Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.
Présentation
Une personne a déployé un conteneur avec une ou plusieurs des fonctionnalités suivantes dans un cluster GKE disposant d'un contexte de sécurité élevé :
- CAP_SYS_MODULE
- CAP_SYS_RAWIO
- CAP_SYS_PTRACE
- CAP_SYS_BOOT
- CAP_DAC_READ_SEARCH
- CAP_NET_ADMIN
- CAP_BPF
Ces capacités ont déjà été utilisées pour s'échapper des conteneurs et doivent être provisionnées avec prudence.
Event Threat Detection est la source de ce résultat.
Actions à mettre en place
Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par les résultats.
Pour traiter ce résultat, procédez comme suit :
- Examinez le contexte de sécurité du conteneur dans la définition de son pod. Identifiez les fonctionnalités qui ne sont pas strictement nécessaires à son fonctionnement.
- Supprimez ou réduisez les capacités excessives dans la mesure du possible. Appliquez le principe du moindre privilège.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
- Consultez l'index des résultats de détection de menace.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.