Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.
Vista geral
Breakglass Workload Deployment Updated é detetado através da análise dos registos de auditoria do Google Cloud para verificar se existem atualizações às cargas de trabalho que usam o sinalizador de acesso de emergência para substituir os controlos de autorização binária.
A Deteção de ameaças com base em eventos é a origem desta descoberta.
Como responder
Para responder a esta descoberta, faça o seguinte:
Passo 1: reveja os detalhes da descoberta
- Abra a descoberta
Defense Evasion: Breakglass Workload Deployment Updated, conforme indicado em Rever descobertas. O painel com os detalhes da descoberta é aberto e apresenta o separador Resumo. No separador Resumo, reveja as informações nas seguintes secções:
- O que foi detetado, especialmente os seguintes campos:
- Email principal: a conta que efetuou a modificação.
- Nome do método: o método que foi chamado.
- Pods do Kubernetes: o nome do pod e o namespace.
- Recurso afetado, especialmente o seguinte campo:
- Nome a apresentar do recurso: o espaço de nomes do GKE onde ocorreu a atualização.
- Links relacionados:
- URI do Cloud Logging: link para as entradas do Logging.
- Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
- Resultados relacionados: links para resultados relacionados.
- O que foi detetado, especialmente os seguintes campos:
Passo 2: verifique os registos
- No separador Resumo dos detalhes da descoberta na Google Cloud consola, aceda ao Explorador de registos clicando no link no campo URI do Cloud Logging.
- Verifique o valor no campo
protoPayload.resourceNamepara identificar o pedido de assinatura de certificado específico. Verifique outras ações realizadas pelo principal através dos seguintes filtros:
resource.labels.cluster_name="CLUSTER_NAME"protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"Substitua o seguinte:
CLUSTER_NAME: o valor que anotou no campo Nome a apresentar do recurso nos detalhes da descoberta.PRINCIPAL_EMAIL: o valor que anotou no campo Email principal nos detalhes da descoberta.
Passo 3: pesquise métodos de ataque e resposta
- Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Defense Evasion: Breakglass Workload Deployment.
- Reveja as conclusões relacionadas clicando no link em Conclusões relacionadas na linha Conclusões relacionadas no separador Resumo dos detalhes das conclusões.
- Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.