Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.
Vista geral
Alguém usou os comandos exec ou attach para obter um shell ou executar um comando
num contentor em execução no espaço de nomes kube-system. Estes métodos são, por vezes, usados para fins de depuração legítimos. No entanto, o kube-system
namespace destina-se a objetos do sistema criados pelo Kubernetes, e a execução de comandos inesperada ou a criação de shell devem ser revistas. Para mais detalhes, consulte a mensagem de registo deste alerta.
A Deteção de ameaças com base em eventos é a origem desta descoberta.
Como responder
Para responder a esta descoberta, faça o seguinte:
- Reveja os registos de auditoria no Cloud Logging para determinar se esta foi uma atividade esperada pelo principal.
- Determine se existem outros sinais de atividade maliciosa por parte do principal nos registos.
Reveja as orientações para usar o princípio do menor privilégio para as funções CABF e as funções de cluster que permitiram este acesso.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.