規避防禦機制：更新急用權限工作負載部署作業

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

檢查 Cloud 稽核記錄，確認是否有任何工作負載更新時使用急用權限旗標覆寫二進位授權控管機制，藉此偵測 Breakglass Workload Deployment Updated。

回應方式

如要回應這項發現，請按照下列步驟操作：

步驟 1：查看調查結果詳細資料

1. 按照「查看結果」一文的說明，開啟 Defense Evasion: Breakglass Workload Deployment Updated 發現項目。系統會開啟「發現項目詳細資料」面板，並顯示「摘要」分頁。

2. 在「摘要」分頁中，查看下列各節的資訊：

   • 偵測到的內容，特別是下列欄位：
     • 主體電子郵件地址：執行修改的帳戶。
     • 方法名稱：呼叫的方法。
     • Kubernetes Pod：Pod 名稱和命名空間。
   • 受影響的資源，尤其是下列欄位：
     • 資源顯示名稱：發生更新的 GKE 命名空間。
   • 相關連結：
     • Cloud Logging URI：記錄檔項目的連結。
     • MITRE ATT&CK 方法：連結至 MITRE ATT&CK 文件。
     • 相關發現項目：任何相關發現項目的連結。

步驟 2：檢查記錄

1. 在 Google Cloud 控制台的「發現項目詳細資料」分頁中，按一下「Cloud Logging URI」欄位中的連結，前往「記錄檔探索工具」。
2. 檢查 protoPayload.resourceName 欄位中的值，找出特定憑證簽署要求。

3. 使用下列篩選器，檢查主體執行的其他動作：

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     更改下列內容：

   • CLUSTER_NAME：您在調查結果詳細資料的「資源顯示名稱」欄位中記下的值。

   • PRINCIPAL_EMAIL：您在調查結果詳細資料的「主要電子郵件」欄位中記錄的值。

步驟 3：研究攻擊和回應方法

1. 查看這類發現項目的 MITRE ATT&CK 架構項目： 規避防禦措施：緊急情況工作負載部署。
2. 如要查看相關發現項目，請在發現項目詳細資料的「摘要」分頁中，點選「相關發現項目」列的「相關發現項目」連結。
3. 如要制定回應計畫，請將調查結果與 MITRE 研究結合。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。