Se usó la API de Cloud Translation para traducir esta página.

Acceso a credenciales: Solicitud de firma de certificado (CSR) de Kubernetes aprobada de forma manual

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Alguien aprobó manualmente una solicitud de firma de certificado (CSR). Crear un certificado para la autenticación del clúster es un método común que utilizan los atacantes para obtener acceso persistente a un clúster vulnerado. Los permisos asociados con el certificado varían según el asunto que incluyan, pero pueden ser altamente privilegiados. Para obtener más detalles, consulta el mensaje de registro de esta alerta.

Event Threat Detection es la fuente de este hallazgo.

Cómo responder

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

Para responder a este hallazgo, haz lo siguiente:

Revisa los registros de auditoría en Cloud Logging y las alertas adicionales de otros eventos relacionados con la CSR para determinar si las acciones relacionadas con esta son una actividad esperada por la principal.
Determina si hay otros indicios de actividad maliciosa por parte de la principal en los registros de auditoría de Cloud Logging. Por ejemplo:
- ¿La principal que aprobó la CSR era diferente de la que la creó?
- ¿La CSR especificó un firmante integrado, pero finalmente se debe aprobar de forma manual porque no cumple con los criterios del firmante?
- ¿La principal intentó solicitar, crear, aprobar o borrar otras CSR?
Si no se esperaba una aprobación de CSR o se determina que es maliciosa, el clúster requerirá una rotación de credenciales para invalidar el certificado. Revisa la guía para realizar una rotación de las credenciales del clúster.

¿Qué sigue?

Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
Consulta el Índice de resultados de amenazas.
Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
Obtén más información sobre los servicios que generan hallazgos de amenazas.