K8s API 异常请求

最近更新时间:2024-07-03 09:55:41

我的收藏
支持实时监控集群 API 异常请求行为,包括系统策略和用户自定义规则两部分。
系统策略:基于腾讯云安全技术及多维度多种手段,通过匿名访问、异常 UA 请求、匿名用户权限变动、凭据信息获取、敏感路径挂载、命令执行、异常定时任务、静态 pod 创建、可疑容器创建等共9个规则类型,对集群 API 异常请求行为进行监测。
用户自定义规则:支持自定义 K8s API 异常请求字段,及具体生效范围,更加灵活贴近实际业务需求。

事件列表

登录 容器安全服务控制台,在左侧导航中,单击高级防御 > K8s API 异常请求,默认进入事件列表页面。

安全状态和事件趋势

安全状态将根据系统上报的安全事件,实时统计待处理的 K8s API 异常请求事件,以及按高危、中危、低危、提示来统计安全事件数量。

事件趋势将根据系统上报的安全事件,按命中的系统规则和自定义规则来统计近七天安全事件趋势。


事件列表

您可以选择“最近生成时间”来查看安全事件,或通过集群名称或集群 ID 来检索关联的安全事件。事件列表字段包括:
字段名称
字段详情
命中规则
匿名访问、异常 UA 请求、匿名用户权限变动、凭据信息获取、敏感路径挂载、命令执行、异常定时任务、静态 pod 创建、可疑容器创建等9个系统规则和用户自定义规则。
规则类型
系统规则、用户自定义规则。
威胁等级
高危、中危、低危和提示。
受影响集群名称/ID/运行状态
展示安全事件影响的集群名称、集群 ID 以及集群运行状态。
首次生成时间
该条安全事件首次发生的时间。
最近生成时间
该条安全事件最近发生的时间。
告警数量
系统按集群名称、集群 ID、命中规则、请求日志等对待处理安全事件进行聚合展示,聚合周期为当天。
状态
待处理、已处理、已忽略、已加白。
操作
单击详情,查看事件详情。

查看详情

在事件列表中,单击详情,查看事件详情。详情包括事件详情,集群名称/ID,集群运行时组件,风险描述,建议方案,异常请求信息和 json 日志。


处理事件

1. 在事件列表中,单击处理,可以选择对事件进行标记已处理、添加白名单、忽略和删除记录,单击确定
2. 在二次确认窗口中,进行如下操作:
标记已处理:建议您参照事件详情中的“解决方案”,人工对该事件风险进行处理,单击确定,处理后可将事件标记为已处理。
添加白名单:配置相关参数,单击确定
说明:
若您确认该 K8s API 请求属于正常行为,可添加白名单放行规则,后续再出现该请求,将直接放行不再告警,请谨慎操作。
添加白名单时,系统会根据加白的来源事件自动填入触发告警的字段和集群。如有需要,可手动调整白名单的生效字段和生效集群范围。

忽略:单击确定,仅将已选事件进行忽略,若再有相同事件发生依然会进行告警。
删除记录:单击确定,删除已选事件记录,控制台将不再显示,无法恢复记录,请慎重操作。

规则配置

登录 容器安全服务控制台,在左侧导航中,单击高级防御 > K8s API 异常请求 > 规则配置,进入规则配置页面。

系统规则

在规则配置页面,开启或关闭系统规则和自定义规则。单击系统规则名称,可查看全部系统规则类型,如下图所示。用户也可以通过此页面,关闭部分系统规则类型。



自定义规则

除容器安全服务产品提供的系统规则,用户也可以自定义创建规则。 在规则配置页面,单击创建规则,配置相关参数,单击保存


字段名称
字段详情
基础设置
包括自定义规则的名称,以及是否启用规则的开关。
规则设置
在此部分配置告警和放行的字段,配置告警字段时需同步配置规则的威胁等级。
当配置内容多条时,单击下方的添加规则即可。
配置规则的具体内容时,单击匹配范围列的编辑,规则配置支持正则表达式。
生效范围
用户可自定义选择配置规则的生效集群范围。
注意:同一个集群只能绑定一个自定义规则,如需对一个集群配置多条检测规则,建议在同一条规则中编辑添加。

TKE K8s集群开启审计流程

当集群的审计功能未开启时,无法采集到 K8s API 的审计日志来进行风险检测。
说明:
开启集群审计后,日志服务 CLS 会按照您的实际使用情况计费,计费标准请参考 CLS 计费概述
1. 在容器服务控制台的 运维功能管理页面,选中需要开启审计的集群,单击设置

2. 在设置功能页面,单击集群审计功能的编辑

3. 勾选开启集群审计,单击确定即可。