Accesso con credenziali: accedi ai file sensibili sui nodi
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai
rilevatori di minacce quando rilevano
una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.
Panoramica
È stato eseguito un programma che ha eseguito l'accesso a /etc/shadow o SSH authorized_keys. Gli autori degli attacchi potrebbero accedere ai file di autorizzazione per copiare gli hash delle password. Si tratta di un rilevatore di monitoraggio dei file e ha requisiti specifici per la versione di GKE. Questo rilevatore è disattivato per impostazione predefinita. Per istruzioni su come attivarlo, vedi Testare Container Threat Detection.
Apri il risultato Credential Access: Access Sensitive Files On Nodes come indicato in
Revisione dei risultati.
Controlla i dettagli nelle schede Riepilogo e JSON.
Identifica altri risultati che si sono verificati in un periodo simile per questa risorsa.
I risultati correlati potrebbero indicare che questa attività era dannosa, anziché
un mancato rispetto delle best practice.
Rivedi le impostazioni della risorsa interessata.
Controlla i log della risorsa interessata.
Ricercare metodi di attacco e risposta
Consulta la voce del framework MITRE ATT&CK per questo tipo di risultato:
Accesso alle credenziali.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-10 UTC."],[],[],null,["| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers)\n\nThis document describes a threat finding type in Security Command Center. Threat findings are generated by\n[threat detectors](/security-command-center/docs/concepts-security-sources#threats) when they detect\na potential threat in your cloud resources. For a full list of available threat findings, see [Threat findings index](/security-command-center/docs/threat-findings-index).\n\nOverview\n\nA program was executed that accessed `/etc/shadow` or SSH `authorized_keys`. Attackers may access authorization files to copy password hashes. This is a file monitoring detector and has [specific GKE version requirements](/security-command-center/docs/how-to-use-container-threat-detection#gke-version). This detector is disabled by default. For instructions on how to enable it, see [Testing Container Threat Detection](/security-command-center/docs/how-to-test-container-threat-detection).\n\nDetection service\n\n[Container Threat Detection](/security-command-center/docs/concepts-container-threat-detection-overview)\n\nHow to respond\n\nTo respond to this finding, do the following:\n\nReview finding details\n\n1. Open the `Credential Access: Access Sensitive Files On Nodes` finding as directed in\n [Reviewing findings](/security-command-center/docs/how-to-investigate-threats#reviewing_findings).\n Review the details in the **Summary** and **JSON** tabs.\n\n2. Identify other findings that occurred at a similar time for this resource.\n Related findings might indicate that this activity was malicious, instead of\n a failure to follow best practices.\n\n3. Review the settings of the affected resource.\n\n4. Check the logs for the affected resource.\n\nResearch attack and response methods\n\nReview the MITRE ATT\\&CK framework entry for this finding type:\n[Credential Access](https://attack.mitre.org/tactics/TA0006/).\n\nWhat's next\n\n- Learn [how to work with threat\n findings in Security Command Center](/security-command-center/docs/how-to-investigate-threats).\n- Refer to the [Threat findings index](/security-command-center/docs/threat-findings-index).\n- Learn how to [review a\n finding](/security-command-center/docs/how-to-investigate-threats#reviewing_findings) through the Google Cloud console.\n- Learn about the [services that\n generate threat findings](/security-command-center/docs/concepts-security-sources#threats)."]]
