En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.
Información general
Un agente potencialmente malicioso ha intentado determinar qué objetos sensibles de GKE puede consultar mediante el comando kubectl
auth can-i get. En concreto, el actor ha ejecutado alguno de los siguientes comandos:
kubectl auth can-i get '*'kubectl auth can-i get secretskubectl auth can-i get clusterroles/cluster-admin
Cómo responder
Para responder a esta observación, sigue estos pasos:
Paso 1: Revisa los detalles de la detección
- Abre el
Discovery: Can get sensitive Kubernetes object checkcomo se indica en Revisar los resultados. En los detalles de la detección, en la pestaña Resumen, anota los valores de los siguientes campos:
- En Qué se detectó:
- Revisiones de acceso de Kubernetes: información de la revisión de acceso solicitada,
basada en el recurso de
SelfSubjectAccessReviewde Kubernetes. - Correo principal: la cuenta que ha hecho la llamada.
- Revisiones de acceso de Kubernetes: información de la revisión de acceso solicitada,
basada en el recurso de
- En Recurso afectado:
- Nombre visible del recurso: el clúster de Kubernetes en el que se ha producido la acción.
- En Enlaces relacionados:
- URI de Cloud Logging: enlace a las entradas de registro.
- En Qué se detectó:
Paso 2: Consulta los registros
- En la pestaña Resumen del panel de detalles de la detección, haga clic en el enlace URI de Cloud Logging para abrir Explorador de registros.
En la página que se carga, comprueba si la cuenta principal ha realizado otras acciones con los siguientes filtros:
resource.labels.cluster_name="CLUSTER_NAME"protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"Haz los cambios siguientes:
CLUSTER_NAME: el valor que has anotado en el campo Nombre visible de recurso de los detalles de la detección.PRINCIPAL_EMAIL: el valor que has anotado en el campo Correo principal de los detalles de la detección.
Paso 3: Investiga los métodos de ataque y respuesta
- Revisa las entradas del framework ATT&CK de MITRE de este tipo de resultado: Descubrimiento
- Confirma la confidencialidad del objeto consultado y determina si hay otros signos de actividad maliciosa por parte de la entidad de seguridad en los registros.
Si la cuenta que has indicado en la fila Correo principal de la sección Búsqueda de detalles no es una cuenta de servicio, ponte en contacto con el propietario de la cuenta para confirmar si el propietario legítimo ha llevado a cabo la acción.
Si el correo principal es una cuenta de servicio (de gestión de identidades y accesos o de Kubernetes), identifica la fuente de la revisión de acceso para determinar su legitimidad.
Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.
Siguientes pasos
- Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
- Consulta el índice de hallazgos de amenazas.
- Consulta cómo revisar un resultado a través de la consola Google Cloud .
- Consulta información sobre los servicios que generan detecciones de amenazas.