发现：可以获取敏感的 Kubernetes 对象检查

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时，会生成威胁发现结果。如需查看可用威胁发现结果的完整列表，请参阅威胁发现结果索引。

概览

潜在恶意操作者尝试使用 kubectl auth can-i get 命令确定可以查询 GKE 中的哪些敏感对象。具体来说，操作者运行了以下任何命令：

• kubectl auth can-i get '*'
• kubectl auth can-i get secrets
• kubectl auth can-i get clusterroles/cluster-admin

如何应答

如需响应此发现结果，请执行以下操作：

第 1 步：查看发现结果详情

1. 按照查看发现结果中所述，打开 Discovery: Can get sensitive Kubernetes object check 发现结果。

2. 在发现结果详情的摘要标签页上，记下以下字段的值：

   • 在检测到的内容下：
     • Kubernetes 访问权限审核：根据 SelfSubjectAccessReview k8s 资源请求的访问权限审核信息。
     • 主账号电子邮件地址：发出调用的账号。
   • 在受影响的资源下：
     • 资源显示名称：执行操作的 Kubernetes 集群。
   • 在相关链接下：
     • Cloud Logging URI：指向 Logging 条目的链接。

第 2 步：检查日志

1. 在发现结果详细信息面板的“摘要”标签页上，点击 Cloud Logging URI 链接以打开 Logs Explorer。

2. 在加载的页面上，使用以下过滤条件检查主账号执行的其他操作：

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     替换以下内容：

   • CLUSTER_NAME：您在发现结果详情的资源显示名称字段中记下的值。

   • PRINCIPAL_EMAIL：您在发现结果详情的主账号电子邮件地址字段中记下的值。

第 3 步：研究攻击和响应方法

1. 查看此发现结果类型的 MITRE ATT&CK 框架条目：探索
2. 确认所查询对象的敏感度，并确定日志中是否存在主账号执行的其他恶意活动迹象。

3. 如果您在发现结果详情的主账号电子邮件地址行中记下的账号不是服务账号，请与该账号所有者联系以确认合法所有者是否执行了该操作。

   如果主账号电子邮件地址是服务账号（IAM 或 Kubernetes），请查明访问权限审核的来源以确定其合法性。

4. 如需制定响应方案，请将您的调查结果与 MITRE 研究相结合。

后续步骤

• 了解如何在 Security Command Center 中处理威胁发现结果。
• 请参阅威胁发现结果索引。
• 了解如何通过 Google Cloud 控制台查看发现结果。
• 了解生成威胁发现结果的服务。