本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# EKS 保護調查結果類型
下列調查結果是 Amazon EKS 資源特有的,並具有 的 **resource\$1type**`EKSCluster`。調查結果的嚴重性和詳細資訊依據調查結果類型而有所不同。
對於所有 EKS 稽核日誌類型調查結果,我們建議您檢查有問題的資源,以判斷活動是否預期或潛在惡意。如需修復 GuardDuty 調查結果所識別遭入侵的 EKS 稽核日誌資源的指引,請參閱 [修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
**注意**
如果預期有此活動 (因其產生這些調查結果),請考慮新增 [GuardDuty 中的隱藏規則](findings_suppression-rule.md) 以防止未來出現警報。
**Topics**
+ [CredentialAccess:Kubernetes/MaliciousIPCaller](#credentialaccess-kubernetes-maliciousipcaller)
+ [CredentialAccess:Kubernetes/MaliciousIPCaller.Custom](#credentialaccess-kubernetes-maliciousipcallercustom)
+ [CredentialAccess:Kubernetes/SuccessfulAnonymousAccess](#credentialaccess-kubernetes-successfulanonymousaccess)
+ [CredentialAccess:Kubernetes/TorIPCaller](#credentialaccess-kubernetes-toripcaller)
+ [DefenseEvasion:Kubernetes/MaliciousIPCaller](#defenseevasion-kubernetes-maliciousipcaller)
+ [DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom](#defenseevasion-kubernetes-maliciousipcallercustom)
+ [DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess](#defenseevasion-kubernetes-successfulanonymousaccess)
+ [DefenseEvasion:Kubernetes/TorIPCaller](#defenseevasion-kubernetes-toripcaller)
+ [Discovery:Kubernetes/MaliciousIPCaller](#discovery-kubernetes-maliciousipcaller)
+ [Discovery:Kubernetes/MaliciousIPCaller.Custom](#discovery-kubernetes-maliciousipcallercustom)
+ [Discovery:Kubernetes/SuccessfulAnonymousAccess](#discovery-kubernetes-successfulanonymousaccess)
+ [Discovery:Kubernetes/TorIPCaller](#discovery-kubernetes-toripcaller)
+ [Execution:Kubernetes/ExecInKubeSystemPod](#execution-kubernetes-execinkubesystempod)
+ [Impact:Kubernetes/MaliciousIPCaller](#impact-kubernetes-maliciousipcaller)
+ [Impact:Kubernetes/MaliciousIPCaller.Custom](#impact-kubernetes-maliciousipcallercustom)
+ [Impact:Kubernetes/SuccessfulAnonymousAccess](#impact-kubernetes-successfulanonymousaccess)
+ [Impact:Kubernetes/TorIPCaller](#impact-kubernetes-toripcaller)
+ [Persistence:Kubernetes/ContainerWithSensitiveMount](#persistence-kubernetes-containerwithsensitivemount)
+ [Persistence:Kubernetes/MaliciousIPCaller](#persistence-kubernetes-maliciousipcaller)
+ [Persistence:Kubernetes/MaliciousIPCaller.Custom](#persistence-kubernetes-maliciousipcallercustom)
+ [Persistence:Kubernetes/SuccessfulAnonymousAccess](#persistence-kubernetes-successfulanonymousaccess)
+ [Persistence:Kubernetes/TorIPCaller](#persistence-kubernetes-toripcaller)
+ [Policy:Kubernetes/AdminAccessToDefaultServiceAccount](#policy-kubernetes-adminaccesstodefaultserviceaccount)
+ [Policy:Kubernetes/AnonymousAccessGranted](#policy-kubernetes-anonymousaccessgranted)
+ [Policy:Kubernetes/ExposedDashboard](#policy-kubernetes-exposeddashboard)
+ [Policy:Kubernetes/KubeflowDashboardExposed](#policy-kubernetes-kubeflowdashboardexposed)
+ [PrivilegeEscalation:Kubernetes/PrivilegedContainer](#privilegeescalation-kubernetes-privilegedcontainer)
+ [CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed](#credaccess-kubernetes-anomalousbehavior-secretsaccessed)
+ [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated](#privesc-kubernetes-anomalousbehavior-rolebindingcreated)
+ [Execution:Kubernetes/AnomalousBehavior.ExecInPod](#execution-kubernetes-anomalousbehvaior-execinprod)
+ [PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1PrivilegedContainer](#privesc-kubernetes-anomalousbehavior-workloaddeployed-privcontainer)
+ [Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1ContainerWithSensitiveMount](#privesc-kubernetes-anomalousbehavior-workloaddeployed-containerwithsensitivemount)
+ [Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed](#exec-kubernetes-anomalousbehavior-workloaddeployed)
+ [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated](#privesc-kubernetes-anomalousbehavior-rolecreated)
+ [Discovery:Kubernetes/AnomalousBehavior.PermissionChecked](#discovery-kubernetes-anomalousbehavrior-permissionchecked)
**注意**
在 Kubernetes 版本 1.14 之前,`system:unauthenticated` 群組預設與 `system:discovery` 和 `system:basic-user` **ClusterRoles**相關聯。此關聯可能會允許匿名使用者的非預期存取。叢集更新不會撤銷這些許可。即使您將叢集更新至 1.14 或更高版本,仍可能會啟用這些權限。建議您取消這些許可與 `system:unauthenticated` 群組的關聯。如需撤銷這些許可的指引,請參閱《[Amazon EKS 使用者指南》中的 Amazon EKS 的安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)。 **
## CredentialAccess:Kubernetes/MaliciousIPCaller
### 從已知的惡意 IP 地址調用了 Kubernetes 叢集中常用來存取憑證或秘密的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,從與已知惡意活動關聯的 IP 地址調用了 API 操作。觀察到的 API 通常與對手嘗試為 Kubernetes 叢集收集密碼、使用者名稱和存取金鑰的憑證存取策略相關聯。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## CredentialAccess:Kubernetes/MaliciousIPCaller.Custom
### 從自訂威脅清單上的 IP 地址調用了常用來存取 Kubernetes 叢集中之憑證或秘密的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,從您上傳的威脅清單上所包含的 IP 地址調用了 API 操作。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的**其他資訊**區段中。觀察到的 API 通常與對手嘗試為 Kubernetes 叢集收集密碼、使用者名稱和存取金鑰的憑證存取策略相關聯。
**修復建議:**
如果 `KubernetesUserDetails`區段下的調查結果中報告的使用者是 `system:anonymous`,請根據 [Amazon EKS 使用者指南中 Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)的指示,調查允許匿名使用者叫用 API **的原因,並視需要撤銷許可。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## CredentialAccess:Kubernetes/SuccessfulAnonymousAccess
### 未經驗證的使用者調用 Kubernetes 叢集中常用來存取憑證或秘密的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,`system:anonymous` 使用者已成功調用 API 操作。由 `system:anonymous` 進行的 API 呼叫未經驗證。觀察到的 API 通常與對手嘗試為 Kubernetes 叢集收集密碼、使用者名稱和存取金鑰的憑證存取策略相關聯。此活動表示在調查結果中報告的 API 動作允許匿名或未經驗證的存取,並且可能在其他動作上允許匿名或未經驗證的存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。
**修復建議:**
您應該檢查已向叢集上 `system:anonymous` 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱《*Amazon EKS 使用者指南*》中的 [Amazon EKS 的安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)。
如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## CredentialAccess:Kubernetes/TorIPCaller
### 從 Tor 退出節點 IP 地址調用一個常用來存取 Kubernetes 叢集中之憑證或秘密的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,已從 Tor 退出節點 IP 地址調用 API。觀察到的 API 通常與對手嘗試為 Kubernetes 叢集收集密碼、使用者名稱和存取金鑰的憑證存取策略相關聯。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示您的 Kubernetes 叢集資源有未經授權的存取,目的是隱藏攻擊者的真實身分。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## DefenseEvasion:Kubernetes/MaliciousIPCaller
### 從已知的惡意 IP 地址調用的常用來逃避防禦措施的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,從與已知惡意活動關聯的 IP 地址調用了 API 操作。觀察到的 API 通常與防禦逃稅策略有關,其中對手嘗試隱藏其行動以避免檢測。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom
### 從自訂威脅清單上的 IP 地址調用常用來逃避防禦措施的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,從您上傳的威脅清單上所包含的 IP 地址調用了 API 操作。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的**其他資訊**區段中。觀察到的 API 通常與防禦逃稅策略有關,其中對手嘗試隱藏其行動以避免檢測。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess
### 由經驗證使用者調用常用來逃避防禦措施的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,`system:anonymous` 使用者已成功調用 API 操作。由 `system:anonymous` 進行的 API 呼叫未經驗證。觀察到的 API 通常與防禦逃稅策略有關,其中對手嘗試隱藏其行動以避免檢測。此活動表示在調查結果中報告的 API 動作允許匿名或未經驗證的存取,並且可能在其他動作上允許匿名或未經驗證的存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。
**修復建議:**
您應該檢查已向叢集上 `system:anonymous` 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱《*Amazon EKS 使用者指南*》中的 [Amazon EKS 的安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)。
如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## DefenseEvasion:Kubernetes/TorIPCaller
### 從 Tor 退出節點 IP 地址調用的常用來逃避防禦措施的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,已從 Tor 退出節點 IP 地址調用 API。觀察到的 API 通常與防禦逃稅策略有關,其中對手嘗試隱藏其行動以避免檢測。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後一個 Tor 節點稱為結束節點。這可能表示您的 Kubernetes 叢集有未經授權的存取,目的是隱藏對手的真實身分。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Discovery:Kubernetes/MaliciousIPCaller
### 從 IP 地址調用常用來探索在 Kubernetes 叢集中之資源的 API。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,從與已知惡意活動關聯的 IP 地址調用了 API 操作。觀察到的 API 常與攻擊的探索階段搭配使用,其中攻擊者正在收集資訊以確定您的 Kubernetes 叢集是否容易受到更廣泛的攻擊。
**對於未驗證的存取**
MaliciousIPCaller 問題清單不會針對未驗證的存取產生。
SuccessfulAnonymousAccess 問題清單會針對未經驗證或匿名存取產生。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Discovery:Kubernetes/MaliciousIPCaller.Custom
### 從自訂威脅清單上的 IP 地址調用常用來探索在 Kubernetes 叢集中之資源的 API。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,已從您上傳的威脅清單上所包含的 IP 地址調用 API。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的**其他資訊**區段中。觀察到的 API 常與攻擊的探索階段搭配使用,其中攻擊者正在收集資訊以確定您的 Kubernetes 叢集是否容易受到更廣泛的攻擊。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Discovery:Kubernetes/SuccessfulAnonymousAccess
### 未經驗證的使用者調用 Kubernetes 叢集中常用來探索資源的 API。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,`system:anonymous` 使用者已成功調用 API 操作。由 `system:anonymous` 進行的 API 呼叫未經驗證。當對手在您的 Kubernetes 叢集上收集資訊時,觀察到的 API 通常與攻擊的探索階段相關聯。此活動表示在調查結果中報告的 API 動作允許匿名或未經驗證的存取,並且可能在其他動作上允許匿名或未經驗證的存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。
此調查結果類型不包括運作狀態檢查 API 端點`/livez`,例如 `/healthz`、`/readyz`、 和 `/version`。
**修復建議:**
您應該檢查已向叢集上 `system:anonymous` 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱《*Amazon EKS 使用者指南*》中的 [Amazon EKS 的安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)。
如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Discovery:Kubernetes/TorIPCaller
### 從 Tor 退出節點 IP 地址調用常用來探索在 Kubernetes 叢集中之資源的 API。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,已從 Tor 退出節點 IP 地址調用 API。觀察到的 API 常與攻擊的探索階段搭配使用,其中攻擊者正在收集資訊以確定您的 Kubernetes 叢集是否容易受到更廣泛的攻擊。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後一個 Tor 節點稱為結束節點。這可能表示您的 Kubernetes 叢集有未經授權的存取,目的是隱藏對手的真實身分。
**修復建議:**
如果 `KubernetesUserDetails`區段下的調查結果中報告的使用者是 `system:anonymous`,請根據 [Amazon EKS 使用者指南中的 Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的指示,調查匿名使用者為何被允許叫用 APIand在必要時撤銷許可。 **如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Execution:Kubernetes/ExecInKubeSystemPod
### 命令已在 `kube-system` 命名空間中的 Pod 內執行
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您使用 **Kubernetes exec API** 在 `kube-system` 命名空間內的 Pod 中執行的命令。`kube-system` 命名空間為預設的命名空間,主要用於系統層級元件,例如 `kube-dns` 和 `kube-proxy`。在 `kube-system` 命名空間下的 Pod 或容器內執行命令的情控非常罕見,並且可能表示可疑活動。
**修復建議:**
如果未預期執行此命令,用於執行命令的使用者身分憑證可能已遭入侵。請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Impact:Kubernetes/MaliciousIPCaller
### 從已知的惡意 IP 地址調用了 Kubernetes 叢集中常用來竄改資源的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,從與已知惡意活動關聯的 IP 地址調用了 API 操作。觀察到的 API 通常與對手嘗試操縱、中斷或銷毀 AWS 環境中資料的影響策略相關聯。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Impact:Kubernetes/MaliciousIPCaller.Custom
### 從自訂威脅清單上的 IP 地址調用常用來竄改在 Kubernetes 叢集中之資源的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,從您上傳的威脅清單上所包含的 IP 地址調用了 API 操作。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的**其他資訊**區段中。觀察到的 API 通常與對手嘗試操縱、中斷或銷毀 AWS 環境中資料的影響策略相關聯。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Impact:Kubernetes/SuccessfulAnonymousAccess
### 未經驗證的使用者調用 Kubernetes 叢集中常用來竄改資源的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,`system:anonymous` 使用者已成功調用 API 操作。由 `system:anonymous` 進行的 API 呼叫未經驗證。當對手竄改叢集中的資源時,觀察到的 API 通常與攻擊的影響階段相關聯。此活動表示在調查結果中報告的 API 動作允許匿名或未經驗證的存取,並且可能在其他動作上允許匿名或未經驗證的存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。
**修復建議:**
您應該檢查已向叢集上 `system:anonymous` 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱《*Amazon EKS 使用者指南*》中的 [Amazon EKS 的安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)。
如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Impact:Kubernetes/TorIPCaller
### 從 Tor 退出節點 IP 地址調用常用來竄改在 Kubernetes 叢集中之資源的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,已從 Tor 退出節點 IP 地址調用 API。觀察到的 API 通常與影響策略相關聯,其中對手嘗試操縱、中斷或銷毀 AWS 環境中的資料。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後一個 Tor 節點稱為結束節點。這可能表示您的 Kubernetes 叢集有未經授權的存取,目的是隱藏對手的真實身分。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Persistence:Kubernetes/ContainerWithSensitiveMount
### 啟動了一個容器,其中掛載了敏感的外部主機路徑。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您已啟動容器,其組態包含在 `volumeMounts` 區段中具有寫入存取權限的敏感主機路徑。這使得敏感的主機路徑可從容器內部存取和寫入。這種技術通常被對手用來存取主機的檔案系統。
**修復建議:**
如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭入侵。請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
如果此容器啟動為預期的結果,建議您根據 `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix` 欄位使用篩選條件準則組成的抑制規則。在篩選條件準則中,`imagePrefix` 欄位應與調查結果中指定的 `imagePrefix` 相同。若要進一步了解有關建立隱藏規則的資訊,請參閱[隱藏規則](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule)。
## Persistence:Kubernetes/MaliciousIPCaller
### 從已知的惡意 IP 地址調用常用來取得 Kubernetes 叢集持續存取權限的 API。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,從與已知惡意活動關聯的 IP 地址調用了 API 操作。觀察到的 API 通常與持續性策略相關聯,其中對手已取得您的 Kubernetes 叢集的存取權限,並嘗試維護該存取權限。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Persistence:Kubernetes/MaliciousIPCaller.Custom
### 從自訂威脅清單上的 IP 地址調用常用來取得 Kubernetes 叢集持續存取權限的 API。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,從您上傳的威脅清單上所包含的 IP 地址調用了 API 操作。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的**其他資訊**區段中。觀察到的 API 通常與持續性策略相關聯,其中對手已取得您的 Kubernetes 叢集的存取權限,並嘗試維護該存取權限。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Persistence:Kubernetes/SuccessfulAnonymousAccess
### 未經驗證的使用者調用常用來取得 Kubernetes 叢集之高層級許可的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,`system:anonymous` 使用者已成功調用 API 操作。由 `system:anonymous` 進行的 API 呼叫未經驗證。觀察到的 API 通常與持續性策略相關聯,其中對手已取得您的叢集之存取權限,並嘗試維護該存取權限。此活動表示在調查結果中報告的 API 動作允許匿名或未經驗證的存取,並且可能在其他動作上允許匿名或未經驗證的存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。
**修復建議:**
您應該檢查已向叢集上 `system:anonymous` 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱《*Amazon EKS 使用者指南*》中的 [Amazon EKS 的安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)。
如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Persistence:Kubernetes/TorIPCaller
### 從 Tor 退出節點 IP 地址調用常用來取得 Kubernetes 叢集持續存取權限的 API。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,已從 Tor 退出節點 IP 地址調用 API。觀察到的 API 通常與持續性策略相關聯,其中對手已取得您的 Kubernetes 叢集的存取權限,並嘗試維護該存取權限。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示未經授權存取您的 AWS 資源,目的是隱藏攻擊者的真實身分。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Policy:Kubernetes/AdminAccessToDefaultServiceAccount
### 預設服務帳戶已被授與 Kubernetes 叢集上的管理員權限。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,Kubernetes 叢集中命名空間的預設服務帳戶已被授與管理員權限。Kubernetes 會為叢集中的所有命名空間建立預設服務帳戶。它會自動將預設服務帳戶以身分的形式指派給尚未明確關聯至另一個服務帳戶的 Pod。如果預設服務帳戶具有管理員權限,可能會導致意外地以管理員權限啟動 Pod。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。
**修復建議:**
您不應使用預設服務帳戶對 Pod 授與許可。相反地,您應該為每個工作負載建立專用服務帳戶,並根據需要對該帳戶授與許可。若要修正此問題,您應該為所有 Pod 和工作負載建立專用服務帳戶,並更新 Pod 和工作負載,以便從預設服務帳戶遷移至其專用帳戶。然後,您應該從預設服務帳戶中移除管理員權限。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Policy:Kubernetes/AnonymousAccessGranted
### `system:anonymous` 使用者已被授與 Kubernetes 叢集上的 API 許可。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,Kubernetes 叢集上的使用者已成功建立 `ClusterRoleBinding` 或 `RoleBinding`,以將使用者 `system:anonymous` 繫結至角色。這會啟用角色所允許之 API 操作的未經驗證存取權限。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵
**修復建議:**
您應該檢查已授與叢集上 `system:anonymous` 使用者或 `system:unauthenticated` 群組的許可,並撤銷不必要的匿名存取權限。如需詳細資訊,請參閱《*Amazon EKS 使用者指南*》中的 [Amazon EKS 的安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)。如果惡意地授與許可,您應該撤銷已授與許可之使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Policy:Kubernetes/ExposedDashboard
### Kubernetes 叢集的儀表板已公開至網際網路
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,叢集的 Kubernetes 儀表板已由負載平衡器服務公開至網際網路。公開的儀表板使叢集的管理界面可從網際網路存取,並允許對手利用任何可能存在的驗證和存取控制差距。
**修復建議:**
您應該確保在 Kubernetes 儀表板上強制執行強式驗證和授權。您也應該實作網路存取控制,以限制從特定 IP 地址存取儀表板。
如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Policy:Kubernetes/KubeflowDashboardExposed
### **Kubernetes 叢集的 Kubeflow** 儀表板已向網際網路公開
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,叢集的 **Kubeflow** 儀表板已由負載平衡器服務公開至網際網路。公開的 **Kubeflow** 儀表板使 **Kubeflow** 環境的管理界面可從網際網路存取,並允許對手利用任何可能存在的驗證和存取控制差距。
**修復建議:**
您應該確保在 **Kubeflow** 儀表板上強制執行強式驗證和授權。您也應該實作網路存取控制,以限制從特定 IP 地址存取儀表板。
如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## PrivilegeEscalation:Kubernetes/PrivilegedContainer
### 在您的 Kubernetes 叢集上啟動具有根層級存取權限的具有權限容器。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,在 Kubernetes 叢集上使用映像啟動具有權限容器,以前從未被用來啟動叢集中具有權限的容器。具有權限容器有主機的根層級存取權限。對手可以啟動具有特權容器作為特權提升策略,以取得主機的存取權限,然後入侵主機。
**修復建議:**
如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭入侵。請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed
### 常用來存取秘密的 Kubernetes API 調用方式異常。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,叢集中的 Kubernetes 使用者調用擷取敏感叢集秘密的異常 API 操作。觀察到的 API 通常與可能導致具有特權提升並在您的叢集中進一步存取的憑證存取策略相關聯。如果未預期出現這種行為,則可能表示組態錯誤或您的 AWS 憑證遭到入侵。
GuardDuty 異常偵測機器學習 (ML) 模型會將觀察到的 API 識別為異常。ML 模型會評估 EKS 叢集中的所有使用者 API 活動,並識別與未經授權使用者使用的技術相關聯的異常事件。ML 模型追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式,和使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到不常見 API 請求的詳細資訊。
**修復建議:**
檢查授與叢集中 Kubernetes 使用者的許可並確保需要這所有許可。如果錯誤或惡意地授與許可,則撤銷使用者的存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
如果您的 AWS 登入資料遭到入侵,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated
### 已在 Kubernetes 叢集中建立或修改過度寬鬆角色或敏感命名空間的 RoleBinding 或 ClusterRoleBinding。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。但是,如果 RoleBinding 或 ClusterRoleBinding 涉及 ClusterRoles,則 `admin` 或 `cluster-admin` 的嚴重性為「高」。
+ **功能:**EKS 稽核日誌
此調查結果會通知您,Kubernetes 叢集中的使用者已建立 `RoleBinding` 或 `ClusterRoleBinding`,將使用者繫結至具有管理員許可或敏感命名空間的角色。如果未預期出現這種行為,則可能表示組態錯誤或您的 AWS 憑證遭到入侵。
GuardDuty 異常偵測機器學習 (ML) 模型會將觀察到的 API 識別為異常。ML 模型會評估 EKS 叢集中的所有使用者 API 活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式,和使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到不常見 API 請求的詳細資訊。
**修復建議:**
檢查授與 Kubernetes 使用者的許可。這些許可以 `RoleBinding` 和 `ClusterRoleBinding` 中涉及的角色和主體予以定義。如果錯誤或惡意地授與許可,則撤銷使用者的存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
如果您的 AWS 登入資料遭到入侵,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Execution:Kubernetes/AnomalousBehavior.ExecInPod
### Pod 內命令的執行方式異常。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您使用 Kubernetes exec API 在 Pod 中執行命令。Kubernetes exec API 允許在 Pod 中執行任意命令。如果預期使用者、命名空間或 Pod 不會發生此行為,則可能表示組態錯誤或您的 AWS 登入資料遭到入侵。
GuardDuty 異常偵測機器學習 (ML) 模型會將觀察到的 API 識別為異常。ML 模型會評估 EKS 叢集中的所有使用者 API 活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式,和使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到不常見 API 請求的詳細資訊。
**修復建議:**
如果未預期執行此命令,用於執行命令的使用者身分憑證可能已遭到入侵。撤銷使用者存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
如果您的 AWS 登入資料遭到入侵,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1PrivilegedContainer
### 使用具有特權容器,啟動工作負載的方式異常。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,在您的 Amazon EKS 叢集中使用具有特權容器啟動工作負載。具有權限容器有主機的根層級存取權限。未經授權使用者可以啟動具有特權容器作為特權提升策略,先取得主機的存取權限,然後入侵主機。
GuardDuty 異常偵測機器學習 (ML) 模型將觀察到的容器建立或修改識別為異常。ML 模型會評估 EKS 叢集中的所有使用者 API 和容器映像活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式、在您的帳戶中觀察到的容器映像,和使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到不常見 API 請求的詳細資訊。
**修復建議:**
如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭到入侵。撤銷使用者存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
如果您的 AWS 登入資料遭到入侵,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
如果此容器啟動為預期的結果,建議您根據 `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix` 欄位使用具有篩選條件準則的抑制規則。在篩選條件準則中,`imagePrefix` 欄位必須具有與調查結果中指定的 `imagePrefix` 欄位相同的值。如需詳細資訊,請參閱[GuardDuty 中的隱藏規則](findings_suppression-rule.md)。
## Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1ContainerWithSensitiveMount
### 部署工作負載的方式異常,並在工作負載內部裝載了敏感的主機路徑。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,已透過 `volumeMounts` 區段中包含敏感主機路徑的容器啟動工作負載。這可能使得敏感的主機路徑可從容器內部存取和寫入。這種技術通常被未經授權使用者用來存取主機的檔案系統。
GuardDuty 異常偵測機器學習 (ML) 模型將觀察到的容器建立或修改識別為異常。ML 模型會評估 EKS 叢集中的所有使用者 API 和容器映像活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式、在您的帳戶中觀察到的容器映像,和使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到不常見 API 請求的詳細資訊。
**修復建議:**
如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭到入侵。撤銷使用者存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
如果您的 AWS 登入資料遭到入侵,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
如果此容器啟動為預期的結果,建議您根據 `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix` 欄位使用具有篩選條件準則的抑制規則。在篩選條件準則中,`imagePrefix` 欄位必須具有與調查結果中指定的 `imagePrefix` 欄位相同的值。如需詳細資訊,請參閱[GuardDuty 中的隱藏規則](findings_suppression-rule.md)。
## Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed
### 啟動工作負載的方式異常。
**預設嚴重性:低\$1**
**注意**
預設嚴重性為低。不過,如果工作負載包含潛在可疑的映像名稱 (例如已知的滲透測試工具),或是在啟動時執行潛在可疑命令的容器 (例如反向 Shell 命令),則此調查結果類型的嚴重性將被視為「中」。
+ **功能:**EKS 稽核日誌
此調查結果會通知您建立或修改 Kubernetes 工作負載的方式異常,例如 Amazon EKS 叢集中的 API 活動、新容器映像或有風險的工作負載組態。未經授權使用者可以啟動容器作為執行任意程式碼的策略,先取得主機的存取權限,然後入侵主機。
GuardDuty 異常偵測機器學習 (ML) 模型將觀察到的容器建立或修改識別為異常。ML 模型會評估 EKS 叢集中的所有使用者 API 和容器映像活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式、在您的帳戶中觀察到的容器映像,和使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到不常見 API 請求的詳細資訊。
**修復建議:**
如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭到入侵。撤銷使用者存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
如果您的 AWS 登入資料遭到入侵,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
如果此容器啟動為預期的結果,建議您根據 `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix` 欄位使用具有篩選條件準則的抑制規則。在篩選條件準則中,`imagePrefix` 欄位必須具有與調查結果中指定的 `imagePrefix` 欄位相同的值。如需詳細資訊,請參閱[GuardDuty 中的隱藏規則](findings_suppression-rule.md)。
## PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated
### 建立或修改高度寬鬆的角色或 ClusterRole 的方式異常。
**預設嚴重性:低**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,Amazon EKS 叢集中的 Kubernetes 使用者呼叫建立具有過多許可之 `Role` 或 `ClusterRole` 的異常 API 操作。行動者可以使用具有強大許可的角色建立,以避免使用內建管理員式角色並避免偵測。過多的許可,可能會導致具有特權提升、遠端程式碼執行,以及可能控制命名空間或叢集。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。
GuardDuty 異常偵測機器學習 (ML) 模型會將觀察到的 API 識別為異常。ML 模型會評估 Amazon EKS 叢集中的所有使用者 API 活動,並識別與未經授權使用者使用的技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式、在您的帳戶中觀察到的容器映像,和使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到不常見 API 請求的詳細資訊。
**修復建議:**
檢查 `Role` 或 `ClusterRole` 中定義的權限,以確保需要所有權限,並遵循最低權限政策。如果錯誤或惡意地授與許可,則撤銷使用者的存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
如果您的 AWS 登入資料遭到入侵,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Discovery:Kubernetes/AnomalousBehavior.PermissionChecked
### 使用者檢查其存取許可的方式異常。
**預設嚴重性:低**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,Kubernetes 叢集中的使用者已成功檢查是否允許可導致具有權限提升和遠端程式碼執行的已知強大許可。例如,用來檢查使用者許可的常用命令為 `kubectl auth can-i`。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。
GuardDuty 異常偵測機器學習 (ML) 模型會將觀察到的 API 識別為異常。ML 模型會評估 Amazon EKS 叢集中的所有使用者 API 活動,並識別與未經授權使用者使用的技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、檢查的許可,和使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到不常見 API 請求的詳細資訊。
**修復建議:**
檢查授與 Kubernetes 使用者的許可,以確保需要所有許可。如果錯誤或惡意地授與許可,則撤銷使用者的存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
如果您的 AWS 登入資料遭到入侵,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。