Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.
Visão geral
Alguém implantou um contêiner com uma ou mais das seguintes capacidades em um cluster do GKE com um contexto de segurança elevado:
- CAP_SYS_MODULE
- CAP_SYS_RAWIO
- CAP_SYS_PTRACE
- CAP_SYS_BOOT
- CAP_DAC_READ_SEARCH
- CAP_NET_ADMIN
- CAP_BPF
Esses recursos já foram usados para escapar de contêineres e precisam ser provisionados com cuidado.
O Event Threat Detection é a origem dessa descoberta.
Como responder
O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.
Para responder a essa descoberta:
- Revise o contexto de segurança do contêiner na definição do pod. Identifique recursos que não são estritamente necessários para a função.
- Remova ou reduza recursos excessivos sempre que possível. Use o princípio de privilégio mínimo.
A seguir
- Saiba como usar descobertas de ameaças no Security Command Center.
- Consulte Índice de descobertas de ameaças.
- Aprenda a analisar uma descoberta no console do Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.