Cette page a été traduite par l'API Cloud Translation.

Élévation des privilèges : obtention d'une requête de signature de certificat Kubernetes avec des identifiants d'amorçage compromis

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Pour élever un privilège, une personne potentiellement malveillante a émis une requête de signature de certificat (CSR) à l'aide de la commande kubectl, en utilisant des identifiants d'amorçage compromis.

Voici un exemple de commande détectée par cette règle :

kubectl --client-certificate kubelet.crt --client-key kubelet.key --server YOUR_SERVER get csr CSR_NAME

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

Ouvrez le résultat Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials comme indiqué dans la section Examiner les résultats. Le panneau d'informations sur le résultat s'ouvre sur l'onglet Résumé.
Dans l'onglet Récapitulatif, examinez les informations des sections suivantes :
- Ce qui a été détecté, en particulier les champs suivants :
  - Adresse e-mail principale : compte à l'origine de l'appel.
  - Nom de la méthode : méthode qui a été appelée.
- Sous Ressource concernée :
  - Nom à afficher de la ressource : cluster Kubernetes dans lequel l'action s'est produite.
- Liens associés, en particulier les champs suivants :
  - URI Cloud Logging : lien vers les entrées de journalisation.
  - Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
  - Résultats associés : liens vers les résultats associés.

Étape 2 : Vérifier les journaux

Si le nom de la méthode que vous avez indiqué dans le champ Nom de la méthode des détails du problème est une méthode GET, procédez comme suit :

Dans l'onglet Résumé des détails du résultat dans la console Google Cloud , accédez à l'explorateur de journaux en cliquant sur le lien dans le champ URI Cloud Logging.
Vérifiez la valeur du champ protoPayload.resourceName pour identifier la demande de signature de certificat spécifique.

Étape 3 : Rechercher des méthodes d'attaque et de réponse

Examinez les entrées du framework MITRE ATT&CK pour ce type de résultat : Élévation des privilèges.
Si la CSR spécifique est disponible dans l'entrée de journal, examinez la sensibilité du certificat et déterminez si l'action était justifiée.
Pour élaborer un plan d'intervention, combinez vos résultats d'enquête avec les recherches MITRE.

Étapes suivantes

Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
Consultez l'index des résultats de menace.
Découvrez comment examiner un résultat dans la console Google Cloud .
En savoir plus sur les services qui génèrent des résultats de détection des menaces