Zugriff auf Anmeldedaten: Auf vertrauliche Dateien auf Knoten zugreifen
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.
Übersicht
Es wurde ein Programm ausgeführt, das auf /etc/shadow oder SSH authorized_keys zugegriffen hat. Angreifer können auf Autorisierungsdateien zugreifen, um Kennworthashes zu kopieren. Dies ist ein Detektor für die Dateiüberwachung und er hat spezifische GKE-Versionsanforderungen. Dieser Detektor ist standardmäßig deaktiviert. Eine Anleitung zum Aktivieren finden Sie unter Container Threat Detection testen.
Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:
Details zu Ergebnissen ansehen
Öffnen Sie das Ergebnis Credential Access: Access Sensitive Files On Nodes, wie unter Ergebnisse prüfen beschrieben.
Sehen Sie sich die Details auf den Tabs Zusammenfassung und JSON an.
Suchen Sie nach anderen Ergebnissen, die für diese Ressource zu einem ähnlichen Zeitpunkt aufgetreten sind.
Zugehörige Ergebnisse deuten möglicherweise darauf hin, dass diese Aktivität böswillig war und nicht auf einem Verstoß gegen Best Practices beruht.
Prüfen Sie die Einstellungen der betroffenen Ressource.
Prüfen Sie die Logs für die betroffene Ressource.
Angriffs- und Reaktionsmethoden untersuchen
Sehen Sie sich den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp an: Credential Access.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-10 (UTC)."],[],[],null,["| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers)\n\nThis document describes a threat finding type in Security Command Center. Threat findings are generated by\n[threat detectors](/security-command-center/docs/concepts-security-sources#threats) when they detect\na potential threat in your cloud resources. For a full list of available threat findings, see [Threat findings index](/security-command-center/docs/threat-findings-index).\n\nOverview\n\nA program was executed that accessed `/etc/shadow` or SSH `authorized_keys`. Attackers may access authorization files to copy password hashes. This is a file monitoring detector and has [specific GKE version requirements](/security-command-center/docs/how-to-use-container-threat-detection#gke-version). This detector is disabled by default. For instructions on how to enable it, see [Testing Container Threat Detection](/security-command-center/docs/how-to-test-container-threat-detection).\n\nDetection service\n\n[Container Threat Detection](/security-command-center/docs/concepts-container-threat-detection-overview)\n\nHow to respond\n\nTo respond to this finding, do the following:\n\nReview finding details\n\n1. Open the `Credential Access: Access Sensitive Files On Nodes` finding as directed in\n [Reviewing findings](/security-command-center/docs/how-to-investigate-threats#reviewing_findings).\n Review the details in the **Summary** and **JSON** tabs.\n\n2. Identify other findings that occurred at a similar time for this resource.\n Related findings might indicate that this activity was malicious, instead of\n a failure to follow best practices.\n\n3. Review the settings of the affected resource.\n\n4. Check the logs for the affected resource.\n\nResearch attack and response methods\n\nReview the MITRE ATT\\&CK framework entry for this finding type:\n[Credential Access](https://attack.mitre.org/tactics/TA0006/).\n\nWhat's next\n\n- Learn [how to work with threat\n findings in Security Command Center](/security-command-center/docs/how-to-investigate-threats).\n- Refer to the [Threat findings index](/security-command-center/docs/threat-findings-index).\n- Learn how to [review a\n finding](/security-command-center/docs/how-to-investigate-threats#reviewing_findings) through the Google Cloud console.\n- Learn about the [services that\n generate threat findings](/security-command-center/docs/concepts-security-sources#threats)."]]
