本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
為提升權限,可能有惡意的行為人使用了外洩的啟動憑證,以 kubectl 指令查詢憑證簽署要求 (CSR)。
以下是這項規則偵測到的指令範例:
kubectl --client-certificate kubelet.crt --client-key kubelet.key --server YOUR_SERVER get csr CSR_NAME
回應方式
如要回應這項發現,請按照下列步驟操作:
步驟 1:查看調查結果詳細資料
按照「查看結果」一節的指示,開啟
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials發現項目。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。在「摘要」分頁中,查看下列各節的資訊:
- 偵測到的內容,特別是下列欄位:
- 主體電子郵件地址:發出呼叫的帳戶。
- 方法名稱:呼叫的方法。
- 在「受影響的資源」下方:
- 資源顯示名稱:發生動作的 Kubernetes 叢集。
- 相關連結,尤其是下列欄位:
- Cloud Logging URI:記錄檔項目的連結。
- MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
- 相關發現項目:任何相關發現項目的連結。
- 偵測到的內容,特別是下列欄位:
步驟 2:檢查記錄
如果方法名稱 (您在發現詳細資料的「方法名稱」欄位中記下的名稱) 是 GET 方法,請執行下列操作:
- 在 Google Cloud 控制台的「發現項目詳細資料」分頁中,按一下「Cloud Logging URI」欄位中的連結,前往「記錄檔探索工具」。
- 檢查
protoPayload.resourceName欄位中的值,找出特定憑證簽署要求。
步驟 3:研究攻擊和回應方法
- 查看這類發現項目的 MITRE ATT&CK 架構項目: 權限提升。
- 如果特定 CSR 顯示在記錄項目中,請調查憑證的機密程度,以及該項操作是否經過授權。
- 如要制定回應計畫,請將調查結果與 MITRE 研究結合。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。