Contournement des défenses : déploiement de la charge de travail en mode "bris de glace" créé

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Breakglass Workload Deployment Created est détecté en examinant Cloud Audit Logs pour voir s'il existe des déploiements de charges de travail qui utilisent l'option "break-glass" pour ignorer les contrôles de l'autorisation binaire.

Event Threat Detection est la source de ce résultat.

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

1. Ouvrez le résultat Defense Evasion: Breakglass Workload Deployment Created, comme indiqué dans Examiner les résultats. Le panneau des détails du résultat s'ouvre et affiche l'onglet Résumé.

2. Dans l'onglet Récapitulatif, examinez les informations des sections suivantes :

   • Ce qui a été détecté, en particulier les champs suivants :
     • Adresse e-mail principale : compte ayant effectué la modification.
     • Nom de la méthode : méthode qui a été appelée.
     • Pods Kubernetes : nom et espace de noms du pod.
   • Ressource concernée, en particulier le champ suivant :
     • Nom à afficher de la ressource : espace de noms GKE dans lequel le déploiement a eu lieu.
   • Liens associés :
     • URI Cloud Logging : lien vers les entrées de journalisation.
     • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
     • Résultats associés : liens vers les résultats associés.

Étape 2 : Vérifier les journaux

1. Dans l'onglet Résumé des détails du résultat dans la console Google Cloud , accédez à l'explorateur de journaux en cliquant sur le lien dans le champ URI Cloud Logging.
2. Vérifiez la valeur du champ protoPayload.resourceName pour identifier la demande de signature de certificat spécifique.

3. Recherchez d'autres actions effectuées par le principal à l'aide des filtres suivants :

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Remplacez les éléments suivants :

   • CLUSTER_NAME : valeur que vous avez notée dans le champ Nom à afficher de la ressource des détails du résultat.

   • PRINCIPAL_EMAIL : valeur que vous avez notée dans le champ Adresse e-mail du compte principal des détails du problème.

Étape 3 : Rechercher des méthodes d'attaque et de réponse

1. Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Defense Evasion : Breakglass Workload Deployment.
2. Consultez les résultats associés en cliquant sur le lien Résultats associés dans la ligne Résultats associés de l'onglet Récapitulatif des détails du résultat.
3. Pour élaborer un plan d'intervention, combinez vos résultats d'enquête avec les recherches MITRE.

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
• Consultez l'index des résultats sur les menaces.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• En savoir plus sur les services qui génèrent des résultats de détection des menaces