Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.
Vista geral
Alguém criou um pod estático no seu cluster do GKE. Os pods estáticos são executados diretamente no nó e ignoram o servidor da API Kubernetes, o que os torna mais difíceis de monitorizar e controlar. Isto pode ser usado por atacantes para evitar a deteção ou manter a persistência.
A Deteção de ameaças com base em eventos é a origem desta descoberta.
Como responder
Para responder a esta descoberta, faça o seguinte:
- Reveja o ficheiro de manifesto do pod estático e a respetiva finalidade. Confirme que é legítimo e necessário.
- Avalie se a funcionalidade do pod estático pode ser alcançada através de um pod normal gerido pelo servidor da API Kubernetes.
- Se o pod estático for necessário, certifique-se de que segue as práticas recomendadas de segurança e tem privilégios mínimos.
- Monitorize a atividade do pod estático e o respetivo impacto no cluster.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.