Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.
Visão geral
Alguém usou os comandos exec ou attach para receber um shell ou executar um comando
em um contêiner em execução no namespace kube-system. Esses métodos às vezes são usados para fins legítimos de depuração. No entanto, o kube-system
namespace é destinado a objetos do sistema criados pelo Kubernetes, e a execução de comandos ou a criação de shells inesperadas precisa ser analisada. Para mais detalhes, consulte a mensagem de registro desse alerta.
O Event Threat Detection é a origem dessa descoberta.
Como responder
Para responder a essa descoberta:
- Analise os registros de auditoria no Cloud Logging para determinar se essa era a atividade esperada pelo principal.
- Determine se há outros sinais de atividade maliciosa pelo principal nos registros.
Consulte as orientações sobre o uso do princípio de privilégio mínimo para os papéis do controle de acesso baseado em função (RBAC) e do cluster que permitiram esse acesso.
A seguir
- Saiba como usar descobertas de ameaças no Security Command Center.
- Consulte Índice de descobertas de ameaças.
- Aprenda a analisar uma descoberta no console do Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.