Ce document fournit des conseils informels sur la façon de réagir aux activités suspectes détectées dans vos ressources Google Kubernetes Engine. Les procédures recommandées peuvent ne pas convenir pour tous les résultats et peuvent avoir un impact sur vos opérations. Avant d'agir, vous devez examiner les résultats, évaluer les informations que vous avez recueillies et décider de votre plan d'action.
L'efficacité des techniques décrites dans ce document contre les menaces passées, actuelles ou futures n'est pas garantie. Pour savoir pourquoi Security Command Center ne fournit pas de conseils officiels pour l'éradication des menaces, consultez Corriger les menaces.
Avant de commencer
- Examinez le problème. Examinez la ressource Google Kubernetes Engine concernée, l'adresse e-mail du compte principal détecté et l'adresse IP de l'appelant (le cas échéant). Examinez également le résultat pour identifier les indicateurs de compromission (adresse IP, domaine, hachage de fichier ou signature).
- Pour en savoir plus sur le résultat que vous examinez, recherchez-le dans l'index des menaces constatées.
Recommandations générales
- Contactez le propriétaire du projet contenant la ressource potentiellement compromise.
- Déterminez s'il existe d'autres signes d'activité malveillante liés à la ressource GKE concernée dans les journaux d'audit de Cloud Logging.
- Arrêtez ou supprimez la ressource GKE compromise et remplacez-la par une nouvelle.
- Déterminez s'il existe d'autres signes d'activité malveillante de la part du compte principal dans les journaux d'audit de Cloud Logging.
- Si le compte principal est un compte de service (IAM ou Kubernetes), identifiez la source de la modification pour déterminer sa légitimité.
- Si le compte principal à l'origine de l'action n'est pas un compte de service, contactez le propriétaire du compte pour confirmer qu'il est bien à l'origine de l'action.
- Consultez les conseils sur l'utilisation du principe du moindre privilège pour les rôles RBAC et les rôles de cluster.
Tenez également compte des recommandations des sections suivantes.
Fichier binaire ou bibliothèque ajoutés
Si le fichier binaire, le script ou la bibliothèque ajoutés étaient censés être inclus dans le conteneur, recréez l'image de conteneur en incluant le fichier binaire, le script ou la bibliothèque. Pour en savoir plus sur les images de conteneurs immuables, consultez Images de conteneurs dans la documentation Kubernetes.
Menaces liées aux demandes de signature de certificat (CSR) Kubernetes
- Examinez les journaux d'audit dans Cloud Logging et les alertes supplémentaires pour rechercher d'autres événements liés aux CSR. Déterminez si la CSR a été approuvée et satisfaite, et si les actions liées à la CSR sont attendues de la part du compte principal.
- Si l'approbation d'une requête de signature de certificat n'était pas attendue ou si celle-ci est considérée comme malveillante, une rotation des identifiants du cluster est nécessaire pour invalider le certificat. Consultez les instructions pour effectuer une rotation des identifiants de cluster.
Menaces constatées pour les pods
- Examinez le fichier manifeste du pod et sa finalité. Vérifiez que le pod est légitime et nécessaire.
- Si le pod n'est pas légitime, supprimez-le, ainsi que toutes les liaisons RBAC et comptes de service associés utilisés par la charge de travail.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
- Consultez l'index des résultats de détection de menace.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.