In diesem Dokument wird ein bestimmter Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.
Übersicht
Jemand hat die Befehle exec oder attach verwendet, um eine Shell zu erhalten oder einen Befehl in einem Container auszuführen, der im Namespace kube-system ausgeführt wird. Diese Methoden werden manchmal für legitime Debugging-Zwecke verwendet. Der kube-system
namespace ist jedoch für Systemobjekte vorgesehen, die von Kubernetes erstellt wurden. Unerwartete Befehlsausführungen oder Shell-Erstellungen sollten überprüft werden. Weitere Informationen finden Sie in der Log-Meldung für diese Benachrichtigung.
Die Quelle dieses Ergebnisses ist Event Threat Detection.
Maßnahmen
So reagieren Sie auf dieses Ergebnis:
- Überprüfen Sie die Audit-Logs in Cloud Logging, um festzustellen, ob dies eine vom Hauptkonto erwartete Aktivität war.
- Prüfen Sie, ob es weitere Anzeichen für schädliche Aktivitäten des Hauptkontos in den Logs gibt.
Lesen Sie die Anleitung zum Verwenden des Prinzips der geringsten Berechtigung für die RBAC-Rollen und Clusterrollen, die diesen Zugriff zugelassen haben.
Nächste Schritte
- Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
- Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
- Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
- Dienste, die Bedrohungsergebnisse generieren