In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.
Übersicht
Jemand hat eine RBAC-ClusterRoleBinding erstellt, die auf die Standard-system:controller:clusterrole-aggregation-controller ClusterRole verweist. Diese Standardrolle ClusterRole hat das Verb escalate, mit dem Subjekte die Berechtigungen ihrer eigenen Rollen ändern können, was zu einer Rechteausweitung führen kann. Weitere Informationen finden Sie in der Log-Meldung für diese Benachrichtigung.
Event Threat Detection ist die Quelle dieses Ergebnisses.
So reagieren Sie
Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:
- Sehen Sie sich alle
ClusterRoleBindingan, in denen aufsystem:controller:clusterrole-aggregation-controllerClusterRoleverwiesen wird. - Prüfen Sie alle Änderungen an der
system:controller:clusterrole-aggregation-controllerClusterRole. - Stellen Sie fest, ob die Audit-Logs in Cloud Logging weitere Anzeichen für schädliche Aktivitäten des Hauptkontos enthalten, das das Objekt vom Typ
ClusterRoleBindingerstellt hat.
Nächste Schritte
- Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
- Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
- Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
- Dienste, die Bedrohungsbefunde generieren