En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.
Descripción general
Un agente potencialmente malicioso intentó determinar qué objetos sensibles en GKE puede consultar con el comando kubectl
auth can-i get. Específicamente, el actor ejecutó cualquiera de los siguientes comandos:
kubectl auth can-i get '*'kubectl auth can-i get secretskubectl auth can-i get clusterroles/cluster-admin
Cómo responder
Para responder a este hallazgo, haz lo siguiente:
Paso 1: Revisa los detalles del hallazgo
- Abre el hallazgo de
Discovery: Can get sensitive Kubernetes object checkcomo se indica en Revisa los hallazgos. En los detalles del hallazgo, en la pestaña Resumen, anota los valores de los siguientes campos:
- En Qué se detectó, haz lo siguiente:
- Revisiones de acceso a Kubernetes: Es la información solicitada de la revisión de acceso, según el recurso de
SelfSubjectAccessReviewk8s. - Correo electrónico principal: Es la cuenta que realizó la llamada.
- Revisiones de acceso a Kubernetes: Es la información solicitada de la revisión de acceso, según el recurso de
- En Recurso afectado, haz lo siguiente:
- Nombre visible del recurso: Es el clúster de Kubernetes en el que se produjo la acción.
- En Vínculos relacionados, haz lo siguiente:
- URI de Cloud Logging: Es el vínculo a las entradas de Logging.
- En Qué se detectó, haz lo siguiente:
Paso 2: Comprueba los registros
- En la pestaña Resumen del panel de detalles del hallazgo, haz clic en el vínculo URI de Cloud Logging para abrir el Explorador de registros.
En la página que se carga, verifica si la principal realizó otras acciones con los siguientes filtros:
resource.labels.cluster_name="CLUSTER_NAME"protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"Reemplaza lo siguiente:
CLUSTER_NAME: Es el valor que anotaste en el campo Nombre visible del recurso en los detalles del hallazgo.PRINCIPAL_EMAIL: El valor que anotaste en el campo Correo electrónico del principal en los detalles del hallazgo.
Paso 3: Investiga los métodos de ataque y respuesta
- Revisa las entradas del framework de MITRE ATT&CK para este tipo de resultado: Descubrimiento.
- Confirma la sensibilidad del objeto consultado y determina si hay otros signos de actividad maliciosa por parte de la principal en los registros.
Si la cuenta que anotaste en la fila Correo electrónico principal en los detalles del resultado no es una cuenta de servicio, comunícate con el propietario de la cuenta para confirmar si el propietario legítimo realizó la acción.
Si el correo electrónico principal es una cuenta de servicio (IAM o Kubernetes), identifica la fuente de la revisión de acceso para determinar su legitimidad.
Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación del MITRE.
¿Qué sigue?
- Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
- Consulta el Índice de resultados de amenazas.
- Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
- Obtén más información sobre los servicios que generan hallazgos de amenazas.