Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.
Vista geral
Alguém implementou uma carga de trabalho com a opção shareProcessNamespace definida como true, o que permite que todos os contentores partilhem o mesmo espaço de nomes de processos do Linux. Isto
pode permitir que um contentor não fidedigno ou comprometido aumente os privilégios através do
acesso e controlo de variáveis de ambiente, memória e outros dados confidenciais
de processos em execução noutros contentores. Algumas cargas de trabalho podem exigir esta funcionalidade para funcionar por motivos legítimos, como contentores auxiliares de processamento de registos ou contentores de depuração. Para mais detalhes, consulte a mensagem de registo deste alerta.
A Deteção de ameaças com base em eventos é a origem desta descoberta.
Como responder
Para responder a esta descoberta, faça o seguinte:
- Confirme se a carga de trabalho requer realmente acesso a um espaço de nomes de processos partilhado para todos os contentores na carga de trabalho.
- Verifique se existem outros sinais de atividade maliciosa por parte do principal nos registos de auditoria no Cloud Logging.
- Se o principal não for uma conta de serviço (IAM ou Kubernetes), contacte o proprietário da conta para confirmar se realizou a ação.
- Se o principal for uma conta de serviço (IAM ou Kubernetes), identifique a legitimidade do que fez com que a conta de serviço executasse esta ação.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.