernetes diinvokasi dari alamat IP yang disertakan di daftar ancaman kustom.

Tingkat keparahan default: Medium

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API diinvokasi dari alamat IP yang disertakan di daftar ancaman yang Anda unggah. Daftar ancaman yang terkait dengan temuan ini tercantum di bagian Informasi Tambahan dari detail temuan ini. API yang diamati umumnya terkait dengan taktik persisten di mana penyerang telah mendapatkan akses ke klaster Kubernetes Anda dan mencoba mempertahankan akses tersebut.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah bagian KubernetesUserDetails adalah system:anonymous, selidiki mengapa pengguna anonim diizinkan untuk menginvokasi API dan mencabut izin, jika diperlukan, dengan mengikuti instruksi dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas tersebut berbahaya, cabut akses pengguna dan pulihkan perubahan apa pun yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Persistence:Kubernetes/SuccessfulAnonymousAccess

API yang biasa digunakan untuk mendapatkan izin tingkat tinggi ke klaster Kubernetes diinvokasi oleh pengguna yang tidak diautentikasi.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API berhasil diinvokasi oleh pengguna system:anonymous. Panggilan API yang dibuat oleh system:anonymous tidak diautentikasi. API yang diamati umumnya terkait dengan taktik persisten di mana penyerang telah mendapatkan akses ke klaster Anda dan mencoba mempertahankan akses tersebut. Aktivitas ini menunjukkan bahwa akses yang anonim atau tidak diautentikasi diizinkan pada tindakan API yang dilaporkan dalam temuan dan mungkin diizinkan pada tindakan lain. Jika perilaku ini tidak terduga, ini mungkin menunjukkan kesalahan konfigurasi atau kredensial Anda disusupi.

Rekomendasi remediasi:

Anda harus memeriksa izin yang telah diberikan kepada pengguna system:anonymous di klaster Anda dan memastikan bahwa semua izin memang diperlukan. Jika izin diberikan secara keliru atau karena niat jahat, Anda harus mencabut akses pengguna dan memulihkan perubahan yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS.

Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Persistence:Kubernetes/TorIPCaller

API yang biasa digunakan untuk mendapatkan akses persisten ke klaster Kubernetes diinvokasi dari alamat IP simpul keluar Tor.

Tingkat keparahan default: Medium

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa API diinvokasi dari alamat IP simpul keluar Tor. API yang diamati umumnya terkait dengan taktik persisten di mana penyerang telah mendapatkan akses ke klaster Kubernetes Anda dan mencoba mempertahankan akses tersebut. Tor adalah perangkat lunak yang memungkinkan komunikasi anonim. Hal ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relai antara serangkaian simpul jaringan. Simpul Tor terakhir disebut sebagai simpul keluar. Ini dapat menunjukkan akses tidak sah ke AWS sumber daya Anda dengan maksud menyembunyikan identitas asli penyerang.

Rekomendasi remediasi:

Jika pengguna yang dilaporkan dalam temuan di bawah bagian KubernetesUserDetails adalah system:anonymous, selidiki mengapa pengguna anonim diizinkan untuk menginvokasi API dan mencabut izin, jika diperlukan, dengan mengikuti instruksi dalam Praktik terbaik Keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika pengguna adalah pengguna yang diautentikasi, selidiki untuk menentukan apakah aktivitas tersebut sah atau berbahaya. Jika aktivitas tersebut berbahaya, cabut akses pengguna dan pulihkan perubahan apa pun yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

Akun layanan default diberi hak akses admin pada klaster Kubernetes.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa akun layanan default untuk sebuah namespace di klaster Kubernetes Anda diberi hak akses admin. Kubernetes membuat akun layanan default untuk semua namespace di klaster. Layanan ini secara otomatis menetapkan akun layanan default sebagai identitas ke pod yang belum dikaitkan secara eksplisit ke akun layanan lain. Jika akun layanan default memiliki hak akses admin, maka pod dapat diluncurkan secara tidak sengaja dengan hak akses admin. Jika perilaku ini tidak terduga, ini mungkin menunjukkan kesalahan konfigurasi atau kredensial Anda disusupi.

Rekomendasi remediasi:

Anda tidak boleh menggunakan akun layanan default untuk memberikan izin kepada pod. Sebagai gantinya, Anda harus membuat akun layanan khusus untuk setiap beban kerja dan memberikan izin ke akun tersebut berdasarkan kebutuhan. Untuk mengatasi masalah ini, Anda harus membuat akun layanan khusus untuk semua pod dan beban kerja Anda dan memperbarui pod dan beban kerja untuk bermigrasi dari akun layanan default ke akun khususnya. Maka Anda harus menghapus izin admin dari akun layanan default. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Policy:Kubernetes/AnonymousAccessGranted

system:anonymousPengguna diberikan izin API pada klaster Kubernetes.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa pengguna di klaster Kubernetes Anda berhasil membuat ClusterRoleBinding atau RoleBinding untuk mengikat pengguna system:anonymous ke sebuah peran. Hal ini memungkinkan akses yang tidak diautentikasi ke operasi API yang diizinkan oleh peran. Jika perilaku ini tidak terduga, ini mungkin menunjukkan kesalahan konfigurasi atau kredensial Anda disusupi.

Rekomendasi remediasi:

Anda harus memeriksa izin yang telah diberikan kepada pengguna system:anonymous atau grup system:unauthenticated di klaster Anda dan mencabut akses anonim yang tidak perlu. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan untuk Amazon EKS di Panduan Pengguna Amazon EKS. Jika izin diberikan karena niat jahat, Anda harus mencabut akses pengguna yang memberikan izin dan memulihkan perubahan yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Policy:Kubernetes/ExposedDashboard

Dasbor untuk klaster Kubernetes diekspos ke internet

Tingkat keparahan default: Medium

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa dasbor Kubernetes untuk klaster Anda diekspos ke internet melalui layanan Penyeimbang Beban. Dasbor yang terekspos akan membuat antarmuka manajemen klaster Anda dapat diakses dari internet dan memungkinkan penyerang mengeksploitasi celah kontrol autentikasi dan akses yang mungkin ada.

Rekomendasi remediasi:

Anda harus memastikan bahwa otentikasi dan otorisasi yang kuat diberlakukan di Dasbor Kubernetes. Anda juga harus menerapkan kontrol akses jaringan untuk membatasi akses ke dasbor dari alamat IP tertentu.

Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Policy:Kubernetes/KubeflowDashboardExposed

Dasbor Kubeflow untuk cluster Kubernetes diekspos ke Internet

Tingkat keparahan default: Medium

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa dasbor Kubeflow untuk klaster Anda diekspos ke Internet oleh layanan Load Balancer. Dasbor Kubeflow yang terbuka membuat antarmuka manajemen lingkungan Kubeflow Anda dapat diakses dari Internet dan memungkinkan musuh untuk mengeksploitasi celah otentikasi dan kontrol akses apa pun yang mungkin ada.

Rekomendasi remediasi:

Anda harus memastikan bahwa otentikasi dan otorisasi yang kuat diberlakukan di Dasbor Kubeflow. Anda juga harus menerapkan kontrol akses jaringan untuk membatasi akses ke dasbor dari alamat IP tertentu.

Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

PrivilegeEscalation:Kubernetes/PrivilegedContainer

Kontainer istimewa dengan akses tingkat root diluncurkan di klaster Kubernetes Anda.

Tingkat keparahan default: Medium

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa sebuah kontainer yang diluncurkan pada klaster Kubernetes Anda menggunakan citra yang belum pernah digunakan untuk meluncurkan kontainer berhak akses di klaster Anda. Sebuah kontainer berhak akses memiliki akses tingkat root ke host. Penyerang dapat meluncurkan kontainer berhak akses sebagai taktik eskalasi hak akses untuk mendapatkan akses ke dan kemudian menyusupi host.

Rekomendasi remediasi:

Jika peluncuran kontainer ini tidak terduga, kredensial identitas pengguna yang digunakan untuk meluncurkan kontainer mungkin disusupi. Cabut akses pengguna dan pulihkan perubahan yang dilakukan oleh penyerang pada klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed

API Kubernetes yang biasa digunakan untuk mengakses rahasia dipanggil dengan cara yang anomali.

Tingkat keparahan default: Medium

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API beranomali untuk mengambil rahasia klaster sensitif diinvokasi oleh pengguna Kubernetes di klaster Anda. API yang diamati biasanya dikaitkan dengan taktik akses kredensial yang dapat mengakibatkan eskalasi berhak akses dan akses lebih lanjut dalam klaster Anda. Jika perilaku ini tidak diharapkan, ini mungkin menunjukkan kesalahan konfigurasi atau AWS kredenal Anda dikompromikan.

API yang diamati diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua aktivitas API pengguna dalam kluster EKS Anda dan mengidentifikasi kejadian anomali yang terkait dengan teknik yang digunakan oleh pengguna yang tidak sah. Model ML melacak beberapa faktor operasi API seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, agen pengguna yang digunakan, dan namespace yang dioperasikan pengguna. Anda dapat menemukan detail permintaan API yang tidak biasa, di panel detail pencarian di GuardDuty konsol.

Rekomendasi remediasi:

Periksa izin yang diberikan kepada pengguna Kubernetes di klaster Anda dan pastikan bahwa semua izin ini diperlukan. Jika izin diberikan secara keliru atau jahat, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh pengguna yang tidak sah ke klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Jika AWS kredensi Anda dikompromikan, lihat. Memulihkan kredensi yang berpotensi dikompromikan AWS

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated

Sebuah RoleBinding atau ClusterRoleBinding ke peran yang terlalu permisif atau namespace yang sensitif telah dibuat atau dimodifikasi di klaster Kubernetes Anda.

Tingkat keparahan default: Sedang*

catatan

Tingkat kepelikan default temuan ini adalah Medium. Namun, jika RoleBinding atau ClusterRoleBinding melibatkan ClusterRoles admin ataucluster-admin, tingkat keparahannya Tinggi.

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa pengguna di klaster Kubernetes Anda membuat RoleBinding atau ClusterRoleBinding untuk mengikat pengguna ke peran dengan izin admin atau ruang nama sensitif. Jika perilaku ini tidak diharapkan, ini mungkin menunjukkan kesalahan konfigurasi atau AWS kredenal Anda dikompromikan.

API yang diamati diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua aktivitas API pengguna dalam kluster EKS Anda. Model ML ini juga mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh pengguna yang tidak sah. Model ML juga melacak beberapa faktor operasi API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, agen pengguna yang digunakan, dan namespace yang dioperasikan pengguna. Anda dapat menemukan detail permintaan API yang tidak biasa, di panel detail pencarian di GuardDuty konsol.

Rekomendasi remediasi:

Periksa izin yang diberikan kepada pengguna Kubernetes. Izin ini didefinisikan dalam peran dan subjek yang terlibat dalam RoleBinding danClusterRoleBinding. Jika izin diberikan secara keliru atau jahat, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh pengguna yang tidak sah ke klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Jika AWS kredensi Anda dikompromikan, lihat. Memulihkan kredensi yang berpotensi dikompromikan AWS

Execution:Kubernetes/AnomalousBehavior.ExecInPod

Sebuah perintah dieksekusi di dalam pod dengan cara yang anomali.

Tingkat keparahan default: Medium

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa perintah dijalankan di pod menggunakan API exec Kubernetes. Exec API Kubernetes memungkinkan menjalankan perintah arbitrer dalam sebuah pod. Jika perilaku ini tidak diharapkan untuk pengguna, namespace, atau pod, ini mungkin menunjukkan kesalahan konfigurasi atau AWS kredensialmu disusupi.

API yang diamati diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua aktivitas API pengguna dalam kluster EKS Anda. Model ML ini juga mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh pengguna yang tidak sah. Model ML juga melacak beberapa faktor operasi API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, agen pengguna yang digunakan, dan namespace yang dioperasikan pengguna. Anda dapat menemukan detail permintaan API yang tidak biasa, di panel detail pencarian di GuardDuty konsol.

Rekomendasi remediasi:

Jika eksekusi perintah ini tidak terduga, kredensi identitas pengguna yang digunakan untuk menjalankan perintah mungkin telah dikompromikan. Cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh pengguna yang tidak sah ke klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Jika AWS kredensi Anda dikompromikan, lihat. Memulihkan kredensi yang berpotensi dikompromikan AWS

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

Beban kerja diluncurkan dengan wadah istimewa dengan cara yang anomali.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa beban kerja diluncurkan dengan wadah istimewa di klaster Amazon EKS Anda. Sebuah kontainer berhak akses memiliki akses tingkat root ke host. Pengguna yang tidak sah dapat meluncurkan kontainer berhak akses sebagai taktik eskalasi hak akses untuk terlebih dahulu mendapatkan akses ke host kemudian menyusupinya.

Pembuatan atau modifikasi wadah yang diamati diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua API pengguna dan aktivitas image container dalam kluster EKS Anda. Model ML ini juga mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh pengguna yang tidak sah. Model ML juga melacak beberapa faktor operasi API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, agen pengguna yang digunakan, gambar kontainer yang diamati di akun Anda, dan namespace yang dioperasikan pengguna. Anda dapat menemukan detail permintaan API yang tidak biasa, di panel detail pencarian di GuardDuty konsol.

Rekomendasi remediasi:

Jika peluncuran kontainer ini tidak terduga, kredensi identitas pengguna yang digunakan untuk meluncurkan penampung mungkin telah disusupi. Cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh pengguna yang tidak sah ke klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Jika AWS kredensi Anda dikompromikan, lihat. Memulihkan kredensi yang berpotensi dikompromikan AWS

Jika peluncuran kontainer ini diharapkan, Anda disarankan untuk menggunakan aturan penekanan dengan kriteria filter berdasarkan resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix bidang. Dalam kriteria filter, imagePrefix bidang harus memiliki nilai yang sama dengan imagePrefix bidang yang ditentukan dalam temuan. Untuk informasi selengkapnya, lihat Aturan penindasan di GuardDuty.

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

Beban kerja diterapkan dengan cara yang anomali, dengan jalur host sensitif dipasang di dalam beban kerja.

Tingkat keparahan default: Tinggi

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa beban kerja diluncurkan dengan kontainer yang disertai jalur host sensitif di bagian volumeMounts. Hal ini berpotensi membuat jalur host sensitif dapat diakses dan ditulis dari dalam kontainer. Teknik ini biasanya digunakan oleh pengguna yang tidak sah untuk mendapatkan akses ke sistem file host.

Pembuatan atau modifikasi wadah yang diamati diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua API pengguna dan aktivitas image container dalam kluster EKS Anda. Model ML ini juga mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh pengguna yang tidak sah. Model ML juga melacak beberapa faktor operasi API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, agen pengguna yang digunakan, gambar kontainer yang diamati di akun Anda, dan namespace yang dioperasikan pengguna. Anda dapat menemukan detail permintaan API yang tidak biasa, di panel detail pencarian di GuardDuty konsol.

Rekomendasi remediasi:

Jika peluncuran kontainer ini tidak terduga, kredensi identitas pengguna yang digunakan untuk meluncurkan penampung mungkin telah disusupi. Cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh pengguna yang tidak sah ke klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Jika AWS kredensi Anda dikompromikan, lihat. Memulihkan kredensi yang berpotensi dikompromikan AWS

Jika peluncuran kontainer ini diharapkan, Anda disarankan untuk menggunakan aturan penekanan dengan kriteria filter berdasarkan resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix bidang. Dalam kriteria filter, imagePrefix bidang harus memiliki nilai yang sama dengan imagePrefix bidang yang ditentukan dalam temuan. Untuk informasi selengkapnya, lihat Aturan penindasan di GuardDuty.

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

Beban kerja diluncurkan dengan cara yang anomali.

Tingkat keparahan default: Rendah*

catatan

Tingkat keparahan default adalah Rendah. Namun, jika beban kerja berisi nama gambar yang berpotensi mencurigakan, seperti alat pentest yang dikenal, atau wadah yang menjalankan perintah yang berpotensi mencurigakan saat peluncuran, seperti perintah shell terbalik, maka tingkat keparahan jenis temuan ini akan dianggap sebagai Medium.

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa beban kerja Kubernetes dibuat atau dimodifikasi secara anomali, seperti aktivitas API, image container baru, atau konfigurasi beban kerja berisiko, di dalam klaster Amazon EKS Anda. Pengguna yang tidak sah dapat meluncurkan kontainer sebagai taktik untuk melaksanakan kode arbitrer untuk terlebih dahulu mendapatkan akses ke host kemudian membahayakannya.

Pembuatan atau modifikasi wadah yang diamati diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua API pengguna dan aktivitas image container dalam kluster EKS Anda. Model ML ini juga mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh pengguna yang tidak sah. Model ML juga melacak beberapa faktor operasi API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, agen pengguna yang digunakan, gambar kontainer yang diamati di akun Anda, dan namespace yang dioperasikan pengguna. Anda dapat menemukan detail permintaan API yang tidak biasa, di panel detail pencarian di GuardDuty konsol.

Rekomendasi remediasi:

Jika peluncuran kontainer ini tidak terduga, kredensi identitas pengguna yang digunakan untuk meluncurkan penampung mungkin telah disusupi. Cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh pengguna yang tidak sah ke klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Jika AWS kredensi Anda dikompromikan, lihat. Memulihkan kredensi yang berpotensi dikompromikan AWS

Jika peluncuran kontainer ini diharapkan, Anda disarankan untuk menggunakan aturan penekanan dengan kriteria filter berdasarkan resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix bidang. Dalam kriteria filter, imagePrefix bidang harus memiliki nilai yang sama dengan imagePrefix bidang yang ditentukan dalam temuan. Untuk informasi selengkapnya, lihat Aturan penindasan di GuardDuty.

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

Peran yang sangat permisif atau ClusterRole diciptakan atau dimodifikasi dengan cara yang anomali.

Tingkat keparahan default: Rendah

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa operasi API anomali untuk membuat Role atau ClusterRole dengan izin berlebihan dipanggil oleh pengguna Kubernetes di cluster Amazon EKS Anda. Aktor dapat menggunakan pembuatan peran dengan izin yang kuat untuk menghindari penggunaan peran mirip admin bawaan dan menghindari deteksi. Izin yang berlebihan dapat menyebabkan eskalasi istimewa, eksekusi kode jarak jauh, dan berpotensi mengontrol namespace atau cluster. Jika perilaku ini tidak diharapkan, ini mungkin menunjukkan kesalahan konfigurasi atau kredenal Anda dikompromikan.

API yang diamati diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua aktivitas API pengguna dalam klaster Amazon EKS Anda dan mengidentifikasi kejadian anomali yang terkait dengan teknik yang digunakan oleh pengguna yang tidak sah. Model ML juga melacak beberapa faktor operasi API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, agen pengguna yang digunakan, gambar kontainer yang diamati di akun Anda, dan namespace yang dioperasikan pengguna. Anda dapat menemukan detail permintaan API yang tidak biasa, di panel detail pencarian di GuardDuty konsol.

Rekomendasi remediasi:

Periksa izin yang ditentukan dalam Role atau ClusterRole untuk memastikan bahwa semua izin diperlukan dan ikuti prinsip hak istimewa paling sedikit. Jika izin diberikan secara keliru atau jahat, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh pengguna yang tidak sah ke klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Jika AWS kredensi Anda dikompromikan, lihat. Memulihkan kredensi yang berpotensi dikompromikan AWS

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

Seorang pengguna memeriksa izin akses mereka dengan cara yang tidak wajar.

Tingkat keparahan default: Rendah

  • Fitur: Log audit EKS

Temuan ini memberi tahu Anda bahwa pengguna di klaster Kubernetes Anda berhasil memeriksa apakah izin kuat yang diketahui yang dapat menyebabkan eskalasi istimewa dan eksekusi kode jarak jauh, diizinkan atau tidak. Misalnya, perintah umum yang digunakan untuk memeriksa izin untuk pengguna adalah kubectl auth can-i. Jika perilaku ini tidak terduga, ini mungkin menunjukkan kesalahan konfigurasi atau keamanan kredensial Anda telah dilanggar.

API yang diamati diidentifikasi sebagai anomali oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua aktivitas API pengguna dalam klaster Amazon EKS Anda dan mengidentifikasi kejadian anomali yang terkait dengan teknik yang digunakan oleh pengguna yang tidak sah. Model ML juga melacak beberapa faktor operasi API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, izin diperiksa, dan namespace yang dioperasikan pengguna. Anda dapat menemukan detail permintaan API yang tidak biasa, di panel detail pencarian di GuardDuty konsol.

Rekomendasi remediasi:

Periksa izin yang diberikan kepada pengguna Kubernetes untuk memastikan bahwa semua izin diperlukan. Jika izin diberikan secara keliru atau jahat, cabut akses pengguna dan balikkan perubahan apa pun yang dibuat oleh pengguna yang tidak sah ke klaster Anda. Untuk informasi selengkapnya, lihat Remediasi temuan Perlindungan EKS.

Jika AWS kredensi Anda dikompromikan, lihat. Memulihkan kredensi yang berpotensi dikompromikan AWS