Threat Hunting with Kubernetes Audit Logs

Небольшая статья (из серии) на тему, на что можно смотреть при разборе логов Kubernetes API, чтобы выявлять подозрительные действия. Здесь же есть примеры правил, которые можно переиспользовать как-то в своих SIEM. Принцип простой - выявляем наиболее частые запросы, где пользователю было недостаточно прав доступа и собираем инфу о том, кто, куда и с каким verb. Также предлагается фильтровавать по конкретному verb (например list) и user.username (чтобы отметать системный трафик).

Да, это просто и далеко не всегда эффективно, но в качестве первых шагов вполне себе смахивает на меру защиты.

#ops #k8s #attack

Security Wine (бывший - DevSecOps Wine)

Threat Hunting with Kubernetes Audit Logs

Небольшая статья (из серии) на тему, на что можно смотреть при разборе логов Kubernetes API, чтобы выявлять подозрительные действия. Здесь же есть примеры правил, которые можно переиспользовать как-то в своих SIEM. Принцип простой - выявляем наиболее частые запросы, где пользователю было недостаточно прав доступа и собираем инфу о том, кто, куда и с каким verb. Также предлагается фильтровавать по конкретному verb (например list) и user.username (чтобы отметать системный трафик).

Да, это просто и далеко не всегда эффективно, но в качестве первых шагов вполне себе смахивает на меру защиты.

#ops #k8s #attack

hottg.com/sec_devops/518

3.6K viewsDenis Yakimov, Aug 9, 2021 at 06:42