Diese Seite wurde von der Cloud Translation API übersetzt.

Zugriff auf Anmeldedaten: Manuell genehmigte Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR)

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Jemand hat eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) manuell genehmigt. Das Erstellen eines Zertifikats für die Clusterauthentifizierung ist eine gängige Methode für Angreifer, um dauerhaften Zugriff auf einen kompromittierten Cluster zu erhalten. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nach den darin enthaltenen Themen, können aber sehr privilegiert sein. Weitere Informationen finden Sie in der Log-Meldung für diese Benachrichtigung.

Event Threat Detection ist die Quelle dieses Ergebnisses.

So reagieren Sie

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Überprüfen Sie die Audit-Logs in Cloud Logging und zusätzliche Benachrichtigungen auf andere CSR-bezogene Ereignisse, um festzustellen, ob CSR-bezogene Aktionen vom Hauptkonto erwartet werden.
Stellen Sie fest, ob die Audit-Logs in Cloud Logging weitere Anzeichen für schädliche Aktivitäten des Hauptkontos enthalten. Beispiel:
- Hat sich das Hauptkonto, das die CSR genehmigt hat, vom Hauptkonto unterschieden, das sie erstellt hat?
- Wurde in der CSR ein integrierter Signer angegeben und musste sie letztendlich doch manuell genehmigt werden, da sie nicht den Kriterien des Signers entsprach?
- Hat das Hauptkonto versucht, andere CSRs anzufordern, zu erstellen, zu genehmigen oder zu löschen?
Wenn eine CSR-Genehmigung nicht erwartet wurde oder als schädlich eingestuft wird, ist für den Cluster eine Rotation von Anmeldedaten erforderlich, um das Zertifikat ungültig zu machen. Lesen Sie die Anleitung zum Rotieren der Clusteranmeldedaten.

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsbefunde generieren