Escalamento de privilégios: crie um CSR do Kubernetes para o certificado principal

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Para aumentar os privilégios, um interveniente potencialmente malicioso criou um pedido de assinatura de certificado (CSR) do Kubernetes, que lhe dá acesso cluster-admin.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

1. Abra a Privilege Escalation: Create Kubernetes CSR for master certdescoberta conforme indicado em Rever descobertas. O painel de detalhes da descoberta é aberto no separador Resumo.

2. No separador Resumo, reveja as informações nas seguintes secções:

   • O que foi detetado, especialmente os seguintes campos:
     • Email principal: a conta que fez a chamada.
     • Nome do método: o método que foi chamado.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome a apresentar do recurso: o cluster do Kubernetes onde a ação ocorreu.
   • Links relacionados, especialmente os seguintes campos:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Resultados relacionados: links para resultados relacionados.

Passo 2: verifique os registos

1. No separador Resumo dos detalhes da descoberta na Google Cloud consola, aceda ao Explorador de registos clicando no link no campo URI do Cloud Logging.
2. Verifique o valor no campo protoPayload.resourceName para identificar o pedido de assinatura de certificado específico.

3. Verifique outras ações realizadas pelo principal através dos seguintes filtros:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Substitua o seguinte:

   • CLUSTER_NAME: o valor que anotou no campo Nome a apresentar do recurso nos detalhes da descoberta.

   • PRINCIPAL_EMAIL: o valor que anotou no campo Email principal nos detalhes da descoberta.

Passo 3: pesquise métodos de ataque e resposta

1. Reveja as entradas da framework MITRE ATT&CK para este tipo de descoberta: Aumento de privilégios.
2. Investigue se a concessão de acesso cluster-admin era justificada.

3. Se o email principal não for uma conta de serviço, contacte o proprietário da conta para confirmar se o proprietário legítimo realizou a ação.

   Se o email principal for uma conta de serviço (IAM ou Kubernetes), identifique a origem da ação para determinar a respetiva legitimidade.

4. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.