En este documento, se describe un tipo de hallazgo de amenazas en Security Command Center. Los detectores de amenazas generan hallazgos de amenazas cuando identifican una posible amenaza en tus recursos de Cloud. Para obtener una lista completa de los hallazgos de amenazas disponibles, consulta el Índice de hallazgos de amenazas.
Descripción general
Alguien borró de forma manual una solicitud de firma de certificado (CSR). Las CSR se quitan automáticamente con un controlador de recolección de elementos no utilizados, pero los agentes maliciosos podrían borrarlos de forma manual para evadir la detección. Si la CSR borrada era para un certificado aprobado y emitido, el posible agente malicioso ahora tiene un método de autenticación adicional para acceder al clúster. Los permisos asociados con el certificado varían según el sujeto que incluyan, pero pueden ser altamente privilegiados. Kubernetes no admite la revocación de certificados. Para obtener más detalles, consulta el mensaje de registro de esta alerta.
Event Threat Detection es la fuente de este hallazgo.
Cómo responder
El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los hallazgos.
Para responder a este hallazgo, haz lo siguiente:
- Revisa los registros de auditoría en Cloud Logging y las alertas adicionales para otros
eventos relacionados con esta CSR con el propósito de determinar si era
approvedy si su creación era una actividad esperada por parte de la principal. - Determina si hay otros indicios de actividad maliciosa por parte de la
principal en los registros de auditoría de Cloud Logging. Por ejemplo:
- ¿La principal que borró la CSR era diferente de la que la creó o aprobó?
- ¿La principal intentó solicitar, crear, aprobar o borrar otras CSRs?
- Si no se esperaba una aprobación de CSR o se determina que es maliciosa, el clúster requerirá una rotación de credenciales para invalidar el certificado. Revisa la información para realizar una rotación de las credenciales del clúster.
¿Qué sigue?
- Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
- Consulta el Índice de hallazgos de amenazas.
- Obtén información para revisar un hallazgo con la consola de Google Cloud .
- Obtén más información sobre los servicios que generan hallazgos de amenazas.