Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.
Vista geral
Um ator potencialmente malicioso usou um dos seguintes utilizadores ou grupos de utilizadores predefinidos do Kubernetes para modificar um recurso do Kubernetes no cluster:
system:anonymoussystem:authenticatedsystem:unauthenticated
Estes utilizadores e grupos são efetivamente anónimos. Uma associação de controlo de acesso baseado em funções (RBAC) no seu cluster concedeu ao utilizador autorização para modificar esses recursos no cluster.
A Deteção de ameaças com base em eventos é a origem desta descoberta.
Como responder
O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.
Para responder a esta descoberta, faça o seguinte:
- Reveja o recurso modificado e a associação RBAC associada para garantir que a associação é necessária. Se a associação não for necessária, remova-a. Para mais detalhes, consulte a mensagem de registo para esta descoberta.
- Para saber como resolver esta descoberta, consulte o artigo Evite funções e grupos predefinidos.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.