Se usó la API de Cloud Translation para traducir esta página.

Acceso a credenciales: Solicitud de firma de certificado (CSR) de Kubernetes aprobada de forma manual

En este documento, se describe un tipo de hallazgo de amenazas en Security Command Center. Los detectores de amenazas generan hallazgos de amenazas cuando identifican una posible amenaza en tus recursos de Cloud. Para obtener una lista completa de los hallazgos de amenazas disponibles, consulta el Índice de hallazgos de amenazas.

Descripción general

Alguien aprobó de forma manual una solicitud de firma de certificado (CSR). Crear un certificado para la autenticación del clúster es un método común que utilizan los atacantes para obtener acceso persistente a un clúster vulnerado. Los permisos asociados con el certificado varían según el sujeto que incluyan, pero pueden ser altamente privilegiados. Para obtener más detalles, consulta el mensaje de registro de esta alerta.

Event Threat Detection es la fuente de este hallazgo.

Cómo responder

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los hallazgos.

Para responder a este hallazgo, haz lo siguiente:

Revisa los registros de auditoría en Cloud Logging y las alertas adicionales para otros eventos relacionados con la CSR para determinar si las acciones relacionadas con la CSR son una actividad esperada por la principal.
Determina si hay otros indicios de actividad maliciosa por parte de la principal en los registros de auditoría de Cloud Logging. Por ejemplo:
- ¿La principal que aprobó la CSR era diferente de la que la creó?
- ¿La CSR especificó un firmante integrado, pero finalmente se debe aprobar de forma manual porque no cumple con los criterios del firmante?
- ¿La principal intentó solicitar, crear, aprobar o borrar otras CSRs?
Si no se esperaba una aprobación de CSR o se determina que es maliciosa, el clúster requerirá una rotación de credenciales para invalidar el certificado. Revisa la información para realizar una rotación de las credenciales del clúster.

¿Qué sigue?

Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
Consulta el Índice de hallazgos de amenazas.
Obtén información para revisar un hallazgo con la consola de Google Cloud .
Obtén más información sobre los servicios que generan hallazgos de amenazas.