Penemuan: Dapat mendapatkan pemeriksaan objek Kubernetes sensitif

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Pihak yang berpotensi jahat mencoba menentukan objek sensitif apa di GKE yang dapat mereka kueri, dengan menggunakan perintah kubectl auth can-i get. Secara khusus, aktor menjalankan salah satu perintah berikut:

• kubectl auth can-i get '*'
• kubectl auth can-i get secrets
• kubectl auth can-i get clusterroles/cluster-admin

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Discovery: Can get sensitive Kubernetes object check seperti yang diarahkan di Meninjau temuan.

2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut:

   • Di bagian Yang terdeteksi:
     • Tinjauan akses Kubernetes: informasi tinjauan akses yang diminta, berdasarkan resource k8s SelfSubjectAccessReview.
     • Email utama: akun yang melakukan panggilan.
   • Di bagian Resource yang terpengaruh:
     • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
   • Di bagian Link terkait:
     • Cloud Logging URI: link ke entri Logging.

Langkah 2: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.

2. Di halaman yang dimuat, periksa tindakan lain yang dilakukan oleh prinsipal dengan menggunakan filter berikut:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ganti kode berikut:

   • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

   • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Discovery
2. Konfirmasi sensitivitas objek yang dikueri dan tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh prinsipal dalam log.

3. Jika akun yang Anda catat di baris Email utama dalam detail penemuan bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

   Jika email akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber peninjauan akses untuk menentukan keabsahannya.

4. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.