Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

התחמקות מהגנה: פריסת עומס עבודה מסוג Breakglass נוצרה

במסמך הזה מתואר סוג של ממצא איום ב-Security Command Center. ממצאי איומים נוצרים על ידי מזהי איומים כשהם מזהים איום פוטנציאלי במשאבי הענן שלכם. רשימה מלאה של ממצאי האיומים הזמינים מופיעה באינדקס ממצאי האיומים.

סקירה כללית

המערכת מזהה את Breakglass Workload Deployment Created על ידי בדיקה של יומני ביקורת ב-Cloud כדי לראות אם יש פריסות לעומסי עבודה שמשתמשים בדגל breakglass כדי לעקוף את אמצעי הבקרה של Binary Authorization.

Event Threat Detection הוא המקור של הממצא הזה.

איך מגיבים

כדי להגיב לממצא הזה:

שלב 1: בדיקת פרטי הממצא

פותחים את הממצא Defense Evasion: Breakglass Workload Deployment Created, כמו שמתואר במאמר בדיקת הממצאים. תיפתח החלונית עם פרטי הממצאים, ותוצג הכרטיסייה סיכום.
בכרטיסייה סיכום, בודקים את המידע בקטעים הבאים:
- מה זוהה, במיוחד השדות הבאים:
  - כתובת אימייל ראשית: החשבון שביצע את השינוי.
  - שם השיטה: השיטה שבוצעה.
  - Kubernetes pods: שם ה-pod ומרחב השמות.
- מקור המידע שהושפע, במיוחד השדה הבא:
  - השם המוצג של המשאב: מרחב השמות ב-GKE שבו בוצעה הפריסה.
- קישורים רלוונטיים:
  - ‫Cloud Logging URI: קישור לרשומות ב-Logging.
  - שיטת MITRE ATT&CK: קישור למסמך של MITRE ATT&CK.
  - ממצאים קשורים: קישורים לממצאים קשורים.

שלב 2: בדיקת היומנים

בכרטיסייה סיכום של פרטי הממצא ב Google Cloud מסוף, לוחצים על הקישור בשדה Cloud Logging URI כדי לעבור אל Logs Explorer.
בודקים את הערך בשדה protoPayload.resourceName כדי לזהות את בקשת חתימת האישור הספציפית.
כדי לבדוק פעולות אחרות שבוצעו על ידי חשבון המשתמש, משתמשים במסננים הבאים:
- resource.labels.cluster_name="CLUSTER_NAME"
- protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
  
  מחליפים את מה שכתוב בשדות הבאים:
- ‫CLUSTER_NAME: הערך שרשמתם בשדה שם התצוגה של המשאב בפרטי הממצא.
- ‫PRINCIPAL_EMAIL: הערך שרשמתם בשדה Principal email בפרטי הממצא.

שלב 3: מחקר של שיטות התקפה ותגובה

כדאי לעיין בערך של מסגרת MITRE ATT&CK לגבי סוג הממצא הזה: התחמקות מהגנה: פריסת עומס עבודה (workload) מסוג Breakglass.
כדי לעיין בממצאים קשורים, לוחצים על הקישור ממצאים קשורים בשורה ממצאים קשורים בכרטיסייה סיכום של פרטי הממצא.
כדי לפתח תוכנית תגובה, משלבים את תוצאות החקירה עם מחקר של MITRE.

המאמרים הבאים

איך עובדים עם ממצאי איומים ב-Security Command Center
אפשר לעיין באינדקס של ממצאי איומים.
איך בודקים ממצא דרך מסוף Google Cloud .
מידע על השירותים שמפיקים ממצאים לגבי איומים