Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.
Vista geral
Alguém implementou um pod com uma convenção de nomenclatura semelhante às ferramentas comuns usadas para escapes de contentores ou para executar outros ataques no cluster. Para mais detalhes, consulte a mensagem de registo deste alerta.
A Deteção de ameaças com base em eventos é a origem desta descoberta.
Como responder
O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.
Para responder a esta descoberta, faça o seguinte:
- Confirme que o Pod é legítimo.
- Determine se existem outros sinais de atividade maliciosa do pod ou do principal nos registos de auditoria no Cloud Logging.
- Se o principal não for uma conta de serviço (IAM ou Kubernetes), contacte o proprietário da conta para confirmar se o proprietário legítimo realizou a ação.
- Se o principal for uma conta de serviço (IAM ou Kubernetes), identifique a origem da ação para determinar a respetiva legitimidade.
- Se o Pod não for legítimo, remova-o, juntamente com todas as associações RBAC e contas de serviço associadas que a carga de trabalho usou e que permitiram a sua criação.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.