Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.
Présentation
Une personne potentiellement malveillante a tenté d'identifier les objets sensibles dans GKE sur lesquels il peut effectuer des requêtes, à l'aide de la commande kubectl
auth can-i get. Plus précisément, l'acteur a exécuté l'une des commandes suivantes :
kubectl auth can-i get '*'kubectl auth can-i get secretskubectl auth can-i get clusterroles/cluster-admin
Comment répondre
Pour répondre à ce résultat, procédez comme suit :
Étape 1 : Examiner les détails du résultat
- Ouvrez le résultat
Discovery: Can get sensitive Kubernetes object checkcomme indiqué dans Examiner les résultats. Dans les détails du résultat, dans l'onglet Récapitulatif, notez les valeurs des champs suivants :
- Sous Éléments détectés :
- Examens d'accès Kubernetes : informations demandées sur l'examen d'accès, basées sur la ressource k8s
SelfSubjectAccessReview. - Adresse e-mail principale : compte à l'origine de l'appel.
- Examens d'accès Kubernetes : informations demandées sur l'examen d'accès, basées sur la ressource k8s
- Sous Ressource concernée :
- Nom à afficher de la ressource : cluster Kubernetes dans lequel l'action s'est produite.
- Sous Liens associés :
- URI Cloud Logging : lien vers les entrées de journalisation.
- Sous Éléments détectés :
Étape 2 : Vérifier les journaux
- Dans l'onglet Récapitulatif du panneau "Détails du résultat", cliquez sur le lien URI Cloud Logging pour ouvrir l'explorateur de journaux.
Sur la page qui s'affiche, recherchez d'autres actions effectuées par le compte principal à l'aide des filtres suivants :
resource.labels.cluster_name="CLUSTER_NAME"protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"Remplacez les éléments suivants :
CLUSTER_NAME: valeur que vous avez notée dans le champ Nom à afficher de la ressource des détails du résultat.PRINCIPAL_EMAIL: valeur que vous avez notée dans le champ Adresse e-mail du compte principal des détails du problème.
Étape 3 : Rechercher des méthodes d'attaque et de réponse
- Examinez les entrées du framework MITRE ATT&CK pour ce type de résultat : Découverte.
- Vérifiez le degré de sensibilité de l'objet interrogé et déterminez s'il existe d'autres signes d'activité malveillante de la part du compte principal dans les journaux.
Si le compte que vous avez noté dans la ligne Adresse e-mail du compte principal des détails du résultat n'est pas un compte de service, contactez le propriétaire du compte pour confirmer que ce propriétaire légitime est bien à l'origine de l'action.
Si l'adresse e-mail du compte principal est un compte de service (IAM ou Kubernetes), identifiez la source de l'examen d'accès pour déterminer sa légitimité.
Pour élaborer un plan d'intervention, combinez vos résultats d'enquête avec les recherches MITRE.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
- Consultez l'index des résultats de menace.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- En savoir plus sur les services qui génèrent des résultats de détection des menaces