Akses Kredensial: Permintaan Penandatanganan Sertifikat (CSR) Kubernetes yang Disetujui Secara Manual

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Seseorang menyetujui permintaan penandatanganan sertifikat (CSR) secara manual. Membuat sertifikat untuk autentikasi cluster adalah metode umum bagi penyerang untuk membuat akses persisten ke cluster yang disusupi. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang tinggi. Untuk mengetahui detail selengkapnya, lihat pesan log untuk notifikasi ini.

Event Threat Detection adalah sumber temuan ini.

Cara merespons

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

Untuk menanggapi temuan ini, lakukan hal berikut:

  1. Tinjau log audit di Cloud Logging dan pemberitahuan tambahan untuk peristiwa terkait CSR lainnya guna menentukan apakah tindakan terkait CSR adalah aktivitas yang diharapkan oleh prinsipal.
  2. Tentukan apakah ada tanda-tanda lain dari aktivitas berbahaya oleh principal dalam log audit di Cloud Logging. Contoh:
    • Apakah kepala sekolah yang menyetujui CSR berbeda dengan kepala sekolah yang membuatnya?
    • Apakah CSR menentukan penanda tangan bawaan, tetapi pada akhirnya perlu disetujui secara manual karena tidak memenuhi kriteria penanda tangan?
    • Apakah akun utama telah mencoba meminta, membuat, menyetujui, atau menghapus CSR lain?
  3. Jika persetujuan CSR tidak diharapkan, atau ditentukan sebagai berbahaya, cluster akan memerlukan rotasi kredensial untuk membatalkan validitas sertifikat. Tinjau panduan untuk melakukan rotasi kredensial cluster Anda.

Langkah berikutnya