Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.
Visão geral
Alguém criou um objeto ClusterRole do RBAC que contém os verbos bind, escalate ou
impersonate. Um sujeito vinculado a uma função com esses verbos pode
se passar por outros usuários com privilégios mais altos, se vincular a outros objetos Role
ou ClusterRole que contêm permissões adicionais ou modificar as próprias
permissões de ClusterRole. Isso pode fazer com que esses indivíduos recebam privilégios de
cluster-admin. Para mais detalhes, consulte a mensagem de registro desse alerta.
O Event Threat Detection é a origem dessa descoberta.
Como responder
Para responder a essa descoberta:
- Revise o
ClusterRolee oClusterRoleBindingsassociado para verificar se os sujeitos realmente precisam dessas permissões. - Se possível, evite criar papéis com os verbos
bind,escalateouimpersonate. - Determine se há outros sinais de atividade maliciosa do principal nos registros de auditoria no Cloud Logging.
- Ao atribuir permissões em um papel do controle de acesso baseado em função (RBAC), use o princípio de privilégio mínimo e conceda o mínimo de permissões necessárias para executar uma tarefa. O uso do princípio de privilégio mínimo reduz o potencial de escalonamento de privilégios se o cluster estiver comprometido, além de reduzir a probabilidade de que o acesso excessivo resulte em um incidente de segurança.
A seguir
- Saiba como usar descobertas de ameaças no Security Command Center.
- Consulte Índice de descobertas de ameaças.
- Aprenda a analisar uma descoberta no console do Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.