Auf GKE-Bedrohungsergebnisse reagieren

Dieses Dokument enthält informelle Anleitungen dazu, wie Sie auf verdächtige Aktivitäten in Ihren Google Kubernetes Engine-Ressourcen reagieren können. Die empfohlenen Schritte sind möglicherweise nicht für alle Ergebnisse geeignet und können sich auf Ihre Abläufe auswirken. Bevor Sie Maßnahmen ergreifen, sollten Sie die Ergebnisse untersuchen, die erhobenen Informationen bewerten und entscheiden, wie Sie reagieren möchten.

Die Techniken in diesem Dokument sind nicht zwangsläufig gegen frühere, aktuelle oder zukünftige Bedrohungen wirksam. Unter Bedrohungen beheben erfahren Sie, warum Security Command Center keine offizielle Korrekturmaßnahme für Bedrohungen bietet.

Hinweis

1. Ergebnis überprüfen Prüfen Sie die betroffene Google Kubernetes Engine-Ressource, die erkannte E‑Mail-Adresse des Hauptkontos und die IP-Adresse des Aufrufers (falls vorhanden). Prüfen Sie die Ergebnisse auch auf Kompromittierungsindikatoren (IP-Adresse, Domain, Datei-Hash oder Signatur).
2. Wenn Sie mehr über das Ergebnis erfahren möchten, das Sie untersuchen, sehen Sie im Index der Bedrohungsergebnisse nach.

Allgemeine Empfehlungen

• Wenden Sie sich an den Inhaber des Projekts, das die potenziell manipulierte Ressource enthält.
• Prüfen Sie, ob die Audit-Logs in Cloud Logging weitere Anzeichen für schädliche Aktivitäten im Zusammenhang mit der betroffenen GKE-Ressource enthalten.
• Beenden oder löschen Sie die manipulierte GKE-Ressource und ersetzen Sie sie durch eine neue.
• Prüfen Sie, ob die Audit-Logs in Cloud Logging weitere Anzeichen für schädliche Aktivitäten des Hauptkontos enthalten.
• Wenn das Hauptkonto ein Dienstkonto ist (IAM oder Kubernetes), identifizieren Sie die Quelle der Änderung, um deren Rechtmäßigkeit zu bestimmen.
• Wenn das Hauptkonto, das die Aktion ausgeführt hat, kein Dienstkonto ist, wenden Sie sich an den Kontoiinhaber, um herauszufinden, ob der rechtmäßige Kontoinhaber die Aktion ausgeführt hat.
• Lesen Sie die Anleitung zum Prinzip der geringsten Berechtigung für die RBAC-Rollen und Clusterrollen.

Beachten Sie außerdem die Empfehlungen in den folgenden Abschnitten.

Binärprogramm oder Bibliothek hinzugefügt

Wenn das hinzugefügte Binärprogramm, das Script oder die Bibliothek im Container enthalten sein sollte, erstellen Sie das Container-Image mit dem Binärprogramm, dem Script oder der Bibliothek neu. Informationen zu unveränderlichen Container-Images finden Sie in der Kubernetes-Dokumentation unter Container-Images.

Bedrohungen im Zusammenhang mit Anfragen zur Kubernetes-Zertifikatssignierung (Certificate Signing Requests, CSR)

• Sehen Sie sich die Audit-Logs in Cloud Logging und zusätzliche Benachrichtigungen auf andere CSR-bezogene Ereignisse an. Prüfen Sie, ob die CSR genehmigt und ausgestellt wurde und ob die CSR-bezogenen Aktionen vom Hauptkonto erwartet werden.
• Wenn eine CSR-Genehmigung nicht erwartet wurde oder als schädlich eingestuft wird, ist für den Cluster eine Rotation von Anmeldedaten erforderlich, um das Zertifikat ungültig zu machen. Lesen Sie die Anleitung zum Rotieren der Clusteranmeldedaten.

Gefundene Bedrohungen für Pods

• Sehen Sie sich die Manifestdatei des Pods und seinen Zweck an. Prüfen Sie, ob der Pod rechtmäßig und erforderlich ist.
• Wenn der Pod nicht rechtmäßig ist, entfernen Sie ihn zusammen mit allen zugehörigen RBAC-Bindungen und Dienstkonten, die von der Arbeitslast verwendet wurden.

Weitere Informationen

• Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsergebnisse generieren