Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.
Vista geral
Alguém criou um RBAC ClusterRoleBinding que faz referência ao system:controller:clusterrole-aggregation-controller ClusterRole predefinido. Esta ClusterRole predefinição tem o verbo escalate, que permite que os sujeitos modifiquem os privilégios das suas próprias funções, o que permite o escalamento de privilégios. Para mais
detalhes, consulte a mensagem de registo deste alerta.
A Deteção de ameaças com base em eventos é a origem desta descoberta.
Como responder
Para responder a esta descoberta, faça o seguinte:
- Reveja todos os
ClusterRoleBindingque façam referência aosystem:controller:clusterrole-aggregation-controllerClusterRole. - Reveja as modificações feitas ao
system:controller:clusterrole-aggregation-controllerClusterRole. - Determine se existem outros sinais de atividade maliciosa por parte do principal que criou o
ClusterRoleBindingnos registos de auditoria no Cloud Logging.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.