Umgehung von Abwehrmaßnahmen: Break-Glass-Workload-Deployment wurde erstellt

In diesem Dokument wird ein bestimmter Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Das Ergebnis Breakglass Workload Deployment Created wird erkannt, indem Cloud-Audit-Logs daraufhin untersucht werden, ob es Bereitstellungen für Arbeitslasten gibt, bei denen das Breakglass-Flag verwendet wird, um die Einstellungen für die Binärautorisierung zu überschreiben.

Die Quelle von diesem Ergebnis ist Event Threat Detection.

Maßnahmen

So reagieren Sie auf dieses Ergebnis:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie das Ergebnis Defense Evasion: Breakglass Workload Deployment Created, wie unter Ergebnisse prüfen beschrieben. Der Bereich mit den Ergebnisdetails wird geöffnet und der Tab Zusammenfassung wird angezeigt.

2. Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

   • Was wurde erkannt, insbesondere die folgenden Felder:
     • E-Mail-Adresse des Principals: Das Konto, von dem die Änderung vorgenommen wurde.
     • Methodenname: Die Methode, die aufgerufen wurde.
     • Kubernetes-Pods: Der Pod-Name und der Namespace.
   • Betroffene Ressource, insbesondere das folgende Feld:
     • Anzeigename der Ressource: Der GKE-Namespace, in dem die Bereitstellung erfolgt ist.
   • Weitere Informationen:
     • Cloud Logging-URI: Link zu Logging-Einträgen.
     • MITRE ATT&CK-Methode: Link zur MITRE ATT&CK-Dokumentation.
     • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.

Schritt 2: Protokolle prüfen

1. Rufen Sie auf dem Tab Zusammenfassung der Ergebnisdetails in der Google Cloud Console den Log-Explorer auf. Klicken Sie dazu auf den Link im Feld Cloud Logging-URI.
2. Prüfen Sie den Wert im Feld protoPayload.resourceName, um die spezifische Zertifikatsignieranfrage zu identifizieren.

3. Suchen Sie mit den folgenden Filtern nach anderen Aktionen, die vom Principal ausgeführt wurden:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ersetzen Sie Folgendes:

   • CLUSTER_NAME: Der Wert, den Sie in den Ergebnisdetails im Feld Anzeigename der Ressource notiert haben.

   • PRINCIPAL_EMAIL: Der Wert, den Sie in den Ergebnisdetails im Feld E-Mail-Adresse des Principals notiert haben.

Schritt 3: Forschungsangriffe und Reaktionsmethoden

1. Sehen Sie sich den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp an: Defense Evasion: Breakglass Workload Deployment.
2. Klicken Sie auf den Link in der Zeile Ähnliche Ergebnisse auf dem Tab Zusammenfassung der Ergebnisdetails, um ähnliche Ergebnisse abzurufen.
3. Wenn Sie einen Antwortplan entwickeln möchten, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE -Forschung.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsergebnisse generieren