Defense Evasion: Deployment Workload Breakglass Diperbarui

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Breakglass Workload Deployment Updated dideteksi dengan memeriksa Cloud Audit Logs untuk melihat apakah ada update pada workload yang menggunakan flag breakglass untuk mengganti kontrol Otorisasi Biner.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Defense Evasion: Breakglass Workload Deployment Updated, seperti yang diarahkan dalam Meninjau temuan. Panel untuk detail temuan akan terbuka, menampilkan tab Ringkasan.

2. Di tab Summary, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan modifikasi.
     • Nama metode: metode yang dipanggil.
     • Pod Kubernetes: nama dan namespace pod.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: namespace GKE tempat pembaruan terjadi.
   • Link terkait:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

Langkah 2: Periksa log

1. Di tab Summary pada detail temuan di konsol Google Cloud , buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
2. Periksa nilai di kolom protoPayload.resourceName untuk mengidentifikasi permintaan penandatanganan sertifikat tertentu.

3. Periksa tindakan lain yang dilakukan oleh kepala sekolah menggunakan filter berikut:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ganti kode berikut:

   • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

   • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Defense Evasion: Breakglass Workload Deployment.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait pada tab Ringkasan di detail temuan.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.