7.2. 重大度の高いセキュリティーポリシー

ビルドまたはデプロイ

修正可能な CVSS >= 7

修正可能な脆弱性を含むデプロイメントの CVSS が 7 以上の場合にアラートを出します。

Disabled

ビルドまたはデプロイ

修正可能な重大度が少なくとも「重要な影響」

修正可能な脆弱性を含むデプロイメントの重大度が「重要な影響」以上の場合にアラートを出します。

有効

ビルドまたはデプロイ

イメージで公開されているセキュアシェル (ssh) ポート

一般に SSH アクセス用に予約されているポート 22 がデプロイで公開されたときにアラートを出します。

有効

デプロイ

緊急デプロイメントのアノテーション

デプロイメントで StackRox アドミッションコントローラーのチェックを回避するために "admission.stackrox.io/break-glass":"ticket-1234" などの緊急アノテーションが使用される場合にアラートを出します。

有効

デプロイ

環境変数に Secret が含まれています

デプロイメントに 'SECRET' を含む環境変数がある場合にアラートを出します。

有効

デプロイ

修正可能な CVSS >= 6 および特権

デプロイが特権モードで実行され、CVSS が 6 以上の修正可能な脆弱性がある場合にアラートを出します。

バージョン 3.72.0 以降ではデフォルトで無効

デプロイ

重要かつ重大な修正可能な CVE を含む特権コンテナー

特権モードで実行されるコンテナーに重要または重大な修正可能な脆弱性がある場合にアラートを出します。

有効

デプロイ

環境変数としてマウントされた Secret

環境変数としてマウントされた Kubernetes シークレットがデプロイメントに含まれている場合にアラートを出します。

Disabled

デプロイ

セキュアシェル (ssh) ポートの公開

一般に SSH アクセス用に予約されているポート 22 がデプロイで公開されたときにアラートを出します。

有効

Runtime

暗号通貨マイニングプロセスの実行

暗号通貨マイニングプロセスを生成します。

有効

Runtime

iptables の実行

誰かが iptables を実行したことを検出します。これは、コンテナー内のネットワーク状態を管理する非推奨の方法です。

有効

Runtime

Kubernetes アクション: Exec into Pod

コンテナーでコマンドを実行する要求を Kubernetes API が受信したときにアラートを出します。

有効

Runtime

Linux グループ追加の実行

誰かが addgroup または groupadd バイナリーを実行して Linux グループを追加したことを検出します。

有効

Runtime

Linux ユーザー追加の実行

誰かが useradd または adduser バイナリーを実行して Linux ユーザーを追加したことを検出します。

有効

Runtime

ログインバイナリー

誰かがログインを試みたことを示します。

Disabled

Runtime

ネットワーク管理の実行

ネットワークの設定と管理を操作できるバイナリーファイルが誰かによって実行されたことを検出します。

有効

Runtime

nmap の実行

ランタイム中に誰かがコンテナー内で nmap プロセスを開始したときにアラートを出します。

有効

Runtime

OpenShift: Kubeadmin Secret へのアクセス

誰かが kubeadmin Secret にアクセスしたときにアラートを出します。

有効

Runtime

パスワードバイナリー

誰かがパスワードを変更しようとしたことを示します。

Disabled

Runtime

クラスター Kubelet エンドポイントを対象とするプロセス

healthz、kubelet API、または heapster エンドポイントの誤用を検出します。

有効

Runtime

プロセスターゲットクラスター Kubernetes Docker Stats エンドポイント

Kubernetes docker stats エンドポイントの誤用を検出します。

有効

Runtime

プロセスターゲティング Kubernetes サービスエンドポイント

Kubernetes サービス API エンドポイントの誤用を検出します。

有効

Runtime

UID 0 のプロセス

デプロイメントに UID 0 で実行されるプロセスが含まれている場合にアラートを出します。

Disabled

Runtime

セキュアシェルサーバー (sshd) の実行

SSH デーモンを実行するコンテナーを検出します。

有効

Runtime

SetUID プロセス

エスカレートされた特権で特定のプログラムを実行できるようにする setuid バイナリーファイルを使用します。

Disabled

Runtime

シャドウファイルの変更

誰かがシャドウファイルを変更しようとしたことを示します。

Disabled

Runtime

Java アプリケーションによって生成されたシェル

bash、csh、sh、zsh などのシェルが Java アプリケーションのサブプロセスとして実行されるタイミングを検出します。

有効

Runtime

不正なネットワークフロー

"異常な違反に関するアラート" 設定のベースラインから外れたネットワークフローに対して違反を生成します。

有効

Runtime

不正なプロセス実行

Kubernetes デプロイメントのコンテナー仕様のロックされたプロセスベースラインによって明示的に許可されていないプロセス実行に対して違反を生成します。

有効