Acesso à credencial: solicitação de assinatura de certificado (CSR) do Kubernetes aprovada manualmente

Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.

Visão geral

Alguém aprovou manualmente uma solicitação de assinatura de certificado (CSR, na sigla em inglês). A criação de um certificado para autenticação de cluster é um método comum de acesso persistente a um cluster comprometido. As permissões associadas ao certificado variam dependendo do assunto incluído, mas podem ser altamente privilegiadas. Para mais detalhes, consulte a mensagem de registro desse alerta.

O Event Threat Detection é a origem dessa descoberta.

Como responder

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

Para responder a essa descoberta:

  1. Analise os registros de auditoria no Cloud Logging e os outros alertas para outros eventos relacionados à CSR para determinar se as ações relacionadas à CSR são atividades esperadas pelo principal.
  2. Determine se há outros sinais de atividade maliciosa do principal nos registros de auditoria no Cloud Logging. Por exemplo:
    • O principal que aprovou a CSR é diferente de quem a criou?
    • A CSR especificou um signatário integrado, mas precisou ser aprovada de modo manual porque não atendeu aos critérios do signatário?
    • O principal tentou solicitar, criar, aprovar ou excluir outras CSRs?
  3. Se a aprovação de uma CSR não era esperada ou for considerada maliciosa, o cluster vai exigir uma rotação de credenciais para invalidar o certificado. Consulte as orientações sobre como fazer a rotação das credenciais do cluster.

A seguir