topcug/kube-detection-labs

# Kube Detection Labs 面向 Kubernetes 和云原生安全团队的开放检测内容。 每个实验涵盖一个真实的威胁场景：其在运行时的表现、重要性、如何使用 Falco 进行检测、如何对警报进行分类以及如何修复根本问题。 所有内容均免费，采用 MIT 许可，旨在直接使用 —— 不仅仅是阅读。 ## 本仓库包含什么 ``` labs/ — Detection labs (one folder per scenario) falco-rules/ — Standalone Falco rules, ready to load sigma-rules/ — Sigma-format detection specs for backend portability docs/ — Supporting documentation (setup guides, glossary) scripts/ — Helper scripts (test simulation, rule validation) ``` ## 实验列表 | 实验 | 威胁 | MITRE | 严重性 | |-----|--------|-------|----------| | [LAB-001](labs/lab-001-shell-in-container/) | 容器内生成了 Shell | T1059 | 高 | | [LAB-002](labs/lab-002-privileged-container/) | 启动了特权容器 | T1611 | 严重 | | [LAB-003](labs/lab-003-cryptominer-detection/) | 检测到挖矿进程 | T1496 | 严重 | 新实验会定期添加。请 Watch 本仓库以获取通知。 ## 如何使用 ### 阅读实验 每个实验文件夹都包含一个 `README.md`，其中包括： - 威胁场景 - 为什么重要 - 攻击模拟步骤 - Falco 检测规则 - 分类指南 - 修复措施（即时 + 结构性） - 误报说明 ### 加载 Falco 规则 规则也以独立文件形式存在于 `falco-rules/` 中。要加载单个规则： ``` falco -r falco-rules/shell-in-container.yaml ``` 要加载所有规则： ``` falco -r falco-rules/ ``` ### 使用 Sigma 规则 `sigma-rules/` 中的 Sigma 规则可以使用 [sigma-cli](https://github.com/SigmaHQ/sigma-cli) 转换为您的 SIEM 格式： ``` sigma convert -t splunk sigma-rules/shell-in-container.yml sigma convert -t elastic-dsl sigma-rules/shell-in-container.yml ``` ## 需求 - Kubernetes 集群（本地：kind, k3s, minikube — 或任何托管集群） - [Falco](https://falco.org/docs/getting-started/) 以 DaemonSet 或 eBPF 模式安装 - 对测试集群的 `kubectl` 访问权限 - 可选：启用 Kubernetes 审计日志以进行 API 级别的检测 ## MITRE ATT&CK 覆盖范围 本仓库将检测映射到 [MITRE ATT&CK 容器矩阵](https://attack.mitre.org/matrices/enterprise/containers/)。 当前覆盖范围： | 战术 | 覆盖的技术 | |--------|--------------------| | Execution | T1059, T1609 | | Privilege Escalation | T1611 | | Impact | T1496 | 覆盖范围会随着每个新实验的加入而扩展。 ## 贡献 实验遵循标准结构。要贡献新实验： 1. 复制 `labs/_template/` 文件夹 2. 填写 README 的所有部分 3. 将相应的 Falco 规则添加到 `falco-rules/` 4. 如果适用，将 Sigma 规则添加到 `sigma-rules/` 5. 打开一个 PR，其中包含对威胁场景的清晰描述 有关完整指南，请参阅 [docs/contributing.md](docs/contributing.md)。 ## 许可证 MIT。可自由使用、Fork、调整并在此基础上构建。 ## 相关链接 - [ClarifyIntel](https://clarifyintel.com) — 面向云原生团队的检测包、Pod Security 推出以及供应链审查 - [Kube Detection Labs](https://clarifyintel.com/labs/) — 这些实验的 Web 版本，包含更多上下文 - [Falco](https://falco.org) — 这些规则所基于的运行时安全工具 - [MITRE ATT&CK Containers](https://attack.mitre.org/matrices/enterprise/containers/) — 这些实验映射到的威胁框架

标签：AMSI绕过, CCTV/网络接口发现, Chrome Headless, Cloudflare, DevSecOps, Docker镜像, Falco, FTP漏洞扫描, Kubernetes安全, Linux内核监控, MITRE ATT&CK, SIEM规则, Sigma规则, Web截图, 上游代理, 威胁检测, 子域名突变, 安全取证, 安全实验室, 安全编排, 容器安全, 库, 应急响应, 异常行为检测, 攻击模拟, 敏感词过滤, 目标导入, 运行时检测, 驱动签名利用