In diesem Dokument wird ein bestimmter Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.
Übersicht
Ein potenziell böswilliger Akteur hat einen der folgenden Kubernetes-Standardnutzer oder eine der folgenden Standardnutzergruppen verwendet, um eine Kubernetes-Ressource im Cluster zu ändern:
system:anonymoussystem:authenticatedsystem:unauthenticated
Diese Nutzer und Gruppen sind effektiv anonym. Eine RBAC-Bindung (Role-Based Access Control) in Ihrem Cluster hat diesem Nutzer die Berechtigung zum Ändern dieser Ressourcen im Cluster gewährt.
Die Quelle dieses Ergebnisses ist Event Threat Detection.
Maßnahmen
Der folgende Reaktionplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Abläufe auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Behebung der Ergebnisse zu finden.
So reagieren Sie auf dieses Ergebnis:
- Prüfen Sie die geänderte Ressource und die zugehörige RBAC-Bindung, um sicherzustellen, dass die Bindung erforderlich ist. Wenn die Bindung nicht erforderlich ist, entfernen Sie sie. Weitere Informationen finden Sie in der Log-Meldung für dieses Ergebnis.
- Weitere Informationen dazu, wie Sie dieses Problem beheben können, finden Sie unter Standardrollen und -gruppen vermeiden.
Nächste Schritte
- Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
- Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
- Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
- Dienste, die Bedrohungsergebnisse generieren