Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.
Visão geral
Alguém criou uma ClusterRoleBinding do RBAC que faz referência à ClusterRole system:controller:clusterrole-aggregation-controller padrão. Esse
ClusterRole padrão tem o verbo escalate, que permite aos sujeitos modificar
os privilégios das próprias funções, o que permite o escalonamento de privilégios. Para mais detalhes, consulte a mensagem de registro desse alerta.
A Detecção de ameaças a eventos é a origem dessa descoberta.
Como responder
Para responder a essa descoberta, faça o seguinte:
- Revise qualquer
ClusterRoleBindingque faça referência aosystem:controller:clusterrole-aggregation-controllerClusterRole. - Analise as modificações no
system:controller:clusterrole-aggregation-controllerClusterRole. - Determine se há outros sinais de atividade maliciosa do
principal que criou o
ClusterRoleBindingnos registros de auditoria no Cloud Logging.
A seguir
- Saiba como trabalhar com descobertas de ameaças no Security Command Center.
- Consulte o índice de descobertas de ameaças.
- Saiba como analisar uma descoberta no console Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.