Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.
Vista geral
Alguém criou um objeto RBAC ClusterRole que contém os verbos bind, escalate ou impersonate. Um assunto associado a uma função com estes verbos pode
roubar a identidade de outros utilizadores com privilégios superiores, associar-se a objetos Role
ou ClusterRole adicionais que contenham autorizações adicionais ou modificar as suas próprias
autorizações ClusterRole. Isto pode levar a que esses sujeitos obtenham cluster-admin privilégios. Para mais detalhes, consulte a mensagem de registo deste alerta.
A Deteção de ameaças com base em eventos é a origem desta descoberta.
Como responder
Para responder a esta descoberta, faça o seguinte:
- Reveja o
ClusterRolee oClusterRoleBindingsassociado para verificar se os assuntos requerem realmente estas autorizações. - Se possível, evite criar funções que envolvam os verbos
bind,escalateouimpersonate. - Determine se existem outros sinais de atividade maliciosa por parte do principal nos registos de auditoria no Cloud Logging.
- Quando atribuir autorizações numa função RBAC, use o princípio do menor privilégio e conceda as autorizações mínimas necessárias para realizar uma tarefa. A utilização do princípio do menor privilégio reduz o potencial de escalada de privilégios se o cluster for comprometido e reduz a probabilidade de o acesso excessivo resultar num incidente de segurança.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.