Diese Seite wurde von der Cloud Translation API übersetzt.

Umgehung von Abwehrmaßnahmen: Break-Glass-Workload-Deployment wurde aktualisiert

In diesem Dokument wird ein bestimmter Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Breakglass Workload Deployment Updated wird erkannt, indem Cloud-Audit-Logs untersucht werden, um festzustellen, ob es Aktualisierungen von Arbeitslasten gibt, bei denen das Break-Glass-Flag verwendet wird, um Einstellungen für die Binärautorisierung zu überschreiben.

Die Quelle dieses Ergebnisses ist Event Threat Detection.

Maßnahmen

So reagieren Sie auf dieses Ergebnis:

Schritt 1: Ergebnisdetails prüfen

Öffnen Sie das Defense Evasion: Breakglass Workload Deployment Updated-Ergebnis, wie unter Ergebnisse prüfen beschrieben. Der Bereich mit den Details zum Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:
- Was erkannt wurde, insbesondere die folgenden Felder:
  - Haupt-E-Mail-Adresse: Das Konto, von dem die Änderung vorgenommen wurde.
  - Methodenname: Die aufgerufene Methode.
  - Kubernetes-Pods: Der Pod-Name und der Namespace.
- Betroffene Ressource, insbesondere das folgende Feld:
  - Anzeigename der Ressource: Der GKE-Namespace, in dem das Update stattgefunden hat.
- Weitere Informationen:
  - Cloud Logging-URI: Link zu Logging-Einträgen.
  - MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
  - Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.

Schritt 2: Protokolle prüfen

Rufen Sie auf dem Tab Zusammenfassung der Funddetails in der Google Cloud -Konsole den Log-Explorer auf. Klicken Sie dazu auf den Link im Feld Cloud Logging-URI.
Prüfen Sie den Wert im Feld protoPayload.resourceName, um die spezifische Anfrage zur Zertifikatsignierung zu ermitteln.
Prüfen Sie mit den folgenden Filtern, ob der Auftraggeber andere Maßnahmen ergriffen hat:
- resource.labels.cluster_name="CLUSTER_NAME"
- protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
  
  Ersetzen Sie Folgendes:
- CLUSTER_NAME: Der Wert, den Sie in den Funddetails im Feld Anzeigename der Ressource notiert haben.
- PRINCIPAL_EMAIL: Der Wert, den Sie in den Details des Ergebnisses im Feld E-Mail-Adresse des Hauptkontos notiert haben.

Schritt 3: Forschungsangriffe und Reaktionsmethoden

Sehen Sie sich den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp an: Defense Evasion: Breakglass Workload Deployment.
Klicken Sie auf den Tab Zusammenfassung der Ergebnisdetails und dann in der Zeile Ähnliche Ergebnisse auf den Link unter Ähnliche Ergebnisse, um ähnliche Ergebnisse aufzurufen.
Wenn Sie einen Antwortplan entwickeln möchten, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Forschung.

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsergebnisse generieren