Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.
Visão geral
Alguém aprovou manualmente uma solicitação de assinatura de certificado (CSR, na sigla em inglês). A criação de um certificado para autenticação de cluster é um método comum de acesso persistente a um cluster comprometido. As permissões associadas ao certificado variam dependendo do assunto incluído, mas podem ser altamente privilegiadas. Para mais detalhes, consulte a mensagem de registro desse alerta.
A Detecção de ameaças a eventos é a origem desta descoberta.
Como responder
O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.
Para responder a essa descoberta, faça o seguinte:
- Analise os registros de auditoria no Cloud Logging e os outros alertas para outros eventos relacionados à CSR para determinar se as ações relacionadas à CSR são atividades esperadas pelo principal.
- Determine se há outros sinais de atividade maliciosa do
principal nos registros de auditoria no Cloud Logging. Por exemplo:
- O principal que aprovou a CSR é diferente de quem a criou?
- A CSR especificou um signatário integrado, mas precisou ser aprovada de modo manual porque não atendeu aos critérios do signatário?
- O principal tentou solicitar, criar, aprovar ou excluir outras CSRs?
- Se a aprovação de uma CSR não era esperada ou for considerada maliciosa, o cluster vai exigir uma rotação de credenciais para invalidar o certificado. Consulte as orientações sobre como fazer a rotação das credenciais do cluster.
A seguir
- Saiba como trabalhar com descobertas de ameaças no Security Command Center.
- Consulte o índice de descobertas de ameaças.
- Saiba como analisar uma descoberta no console Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.