kube-system名前空間での安全でない実行

この検出結果は、EKSクラスター上のkube-system名前空間内のPodでコマンドが実行されたことを示しています。

まず、kube-system名前空間でシェル環境へのアクセスを提供するPodを実行しましょう。

~$kubectl -n kube-system run nginx --image=nginx

~$kubectl wait --for=condition=ready pod nginx -n kube-system

~$kubectl -n kube-system get pod nginx

NAME    READY   STATUS    RESTARTS   AGE

nginx   1/1     Running   0          28s

次に、以下のコマンドを実行してExecution:Kubernetes/ExecInKubeSystemPodの検出結果を生成します：

~$kubectl -n kube-system exec nginx -- pwd

/

数分以内にGuardDuty検出結果コンソールでExecution:Kubernetes/ExecInKubeSystemPodの検出結果が表示されます。

検出結果をクリックすると、画面の右側にタブが開き、検出結果の詳細とその簡単な説明が表示されます。

また、Amazon Detectiveを使用して検出結果を調査するオプションも提供されています。

検出結果のActionを確認すると、それがKUBERNETES_API_CALLに関連していることがわかります。

検出結果を生成するために使用した問題のあるPodをクリーンアップします：

~$kubectl -n kube-system delete pod nginx