探索：可以取得機密 Kubernetes 物件檢查

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

可能有惡意的行為人試圖使用 kubectl auth can-i get 指令，判斷可以查詢 GKE 中的哪些機密物件。具體來說，攻擊者執行了下列任一指令：

• kubectl auth can-i get '*'
• kubectl auth can-i get secrets
• kubectl auth can-i get clusterroles/cluster-admin

回應方式

如要回應這項發現，請按照下列步驟操作：

步驟 1：查看調查結果詳細資料

1. 按照「查看結果」一文的說明，開啟 Discovery: Can get sensitive Kubernetes object check 發現項目。

2. 在「摘要」分頁的發現項目詳細資料中，記下下列欄位的值：

   • 在「偵測到的內容」下方：
     • Kubernetes 存取權審查：根據 SelfSubjectAccessReview k8s 資源，要求存取權審查資訊。
     • 主體電子郵件地址：發出呼叫的帳戶。
   • 在「受影響的資源」下方：
     • 資源顯示名稱：發生動作的 Kubernetes 叢集。
   • 在「相關連結」下方：
     • Cloud Logging URI：記錄檔項目的連結。

步驟 2：檢查記錄

1. 在「發現項目詳細資料」面板的「摘要」分頁中，按一下「Cloud Logging URI」連結，開啟「記錄檔探索工具」。

2. 在載入的頁面上，使用下列篩選器檢查主體執行的其他動作：

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     更改下列內容：

   • CLUSTER_NAME：您在調查結果詳細資料的「資源顯示名稱」欄位中記下的值。

   • PRINCIPAL_EMAIL：您在調查結果詳細資料的「主要電子郵件」欄位中記錄的值。

步驟 3：研究攻擊和回應方法

1. 查看這類發現項目的 MITRE ATT&CK 架構項目： 探索
2. 確認所查詢物件的機密程度，並判斷記錄中是否有其他跡象，表明主體進行了惡意活動。

3. 在發現項目詳細資料，如果「主體電子郵件地址」列載明的帳戶並非服務帳戶，請與帳戶擁有者聯絡，確認正當擁有者是否執行了這項操作。

   如果主體電子郵件地址為服務帳戶 (IAM 或 Kubernetes)，請找出存取權檢查來源來判斷正當性。

4. 如要制定回應計畫，請將調查結果與 MITRE 研究結合。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。