En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.
Descripción general
Alguien creó un pod estático en tu clúster de GKE. Los Pods estáticos se ejecutan directamente en el nodo y omiten el servidor de la API de Kubernetes, lo que dificulta su supervisión y control. Los atacantes podrían usarlo para evadir la detección o mantener la persistencia.
Cómo responder
El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.
Para responder a este hallazgo, haz lo siguiente:
- Revisa el archivo de manifiesto del Pod estático y su propósito. Verifica que sea legítima y necesaria.
- Evalúa si la funcionalidad del Pod estático se puede lograr a través de un Pod normal administrado por el servidor de la API de Kubernetes.
- Si se requiere el Pod estático, asegúrate de que siga las prácticas recomendadas de seguridad y tenga privilegios mínimos.
- Supervisa la actividad del Pod estático y su impacto en el clúster.
¿Qué sigue?
- Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
- Consulta el Índice de resultados de amenazas.
- Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
- Obtén más información sobre los servicios que generan hallazgos de amenazas.