In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.
Übersicht
Jemand hat einen statischen Pod in Ihrem GKE-Cluster erstellt. Statische Pods werden direkt auf dem Knoten ausgeführt und umgehen den Kubernetes API-Server. Daher sind sie schwieriger zu überwachen und zu steuern. Dies könnte von Angreifern verwendet werden, um die Erkennung zu umgehen oder die Persistenz aufrechtzuerhalten.
So reagieren Sie
Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.
Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:
- Sehen Sie sich die Manifestdatei des statischen Pods und ihren Zweck an. Prüfen Sie, ob die Anfrage legitim und notwendig ist.
- Prüfen Sie, ob die Funktionalität des statischen Pods durch einen regulären Pod erreicht werden kann, der vom Kubernetes API-Server verwaltet wird.
- Wenn der statische Pod erforderlich ist, muss er den Best Practices für Sicherheit entsprechen und nur minimale Berechtigungen haben.
- Aktivität des statischen Pods und seine Auswirkungen auf Ihren Cluster überwachen
Nächste Schritte
- Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
- Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
- Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
- Dienste, die Bedrohungsbefunde generieren