Elevación de privilegios: Creación de vinculaciones de Kubernetes sensibles

En este documento, se describe un tipo de hallazgo de amenazas de Security Command Center. Los detectores de amenazas generan hallazgos de amenazas cuando identifican una posible amenaza en tus recursos de Cloud. Para obtener una lista completa de los hallazgos de amenazas disponibles, consulta el Índice de hallazgos de amenazas.

Descripción general

Para elevar el privilegio, un agente potencialmente malicioso intentó crear un objeto RoleBinding o ClusterRoleBinding nuevo para el rol cluster-admin.

Event Threat Detection es la fuente de este hallazgo.

Cómo se debe responder

Para responder a este hallazgo, sigue los pasos que se indican a continuación:

Paso 1: Revisa los detalles del hallazgo

1. Abre un hallazgo de Privilege Escalation: Creation of sensitive Kubernetes bindings como se indica en Revisa los hallazgos. Se abrirá el panel de detalles del hallazgo en la pestaña Resumen.

2. En la pestaña Resumen, revisa la información de las secciones siguientes:

   • Qué se detectó, en especial, los campos siguientes:
     • Correo electrónico principal: Es la cuenta que realizó la llamada.
     • Vinculaciones de Kubernetes: Es la vinculación sensible de Kubernetes o ClusterRoleBinding que se creó.
   • Recurso afectado, en especial, los campos que se indican a continuación:
     • Nombre visible del recurso: Es el clúster de Kubernetes en el que se produjo la acción.
   • Vínculos relacionados, en especial los campos siguientes:
     • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
     • Método MITRE ATT&CK: Es el vínculo a la documentación de MITRE ATT&CK.
     • Hallazgos relacionados: Son los vínculos a los hallazgos relacionados.

Paso 2: Comprueba los registros

1. En la pestaña Resumen de los detalles del hallazgo en la consola de Google Cloud , haz clic en el vínculo del campo URI de Cloud Logging para ir al Explorador de registros.

2. Verifica otras acciones que realizó el principal con los siguientes filtros:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Reemplaza lo siguiente:

   • CLUSTER_NAME: Es el valor que anotaste en el campo Nombre visible del recurso en los detalles del hallazgo.

   • PRINCIPAL_EMAIL: Es el valor que anotaste en el campo Correo electrónico principal en los detalles del hallazgo.

Paso 3: Investiga los métodos de ataque y respuesta

1. Revisa las entradas del framework de MITRE ATT&CK para este tipo de hallazgo: Elevación de privilegios.
2. Confirma la sensibilidad de la vinculación que se creó y si los roles son necesarios para los sujetos.
3. En las vinculaciones, puedes comprobar el sujeto y determinar si necesita el rol al que está vinculado.
4. Determina si hay otros indicios de actividad maliciosa por parte del principal en los registros.

5. Si el correo electrónico principal no es una cuenta de servicio, comunícate con el propietario de la cuenta para confirmar si el propietario legítimo realizó la acción.

   Si el correo electrónico principal es una cuenta de servicio (IAM o Kubernetes), identifica el origen de la acción para determinar su legitimidad.

6. Para elaborar un plan de respuesta, combina los resultados de la investigación con la investigación de MITRE.

¿Qué sigue?

• Aprende a trabajar con los hallazgos de amenazas en Security Command Center.
• Consulta el Índice de hallazgos de amenazas.
• Aprende a revisar un hallazgo con la consola de Google Cloud .
• Obtén información sobre los servicios que generan hallazgos de amenazas.