In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.
Übersicht
Ein potenziell böswilliger Akteur hat mithilfe des Befehls kubectl
auth can-i get ermittelt, welche vertraulichen Objekte in GKE abgefragt werden können. Konkret hat der Akteur einen der folgenden Befehle ausgeführt:
kubectl auth can-i get '*'kubectl auth can-i get secretskubectl auth can-i get clusterroles/cluster-admin
So reagieren Sie
Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:
Schritt 1: Ergebnisdetails prüfen
- Öffnen Sie das Ergebnis
Discovery: Can get sensitive Kubernetes object check, wie unter Ergebnisse prüfen beschrieben. Notieren Sie sich in den Ergebnisdetails auf dem Tab Zusammenfassung die Werte der folgenden Felder:
- Unter Was wurde erkannt?:
- Kubernetes-Zugriffsüberprüfungen: Die angeforderten Informationen zur Zugriffsüberprüfung basierend auf der
SelfSubjectAccessReview-Kubernetes-Ressource. - Hauptkonto-E-Mail-Adresse: Das Konto, mit dem der Anruf getätigt wurde.
- Kubernetes-Zugriffsüberprüfungen: Die angeforderten Informationen zur Zugriffsüberprüfung basierend auf der
- Unter Betroffene Ressource:
- Anzeigename der Ressource: Der Kubernetes-Cluster, in dem die Aktion ausgeführt wurde.
- Unter Weitere Informationen:
- Cloud Logging-URI: Link zu Logging-Einträgen.
- Unter Was wurde erkannt?:
Schritt 2: Protokolle prüfen
- Klicken Sie im Bereich „Details zu Ergebnissen“ auf dem Tab „Zusammenfassung“ auf den Link Cloud Logging-URI, um den Log-Explorer zu öffnen.
Prüfen Sie auf der Seite, die geladen wird, mit den folgenden Filtern, ob das Hauptkonto weitere Aktionen ausgeführt hat:
resource.labels.cluster_name="CLUSTER_NAME"protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"Ersetzen Sie Folgendes:
CLUSTER_NAME: Der Wert, den Sie in den Funddetails im Feld Anzeigename der Ressource notiert haben.PRINCIPAL_EMAIL: Der Wert, den Sie in den Details des Ergebnisses im Feld E-Mail-Adresse des Hauptkontos notiert haben.
Schritt 3: Forschungsangriffe und Reaktionsmethoden
- Prüfen Sie die MITRE-ATT&CK-Framework-Einträge für diesen Ergebnistyp: Discovery.
- Prüfen Sie die Vertraulichkeit des abgefragten Objekts und stellen Sie fest, ob es weitere Anzeichen für schädliche Aktivitäten des Hauptkontos in den Logs gibt.
Wenn das Konto, das Sie in der Zeile E‑Mail-Adresse des Hauptkontos der Ergebnisdetails gefunden haben, kein Dienstkonto ist, wenden Sie sich an den Inhaber, um herauszufinden, ob der rechtmäßige Kontoinhaber die Aktion ausgeführt hat.
Wenn die E‑Mail-Adresse des Hauptkontos ein Dienstkonto ist (IAM oder Kubernetes), identifizieren Sie die Quelle der Zugriffsüberprüfung, um deren Rechtmäßigkeit zu ermitteln.
Wenn Sie einen Reaktionsplan entwickeln möchten, kombinieren Sie Ihre Untersuchungsergebnisse mit der MITRE-Forschung.
Nächste Schritte
- Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
- Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
- Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
- Dienste, die Bedrohungsbefunde generieren