Стадия жизненного цикла модуля: Experimental
У модуля есть требования для установки
Встроенные события безопасности
Аутентификация
| Код | Имя ресурса | Важность | Источник | Описание | Поля |
|---|---|---|---|---|---|
| D8_DECKHOUSE_GROUPS_ACCESSED | d8-deckhouse-groups-accessed |
Medium | kube-audit | Обнаружен успешный доступ (get/list/watch) к ресурсу groups в API-группе deckhouse.io. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| D8_DECKHOUSE_GROUPS_MODIFIED | d8-deckhouse-groups-modified |
High | kube-audit | Обнаружено создание, изменение или удаление ресурса groups в API-группе deckhouse.io. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| D8_DECKHOUSE_USERS_ACCESSED | d8-deckhouse-users-accessed |
Medium | kube-audit | Обнаружен успешный доступ (get/list/watch) к ресурсу users в API-группе deckhouse.io. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| D8_DECKHOUSE_USERS_MODIFIED | d8-deckhouse-users-modified |
High | kube-audit | Обнаружено создание, изменение или удаление ресурса users в API-группе deckhouse.io. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| D8_USER_LOCKED | d8-user-locked |
Medium | kube-audit | Обнаружена успешная операция блокировки пользователя. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)metadata.extra.auditID (необяз.)metadata.extra.initiatorType (необяз.)metadata.extra.operationApiVersion (необяз.)metadata.extra.operationGenerateName (необяз.)metadata.extra.operationKind (необяз.)metadata.extra.operationResourceVersion (необяз.)metadata.extra.responseCode (необяз.)metadata.extra.lockDuration (необяз.) |
| D8_USER_LOGGED_OUT | d8-user-logged-out |
Low | dex-authenticator | Обнаружен выход пользователя из системы. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)metadata.extra.auth.status (необяз.)metadata.extra.auth.host (необяз.)metadata.extra.auth.method (необяз.)metadata.extra.auth.requestID (необяз.)metadata.extra.auth.clientIP (необяз.)metadata.extra.auth.userAgent (необяз.) |
| D8_USER_PASSWORD_RESET | d8-user-password-reset |
High | kube-audit | Обнаружена успешная операция сброса пароля пользователя через ресурс UserOperation (type=ResetPassword). | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.username (необяз.)object.email (необяз.)object.connectorID (необяз.)metadata.extra.auditID (необяз.)metadata.extra.initiatorType (необяз.) |
| D8_USER_UNLOCKED | d8-user-unlocked |
Medium | kube-audit | Обнаружена успешная операция разблокировки пользователя. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)metadata.extra.initiatorType (необяз.)metadata.extra.responseCode (необяз.) |
| DEX_OFFLINESESSIONS_ACCESSED | dex-offlinesessions-accessed |
High | kube-audit | Обнаружен успешный доступ (get/list/watch) к ресурсу offlinesessionses в API-группе dex.coreos.com. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| DEX_OFFLINESESSIONS_MODIFIED | dex-offlinesessions-modified |
High | kube-audit | Обнаружено создание, изменение или удаление ресурса offlinesessionses в API-группе dex.coreos.com. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| DEX_PASSWORDS_ACCESSED | dex-passwords-accessed |
High | kube-audit | Обнаружен успешный доступ (get/list/watch) к ресурсу passwords в API-группе dex.coreos.com. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| DEX_PASSWORDS_MODIFIED | dex-passwords-modified |
High | kube-audit | Обнаружено создание, изменение или удаление ресурса passwords в API-группе dex.coreos.com. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
Конфигурация
| Код | Имя ресурса | Важность | Источник | Описание | Поля |
|---|---|---|---|---|---|
| K8S_AUDIT_POLICY_SECRET_MODIFIED | k8s-audit-policy-secret-modified |
High | kube-audit | Обнаружено изменение секрета kube-system/audit-policy (create, update, patch, delete). Событие критично, так как может влиять на политику аудита Kubernetes. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_CERTIFICATE_ACCESSED | k8s-certificate-accessed |
Medium | kube-audit | Обнаружен успешный доступ к объектам certificates.cert-manager.io (get/list/watch). | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_CERTIFICATE_MODIFIED | k8s-certificate-modified |
Medium | kube-audit | Обнаружено создание, изменение или удаление объектов certificates.cert-manager.io. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_CONFIGMAP_ACCESSED | k8s-configmap-accessed |
Medium | kube-audit | Обнаружен успешный доступ к объектам ConfigMap (get/list/watch). | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_CONFIGMAP_MODIFIED | k8s-configmap-modified |
Medium | kube-audit | Обнаружено создание, изменение или удаление объектов ConfigMap. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_MODULECONFIG_MODIFIED | k8s-moduleconfig-modified |
Medium | kube-audit | Обнаружено создание, изменение или удаление объекта ModuleConfig. Событие важно для контроля изменений конфигурации платформы. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.) |
| K8S_PVC_CREATED | k8s-pvc-created |
Medium | kube-audit | Обнаружено создание объекта PersistentVolumeClaim. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_PVC_DELETED | k8s-pvc-deleted |
Medium | kube-audit | Обнаружено удаление объекта PersistentVolumeClaim. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_PVC_MODIFIED | k8s-pvc-modified |
Medium | kube-audit | Обнаружено изменение объекта PersistentVolumeClaim (update/patch). | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_PV_MODIFIED | k8s-pv-modified |
Medium | kube-audit | Обнаружено создание, изменение или удаление объектов PersistentVolume. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.) |
| K8S_SECRET_ACCESSED | k8s-secret-accessed |
High | kube-audit | Обнаружен успешный доступ к объектам Secret (get/list/watch). Событие важно для контроля чтения чувствительных данных. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_SECRET_MODIFIED | k8s-secret-modified |
High | kube-audit | Обнаружено создание, изменение или удаление секретов. Событие помогает отслеживать изменения чувствительных данных. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_SECURITY_LOG_PVC_CHANGED | k8s-security-log-cleanup |
High | kube-audit | Обнаружено изменение или удаление PVC d8-monitoring/storage-loki-0, что может указывать на очистку журнала безопасности. |
event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
RBAC
| Код | Имя ресурса | Важность | Источник | Описание | Поля |
|---|---|---|---|---|---|
| D8_AUTHORIZATIONRULES_ACCESSED | d8-authorizationrules-accessed |
Medium | kube-audit | Обнаружен успешный доступ (get/list/watch) к ресурсам authorizationrules и clusterauthorizationrules в API-группе deckhouse.io. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| D8_AUTHORIZATIONRULES_MODIFIED | d8-authorizationrules-modified |
High | kube-audit | Обнаружено создание, изменение или удаление ресурсов authorizationrules и clusterauthorizationrules в API-группе deckhouse.io. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_CLUSTERROLEBINDING_CREATED | k8s-clusterrolebinding-created |
Low | kube-audit | Обнаружено создание или изменение ClusterRoleBinding в Kubernetes. Событие отражает изменения назначений кластерных RBAC-ролей. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.) |
| K8S_CLUSTERROLEBINDING_DELETED | k8s-clusterrolebinding-deleted |
Low | kube-audit | Обнаружено удаление ClusterRoleBinding в Kubernetes. Событие помогает отслеживать отзыв ранее выданных кластерных прав. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.) |
| K8S_CLUSTER_ADMIN_BOUND | k8s-cluster-admin-bound |
High | kube-audit | Обнаружено создание или изменение ClusterRoleBinding, привязывающего субъект к роли cluster-admin. Это критическое действие, дающее полный административный доступ к кластеру. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.) |
| K8S_RBAC_RESOURCES_ACCESSED | k8s-rbac-resources-accessed |
Medium | kube-audit | Обнаружен успешный доступ (get/list/watch) к RBAC-ресурсам roles, clusterroles, rolebindings, clusterrolebindings. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_RBAC_RESOURCES_MODIFIED | k8s-rbac-resources-modified |
High | kube-audit | Обнаружено создание, изменение или удаление RBAC-ресурсов roles, clusterroles, rolebindings, clusterrolebindings. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_ROLE_CREATED | k8s-role-created |
Low | kube-audit | Обнаружено создание или изменение Role/ClusterRole в Kubernetes. Помогает отслеживать изменения модели доступа RBAC. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.) |
| K8S_ROLE_DELETED | k8s-role-deleted |
Low | kube-audit | Обнаружено удаление Role/ClusterRole в Kubernetes. Важно для контроля изменений и возможных нарушений RBAC-политик. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.) |
| K8S_ROLE_POD_EXEC_CREATED | k8s-role-pod-exec-created |
High | kube-audit | Обнаружено создание Role/ClusterRole с правами на pods/exec. Предоставляет возможность выполнения команд внутри контейнеров. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.) |
| K8S_ROLE_WILDCARD_CREATED | k8s-role-wildcard-created |
High | kube-audit | Обнаружено создание Role/ClusterRole с wildcard-разрешениями. Такие права обычно дают чрезмерно широкий доступ к ресурсам Kubernetes. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.) |
| K8S_ROLE_WRITE_CREATED | k8s-role-write-created |
Medium | kube-audit | Обнаружено создание Role/ClusterRole с правами на запись. Может расширять возможности изменения ресурсов в кластере. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.) |
| K8S_SA_CREATED_SYSTEM_NAMESPACE | k8s-sa-created-system-namespace |
Medium | kube-audit | Обнаружено создание ServiceAccount в системном неймспейсе. Может указывать на изменение доверенной инфраструктурной зоны кластера. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_SA_TOKEN_CREATED | k8s-sa-token-created |
Low | kube-audit | Обнаружено создание токена для ServiceAccount в Kubernetes. Это событие фиксирует выдачу временных учётных данных для идентичности. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_SA_TOKEN_CREATED_SYSTEM_NAMESPACE | k8s-sa-token-created-system-namespace |
Medium | kube-audit | Обнаружено создание токена для ServiceAccount в системном неймспейсе. Это может указывать на получение доступа к доверенной инфраструктурной зоне кластера. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_SERVICEACCOUNT_CREATED | k8s-serviceaccount-created |
Low | kube-audit | Обнаружено создание ServiceAccount в Kubernetes. Используется для контроля появления новых идентичностей приложений. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_SERVICEACCOUNT_DELETED | k8s-serviceaccount-deleted |
Low | kube-audit | Обнаружено удаление ServiceAccount в Kubernetes. Может влиять на доступ и работоспособность приложений и компонентов. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_SYSTEM_ROLE_MODIFIED_DELETED | k8s-system-role-modified-deleted |
High | kube-audit | Обнаружено изменение или удаление системных Role/ClusterRole (system:*). Такие действия могут затронуть базовую безопасность и поведение кластера. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.) |
| K8S_UNAUTHORIZED_REQUEST | k8s-unauthorized-request |
High | kube-audit | Обнаружены неавторизованные запросы к Kubernetes API (401/403). Может указывать на попытки подбора доступа или ошибочную конфигурацию клиентов. | event.code (обяз.)source.component (обяз.)metadata.extra.sourceIPs (необяз.)metadata.extra.userAgent (необяз.)metadata.extra.verb (необяз.)metadata.extra.auditID (необяз.) |
Среда выполнения
| Код | Имя ресурса | Важность | Источник | Описание | Поля |
|---|---|---|---|---|---|
| K8S_EPHEMERAL_CONTAINER_CREATED | k8s-ephemeral-container-created |
Medium | kube-audit | Обнаружено создание ephemeral-контейнера в поде. Часто используется для отладки и может требовать дополнительной проверки безопасности. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_NODE_CREATED | k8s-node-created |
Medium | kube-audit | Обнаружено создание ресурса Node в Kubernetes. Событие может указывать на подключение нового узла к кластеру и требует проверки ожидаемости этого действия. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.) |
| K8S_NODE_DELETED | k8s-node-deleted |
High | kube-audit | Обнаружено удаление ресурса Node в Kubernetes. Событие важно для контроля потенциального вывода узлов из эксплуатации и возможного влияния на доступность. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.) |
| K8S_POD_CREATED | k8s-pod-created |
Low | kube-audit | Обнаружено создание пода в Kubernetes. Событие помогает отслеживать запуск новых рабочих нагрузок в кластере. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_POD_DELETED | k8s-pod-deleted |
Low | kube-audit | Обнаружено удаление пода в Kubernetes. Событие помогает контролировать остановку или уничтожение рабочих нагрузок. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_POD_EXEC_ATTACH | k8s-pod-exec-attach |
Medium | kube-audit | Обнаружена попытка exec/attach к поду. Событие важно для контроля интерактивного доступа к контейнерам во время выполнения. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.)metadata.extra.subresource (необяз.) |
| K8S_POD_LOGS_ACCESSED | k8s-pod-logs-accessed |
Medium | kube-audit | Обнаружен успешный доступ к логам пода через subresource pods/log. Событие полезно для аудита чтения чувствительных данных, которые могут присутствовать в логах приложений. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_SECURITY_REPORT_CREATED | k8s-security-report-created |
Low | kube-audit | Обнаружено создание ресурсов отчётов безопасности Kubernetes (например, ConfigAuditReport или VulnerabilityReport). Помогает отслеживать появление результатов сканирования. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_SYSTEM_NAMESPACE_POD_NO_DIGEST | k8s-system-namespace-pod-no-digest |
Medium | kube-audit | Обнаружено создание пода в системном неймспейсе без фиксации образа по digest. Повышает риск запуска непредсказуемой версии образа. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |
| K8S_VIRTUAL_MACHINE_OPERATION_CREATED | k8s-virtual-machine-operation-created |
Medium | kube-audit | Обнаружено создание ресурса VirtualMachineOperation в API virtualization.deckhouse.io. Событие отражает запуск операций управления виртуальными машинами. | event.code (обяз.)source.component (обяз.)actor.id (необяз.)object.name (необяз.)object.namespace (необяз.) |