Esta página foi traduzida pela API Cloud Translation.

Escalonamento de privilégios: receba a CSR do Kubernetes com credenciais de inicialização comprometidas.

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Para escalonar o privilégio, um ator potencialmente nocivo consultou uma solicitação de assinatura de certificado (CSR), com o comando kubectl, usando credenciais de inicialização comprometida.

Veja a seguir um exemplo de comando que essa regra detecta:

kubectl --client-certificate kubelet.crt --client-key kubelet.key --server YOUR_SERVER get csr CSR_NAME

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

Abra uma descoberta Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials, conforme direcionado em Como verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.
Na guia Resumo, confira as informações nas seguintes seções:
- O que foi detectado, especialmente os seguintes campos:
  - E-mail principal: a conta que fez a chamada.
  - Nome do método: o método que foi chamado.
- Em Recurso afetado:
  - Nome de exibição do recurso: o cluster do Kubernetes em que a ação ocorreu.
- Links relacionados, principalmente os seguintes campos:
  - URI do Cloud Logging: link para as entradas do Logging.
  - Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
  - Descobertas relacionadas: links para quaisquer descobertas relacionadas.

Etapa 2: verificar os registros

Se o nome do método, que você anotou no campo Nome do método nos detalhes da descoberta, for um método GET, faça o seguinte:

Na guia Resumo dos detalhes da descoberta no console do Google Cloud , acesse o Explorador de registros clicando no link no campo URI do Cloud Logging.
Verifique o valor no campo protoPayload.resourceName para identificar a solicitação de assinatura de certificado específica.

Etapa 3: pesquisar métodos de ataque e resposta

Revise as entradas do framework MITRE ATT&CK para esse tipo de descoberta: Escalonamento de privilégios.
Se a CSR específica estiver disponível na entrada de registro, investigue a confidencialidade do certificado e se a ação foi garantida.
Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

A seguir

Saiba como trabalhar com descobertas de ameaças no Security Command Center.
Consulte o índice de descobertas de ameaças.
Saiba como analisar uma descoberta no console Google Cloud .
Saiba mais sobre os serviços que geram descobertas de ameaças.