In diesem Dokument wird ein bestimmter Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.
Übersicht
Jemand hat einen Container mit einer oder mehreren der folgenden Funktionen in einem GKE-Cluster mit einem erhöhten Sicherheitskontext bereitgestellt:
- CAP_SYS_MODULE
- CAP_SYS_RAWIO
- CAP_SYS_PTRACE
- CAP_SYS_BOOT
- CAP_DAC_READ_SEARCH
- CAP_NET_ADMIN
- CAP_BPF
Diese Funktionen wurden bereits verwendet, um aus Containern auszubrechen, und sollten mit Vorsicht bereitgestellt werden.
Die Quelle dieses Ergebnisses ist Event Threat Detection.
Maßnahmen
Der folgende Reaktionplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Abläufe auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Behebung der Ergebnisse zu finden.
So reagieren Sie auf dieses Ergebnis:
- Sehen Sie sich den Sicherheitskontext des Containers in der Pod-Definition an. Ermitteln Sie alle Funktionen, die für die Funktion nicht unbedingt erforderlich sind.
- Entfernen oder reduzieren Sie übermäßige Berechtigungen, wann immer möglich. Wenden Sie das Prinzip der geringsten Berechtigung an.
Nächste Schritte
- Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
- Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
- Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
- Dienste, die Bedrohungsergebnisse generieren