topcug/kubernetes-detection-lab

GitHub: topcug/kubernetes-detection-lab

面向 Kubernetes 运行时安全的开放检测实验室,提供 Falco 规则、Sigma 检测规格及 MITRE ATT&CK 映射的威胁场景演练内容。

Stars: 0 | Forks: 0

# kubernetes-detection-lab

kubernetes-detection-lab

面向 Kubernetes 和云原生安全团队的开放检测内容。每个实验室涵盖一个真实的威胁场景:其在运行时的表现形式、重要性、检测方法、警报分诊指南,以及如何修复底层隐患。所有内容均采用 MIT 许可协议,旨在直接投入实践使用,而不仅仅是用于阅读。 ## 仓库结构 ``` labs/ — Detection labs (one folder per scenario) falco-rules/ — Standalone Falco rules, ready to load sigma-rules/ — Sigma-format detection specs for SIEM portability docs/ — Setup guides and supporting documentation ``` ## 实验室 | 实验室 | 威胁 | MITRE | 严重性 | |-----|--------|-------|----------| | [LAB-001](labs/lab-001-shell-in-container/) | 容器中生成 shell | T1059 | 高 | | [LAB-002](labs/lab-002-privileged-container/) | 启动特权容器 | T1611 | 严重 | | [LAB-003](labs/lab-003-cryptominer-detection/) | 检测到挖矿进程 | T1496 | 严重 | | [LAB-004](labs/lab-004-sensitive-file-read/) | 敏感文件读取 (/etc/shadow, SA token) | T1552 | 高 | | [LAB-005](labs/lab-005-kubectl-exec/) | kubectl exec 进入运行中的容器 | T1609 | 高 | | [LAB-006](labs/lab-006-reverse-shell/) | 来自容器的反弹 shell | T1059 | 严重 | | [LAB-007](labs/lab-007-data-exfiltration/) | 通过 curl/wget 进行数据外泄 | T1041 | 高 | | [LAB-008](labs/lab-008-secret-enumeration/) | 通过 API 枚举 Kubernetes Secret | T1552.007 | 严重 | | [LAB-009](labs/lab-009-privilege-escalation/) | 通过 setuid 二进制文件进行提权 | T1548 | 高 | | [LAB-010](labs/lab-010-mutable-image-tag/) | 容器使用可变镜像标签运行 | T1525 | 中 | | [LAB-011](labs/lab-011-unexpected-outbound-connection/) | 意外的出站网络连接 | T1071 | 高 | | [LAB-012](labs/lab-012-host-path-escape/) | 通过 host path 挂载进行容器逃逸 | T1611 | 严重 | | [LAB-013](labs/lab-013-sqli-detection/) | 使用 Zeek、Falco 和 Sigma 进行 SQL 注入检测 | T1190 | 高 | ## 如何使用实验室 每个实验室文件夹都包含一个 README,其中提供了威胁场景、攻击模拟步骤、Falco 检测规则、分诊指南、修复步骤以及误报说明。 加载单个 Falco 规则: ``` falco -r falco-rules/shell-in-container.yaml ``` 将 Sigma 规则转换为你的 SIEM 格式: ``` sigma convert -t splunk sigma-rules/shell-in-container.yml sigma convert -t elastic-dsl sigma-rules/shell-in-container.yml ``` ## 环境要求 - Kubernetes 集群(kind、k3s、minikube 或任何托管集群) - 作为 DaemonSet 或在 eBPF 模式下安装的 [Falco](https://falco.org/docs/getting-started/) - 对你的测试集群具有 `kubectl` 访问权限 - 可选:启用 Kubernetes 审计日志记录以进行 API 级别的检测 ## MITRE ATT&CK 覆盖范围 实验室映射至 [MITRE ATT&CK 容器矩阵](https://attack.mitre.org/matrices/enterprise/containers/)。 | 战术 | 涵盖的技术 | |--------|--------------------| | 执行 | T1059, T1609 | | 持久化 | T1525 | | 权限提升 | T1548, T1611 | | 凭证访问 | T1552, T1552.007 | | 数据外泄 | T1041 | | 命令与控制 | T1071 | | 影响 | T1496 | | 初始访问 | T1190 | ## 贡献 关于如何添加实验室或提出修改建议,请参阅 [CONTRIBUTING.md](./CONTRIBUTING.md)。 ## 许可证 [MIT](./LICENSE)
标签:AMSI绕过, CSV导出, Docker镜像, Falco, IP 地址批量处理, Pandas, Sigma规则, StruQ, 威胁检测, 子域名突变, 安全实验, 敏感词过滤, 数据处理, 目标导入