Élévation des privilèges : noms de conteneurs Kubernetes suspects - Exploitation et fuite

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.

Présentation

Une personne a déployé un pod avec une convention d'attribution de noms semblable à celle des outils courants utilisés pour les échappements de conteneurs ou pour exécuter d'autres attaques sur le cluster. Pour en savoir plus, consultez le message du journal associé à cette alerte.

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par les résultats.

Pour traiter ce résultat, procédez comme suit :

  1. Vérifiez que le pod est légitime.
  2. Déterminez s'il existe d'autres signes d'activité malveillante de la part du pod ou du compte principal dans les journaux d'audit de Cloud Logging.
  3. Si le compte principal n'est pas un compte de service (IAM ou Kubernetes), contactez le propriétaire du compte pour confirmer que ce propriétaire légitime est bien à l'origine de l'action.
  4. Si le compte principal est un compte de service (IAM ou Kubernetes), identifiez la source de l'action pour déterminer sa légitimité.
  5. Si le pod n'est pas légitime, supprimez-le, ainsi que toutes les liaisons RBAC et comptes de service associés utilisés par la charge de travail qui ont permis sa création.

Étapes suivantes