Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.
Visão geral
Para escalonar o privilégio, um usuário possivelmente malicioso tentou modificar um objeto de controle de acesso baseado em papéis (RBAC) ClusterRole, RoleBinding ou ClusterRoleBinding do papel sensível cluster-admin usando uma solicitação PUT ou PATCH.
Como responder
Para responder a essa descoberta, faça o seguinte:
Etapa 1: verificar os detalhes da descoberta
Abra uma descoberta
Privilege Escalation: Changes to sensitive Kubernetes RBAC objects, conforme direcionado em Como verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.Na guia Resumo, confira as informações nas seguintes seções:
- O que foi detectado, especialmente os seguintes campos:
- E-mail principal: a conta que fez a chamada.
- Nome do método: o método que foi chamado.
- Vinculações do Kubernetes: a vinculação confidencial
do Kubernetes ou
ClusterRoleBindingque foi modificada.
- Recurso afetado, especialmente os seguintes campos:
- Nome de exibição do recurso: o cluster do Kubernetes em que a ação ocorreu.
- Links relacionados, principalmente os seguintes campos:
- URI do Cloud Logging: link para as entradas do Logging.
- Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
- Descobertas relacionadas: links para quaisquer descobertas relacionadas.
- O que foi detectado, especialmente os seguintes campos:
Na seção O que foi detectado, clique no nome da vinculação na linha Vinculações do Kubernetes. Os detalhes da vinculação são exibidos.
Na vinculação exibida, observe os detalhes dela.
Etapa 2: verificar os registros
- Na guia Resumo dos detalhes da descoberta no console do Google Cloud , acesse o Explorador de registros clicando no link no campo URI do Cloud Logging.
Se o valor em Nome do método for um método
PATCH, verifique o corpo da solicitação para ver quais propriedades foram modificadas.Nas chamadas
update(PUT), todo o objeto é enviado na solicitação para que as alterações não sejam tão claras.Verifique se há outras ações realizadas pelo principal usando os seguintes filtros:
resource.labels.cluster_name="CLUSTER_NAME"protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"Substitua:
CLUSTER_NAME: o valor que você anotou no campo Nome de exibição do recurso nos detalhes da descoberta.PRINCIPAL_EMAIL: o valor que você anotou no campo E-mail principal nos detalhes da descoberta.
Etapa 3: pesquisar métodos de ataque e resposta
- Revise as entradas do framework MITRE ATT&CK para esse tipo de descoberta: Escalonamento de privilégios
- Confirme se o objeto é sensível e se a modificação foi justificada.
- Nas vinculações, verifique o assunto e investigue se o assunto precisa do papel ao qual ele está vinculado.
- Determine se há outros sinais de atividade maliciosa pelo principal nos registros.
Se o e-mail principal não for uma conta de serviço, entre em contato com o proprietário da conta para confirmar se o proprietário legítimo realizou a ação.
Se o e-mail principal for uma conta de serviço (IAM ou Kubernetes), identifique a origem da modificação para determinar a legitimidade.
Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.
A seguir
- Saiba como trabalhar com descobertas de ameaças no Security Command Center.
- Consulte o índice de descobertas de ameaças.
- Saiba como analisar uma descoberta no console Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.