Cette page a été traduite par l'API Cloud Translation.

Contournement des défenses : déploiement de la charge de travail en mode "bris de glace" mis à jour

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.

Présentation

Breakglass Workload Deployment Updated est détecté en examinant les journaux d'audit Cloud pour voir si des charges de travail utilisant l'option "break-glass" afin d'ignorer les contrôles de l'autorisation binaire ont été mises à jour.

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Pour traiter ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

Ouvrez le résultat Defense Evasion: Breakglass Workload Deployment Updated comme indiqué dans Examiner un résultat. Le panneau des détails du résultat s'ouvre et affiche l'onglet Résumé.
Dans l'onglet Résumé, examinez les informations des sections suivantes :
- Risque détecté, en particulier les champs suivants :
  - Adresse e-mail du compte principal : compte ayant effectué la modification.
  - Nom de la méthode : méthode appelée.
  - Pods Kubernetes : nom et espace de noms du pod.
- Ressource concernée, en particulier le champ suivant :
  - Nom à afficher de la ressource : espace de noms GKE où la mise à jour a eu lieu.
- Liens associés :
  - URI Cloud Logging : lien vers les entrées Logging.
  - Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
  - Résultats associés : liens vers les éventuels résultats associés.

Étape 2 : Vérifier les journaux

Dans l'onglet Résumé des détails du résultat dans la console Google Cloud , accédez à l'explorateur de journaux en cliquant sur le lien dans le champ URI Cloud Logging.
Vérifiez la valeur du champ protoPayload.resourceName pour identifier la demande de signature de certificat spécifique.
Vérifiez les autres actions effectuées par le principal à l'aide des filtres suivants :
- resource.labels.cluster_name="CLUSTER_NAME"
- protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
  
  Remplacez les éléments suivants :
- CLUSTER_NAME : valeur que vous avez notée dans le champ Nom à afficher de la ressource des détails du résultat.
- PRINCIPAL_EMAIL : valeur que vous avez notée dans le champ Adresse e-mail du compte principal des détails du problème.

Étape 3 : Rechercher des méthodes d'attaque et de réponse

Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Évasion des défenses : déploiement de charge de travail Breakglass.
Consultez les résultats associés en cliquant sur le lien Résultats associés indiqué dans la ligne Résultats associés de l'onglet Résumé des détails du résultat.
Pour élaborer votre plan de réponse, combinez les résultats de votre enquête à la documentation MITRE.

Étapes suivantes

Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
Consultez l'index des résultats de détection de menace.
Découvrez comment examiner un résultat dans la console Google Cloud .
Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.