Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.
Présentation
Un individu potentiellement malveillant a créé un pod contenant des conteneurs privilégiés ou dotés de capacités d'élévation des droits.
Le champ privileged d'un conteneur privilégié est défini sur true. Le champ allowPrivilegeEscalation d'un conteneur doté de fonctionnalités d'élévation des privilèges est défini sur true. Pour en savoir plus, consultez la documentation de référence de l'API SecurityContext v1 Core dans la documentation de Kubernetes.
Comment répondre
Pour répondre à ce résultat, procédez comme suit :
Étape 1 : Examiner les détails du résultat
Ouvrez le résultat
Privilege Escalation: Launch of privileged Kubernetes containercomme indiqué dans la section Examiner les résultats. Le panneau d'informations sur le résultat s'ouvre sur l'onglet Résumé.Dans l'onglet Récapitulatif, examinez les informations des sections suivantes :
- Ce qui a été détecté, en particulier les champs suivants :
- Adresse e-mail principale : compte à l'origine de l'appel.
- Pods Kubernetes : le pod nouvellement créé avec des conteneurs privilégiés.
- Ressource concernée, en particulier les champs suivants :
- Nom à afficher de la ressource : cluster Kubernetes dans lequel l'action s'est produite.
- Liens associés, en particulier les champs suivants :
- URI Cloud Logging : lien vers les entrées de journalisation.
- Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
- Résultats associés : liens vers les résultats associés.
- Ce qui a été détecté, en particulier les champs suivants :
Dans l'onglet JSON, notez les valeurs des champs de résultat :
- findings.kubernetes.pods[].containers : conteneur privilégié détecté dans le pod.
Étape 2 : Vérifier les journaux
- Dans l'onglet Résumé des détails du résultat dans la console Google Cloud , accédez à l'explorateur de journaux en cliquant sur le lien dans le champ URI Cloud Logging.
Recherchez d'autres actions effectuées par le principal à l'aide des filtres suivants :
resource.labels.cluster_name="CLUSTER_NAME"protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"Remplacez les éléments suivants :
CLUSTER_NAME: valeur que vous avez notée dans le champ Nom à afficher de la ressource des détails du résultat.PRINCIPAL_EMAIL: valeur que vous avez notée dans le champ Adresse e-mail du compte principal des détails du problème.
Étape 3 : Rechercher des méthodes d'attaque et de réponse
- Examinez les entrées du framework MITRE ATT&CK pour ce type de résultat : Élévation des privilèges.
- Vérifiez que le conteneur créé nécessite un accès aux ressources de l'hôte et aux fonctionnalités du kernel.
- Déterminez s'il existe d'autres signes d'activité malveillante de la part du compte principal dans les journaux.
Si l'adresse e-mail du compte principal n'est pas un compte de service, contactez le propriétaire du compte pour confirmer que ce propriétaire légitime est bien à l'origine de l'action.
Si l'adresse e-mail du compte principal est un compte de service (IAM ou Kubernetes), identifiez la source de l'action pour déterminer sa légitimité.
Pour élaborer un plan d'intervention, combinez vos résultats d'enquête avec les recherches MITRE.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
- Consultez l'index des résultats de menace.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- En savoir plus sur les services qui génèrent des résultats de détection des menaces