In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.
Übersicht
Jemand hat einen Container mit einer oder mehreren der folgenden Funktionen in einem GKE-Cluster mit einem erhöhten Sicherheitskontext bereitgestellt:
- CAP_SYS_MODULE
- CAP_SYS_RAWIO
- CAP_SYS_PTRACE
- CAP_SYS_BOOT
- CAP_DAC_READ_SEARCH
- CAP_NET_ADMIN
- CAP_BPF
Diese Funktionen wurden bereits verwendet, um aus Containern auszubrechen, und sollten daher mit Vorsicht bereitgestellt werden.
So reagieren Sie
Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.
Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:
- Sehen Sie sich den Sicherheitskontext des Containers in der Pod-Definition an. Ermitteln Sie alle Funktionen, die für die Funktion nicht unbedingt erforderlich sind.
- Entfernen oder reduzieren Sie übermäßige Berechtigungen, wann immer möglich. Prinzip der geringsten Berechtigung anwenden
Nächste Schritte
- Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
- Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
- Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
- Dienste, die Bedrohungsbefunde generieren