Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.
Vista geral
Foi detetada uma configuração de webhook no seu cluster do GKE. Os webhooks podem intercetar e modificar pedidos da API Kubernetes, o que permite potencialmente que os atacantes persistam no seu cluster ou manipulem recursos.
A Deteção de ameaças com base em eventos é a origem desta descoberta.
Como responder
O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.
Para responder a esta descoberta, faça o seguinte:
- Identifique a finalidade e a origem da configuração do webhook. Verifique se é proveniente de uma fonte fidedigna e se serve um propósito legítimo.
- Reveja a configuração do webhook para compreender o respetivo âmbito e os tipos de pedidos que interceta.
- Monitorize a atividade do webhook para detetar ações suspeitas ou não autorizadas.
- Se o webhook não for necessário ou o respetivo comportamento for preocupante, considere removê-lo ou desativá-lo.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.