En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.
Descripción general
Para derivar privilegios, un agente potencialmente malicioso realizó una consulta para una solicitud de firma de certificado (CSR), con el comando kubectl, usando credenciales de arranque comprometidas.
El siguiente es un ejemplo de un comando que detecta esta regla:
kubectl --client-certificate kubelet.crt --client-key kubelet.key --server YOUR_SERVER get csr CSR_NAME
Cómo responder
Para responder a este hallazgo, haz lo siguiente:
Paso 1: Revisa los detalles del hallazgo
Abre el hallazgo de
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialscomo se indica en Revisa los hallazgos. Se abre el panel de detalles para el hallazgo en la pestaña Resumen.En la pestaña Resumen, revisa la información de las siguientes secciones:
- Qué se detectó, especialmente los siguientes campos:
- Correo electrónico principal: Es la cuenta que realizó la llamada.
- Nombre del método: Es el método al que se llamó.
- En Recurso afectado, haz lo siguiente:
- Nombre visible del recurso: Es el clúster de Kubernetes en el que se produjo la acción.
- Vínculos relacionados, en especial los siguientes campos:
- URI de Cloud Logging: Es el vínculo a las entradas de Logging.
- Método MITRE ATT&CK: Vínculo a la documentación de MITRE ATT&CK.
- Resultados relacionados: Vínculos a los resultados relacionados
- Qué se detectó, especialmente los siguientes campos:
Paso 2: Comprueba los registros
Si el nombre del método, que anotaste en el campo Nombre del método en los detalles del hallazgo, es un método GET, haz lo siguiente:
- En la pestaña Resumen de los detalles del hallazgo en la consola de Google Cloud , haz clic en el vínculo del campo URI de Cloud Logging para ir al Explorador de registros.
- Verifica el valor en el campo
protoPayload.resourceNamepara identificar la solicitud de firma de certificado específica.
Paso 3: Investiga los métodos de ataque y respuesta
- Revisa las entradas del framework de MITRE ATT&CK para este tipo de resultado: Elevación de privilegios.
- Si la CSR específica está disponible en la entrada de registro, investiga la sensibilidad del certificado y si la acción estaba justificada.
- Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación del MITRE.
¿Qué sigue?
- Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
- Consulta el Índice de resultados de amenazas.
- Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
- Obtén más información sobre los servicios que generan hallazgos de amenazas.