En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.
Información general
Para aumentar los privilegios, un agente potencialmente malicioso ha intentado modificar un objeto de control de acceso basado en roles (RBAC) ClusterRole, RoleBinding o ClusterRoleBinding del rol sensible cluster-admin mediante una solicitud PUT o PATCH.
Cómo responder
Para responder a esta observación, sigue estos pasos:
Paso 1: Revisa los detalles de la detección
Abre la
Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsdetección siguiendo las instrucciones de la sección Revisar las detecciones. Se abre el panel de detalles del resultado en la pestaña Resumen.En la pestaña Resumen, consulte la información de las siguientes secciones:
- Qué se detectó, especialmente los siguientes campos:
- Correo principal: la cuenta que ha hecho la llamada.
- Nombre del método: el método al que se ha llamado.
- Vinculaciones de Kubernetes: la vinculación o el
ClusterRoleBindingde Kubernetes sensibles que se han modificado.
- Recurso afectado, especialmente los siguientes campos:
- Nombre visible del recurso: el clúster de Kubernetes en el que se ha producido la acción.
- Enlaces relacionados, especialmente los siguientes campos:
- URI de Cloud Logging: enlace a las entradas de registro.
- Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
- Hallazgos relacionados: enlaces a los hallazgos relacionados.
- Qué se detectó, especialmente los siguientes campos:
En la sección Qué se ha detectado, haga clic en el nombre de la vinculación de la fila Vinculaciones de Kubernetes. Se muestran los detalles de la vinculación.
En el enlace que se muestra, anota los detalles del enlace.
Paso 2: Consulta los registros
- En la pestaña Resumen de los detalles de la detección en la consola de Google Cloud , vaya a Explorador de registros haciendo clic en el enlace del campo URI de Cloud Logging.
Si el valor de Nombre del método era un método
PATCH, comprueba el cuerpo de la solicitud para ver qué propiedades se han modificado.En las llamadas
update(PUT), se envía todo el objeto en la solicitud, por lo que los cambios no son tan claros.Comprueba otras acciones realizadas por la entidad de seguridad mediante los siguientes filtros:
resource.labels.cluster_name="CLUSTER_NAME"protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"Haz los cambios siguientes:
CLUSTER_NAME: el valor que has anotado en el campo Nombre visible de recurso de los detalles de la detección.PRINCIPAL_EMAIL: el valor que has anotado en el campo Correo principal de los detalles de la detección.
Paso 3: Investiga los métodos de ataque y respuesta
- Revisa las entradas del framework ATT&CK de MITRE para este tipo de hallazgo: Escalada de privilegios
- Confirma la sensibilidad del objeto y si se justifica la modificación.
- En el caso de las vinculaciones, puedes comprobar el asunto e investigar si el asunto necesita el rol al que está vinculado.
- Determina si hay otros signos de actividad maliciosa por parte de la entidad principal en los registros.
Si el correo principal no es una cuenta de servicio, ponte en contacto con el propietario de la cuenta para confirmar si el propietario legítimo ha realizado la acción.
Si el correo principal es una cuenta de servicio (IAM o Kubernetes), identifica la fuente de la modificación para determinar su legitimidad.
Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.
Siguientes pasos
- Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
- Consulta el índice de hallazgos de amenazas.
- Consulta cómo revisar un resultado a través de la consola Google Cloud .
- Consulta información sobre los servicios que generan detecciones de amenazas.