Questa pagina è stata tradotta dall'API Cloud Translation.

Accesso con credenziali: richiesta di firma del certificato (CSR) Kubernetes approvata manualmente

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

Qualcuno ha approvato manualmente una richiesta di firma del certificato (CSR). La creazione di un certificato per l'autenticazione del cluster è un metodo comune per gli autori di attacchi per creare un accesso persistente a un cluster compromesso. Le autorizzazioni associate al certificato variano a seconda del soggetto incluso, ma possono essere altamente privilegiate. Per ulteriori dettagli, consulta il messaggio di log per questo avviso.

Event Threat Detection è l'origine di questo risultato.

Come rispondere

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

Per rispondere a questo risultato:

Esamina gli audit log in Cloud Logging e gli avvisi aggiuntivi per altri eventi correlati alle CSR per determinare se le azioni correlate alle CSR sono attività previste dall'entità.
Determina se esistono altri indicatori di attività dannosa da parte dell'entità negli audit log in Cloud Logging. Ad esempio:
- L'entità che ha approvato la CSR era diversa da quella che l'ha creata?
- La CSR ha specificato un signer integrato, ma alla fine ha dovuto essere approvata manualmente perché non soddisfaceva i criteri del signer?
- L'entità ha provato a richiedere, creare, approvare o eliminare altre CSR?
Se non era prevista l'approvazione di una CSR o se è stata determinata come essere dannosa, il cluster richiederà una rotazione delle credenziali per invalidare il certificato. Consulta le indicazioni per eseguire una rotazione delle credenziali del cluster.

Passaggi successivi

Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
Consulta l'indice dei risultati delle minacce.
Scopri come esaminare un risultato tramite la console Google Cloud .
Scopri di più sui servizi che generano risultati di minacce.