Scoperta: può ottenere il controllo di oggetti Kubernetes sensibili

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

Un utente potenzialmente malintenzionato ha tentato di determinare su quali oggetti sensibili in GKE può eseguire query utilizzando il comando kubectl auth can-i get. Nello specifico, l'attore ha eseguito uno dei seguenti comandi:

• kubectl auth can-i get '*'
• kubectl auth can-i get secrets
• kubectl auth can-i get clusterroles/cluster-admin

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

1. Apri il risultato Discovery: Can get sensitive Kubernetes object check come indicato in Revisione dei risultati.

2. Nei dettagli del risultato, nella scheda Riepilogo, prendi nota dei valori dei seguenti campi:

   • Nella sezione Che cosa è stato rilevato:
     • Revisioni accessi Kubernetes: le informazioni sulla revisione accessi richiesta, in base alla risorsa SelfSubjectAccessReview k8s.
     • Email entità: l'account che ha effettuato la chiamata.
   • In Risorsa interessata:
     • Nome visualizzato risorsa: il cluster Kubernetes in cui si è verificata l'azione.
   • Nella sezione Link correlati:
     • URI Cloud Logging: link alle voci di log.

Passaggio 2: controlla i log

1. Nella scheda Riepilogo del riquadro dei dettagli del problema, fai clic sul link URI Cloud Logging per aprire Esplora log.

2. Nella pagina che viene caricata, verifica altre azioni intraprese dall'entità utilizzando i seguenti filtri:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Sostituisci quanto segue:

   • CLUSTER_NAME: il valore che hai annotato nel campo Nome visualizzato della risorsa nei dettagli del risultato.

   • PRINCIPAL_EMAIL: il valore che hai annotato nel campo Email principale nei dettagli del risultato.

Passaggio 3: ricerca di metodi di attacco e risposta

1. Esamina le voci del framework MITRE ATT&CK per questo tipo di risultato: Discovery
2. Conferma la sensibilità dell'oggetto sottoposto a query e determina se ci sono altri indicatori di attività dannose da parte dell'entità nei log.

3. Se l'account che hai visto nella riga Email dell'entità nei dettagli del risultato non è un account di servizio, contatta il proprietario dell'account per confermare se l'azione è stata eseguita dal legittimo proprietario.

   Se l'email dell'entità è un account di servizio (IAM o Kubernetes), identifica l'origine della revisione dell'accesso per determinarne la legittimità.

4. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Passaggi successivi

• Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
• Consulta l'indice dei risultati delle minacce.
• Scopri come esaminare un risultato tramite la console Google Cloud .
• Scopri di più sui servizi che generano risultati di minacce.