Evasione della difesa: pod statico creato

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

Qualcuno ha creato un pod statico nel tuo cluster GKE. I pod statici vengono eseguiti direttamente sul nodo e bypassano il server API Kubernetes, il che li rende più difficili da monitorare e controllare. Questo potrebbe essere utilizzato da malintenzionati per eludere il rilevamento o mantenere la persistenza.

Come rispondere

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

Per rispondere a questo risultato:

1. Esamina il file manifest del pod statico e il suo scopo. Verifica che sia legittima e necessaria.
2. Valuta se la funzionalità del pod statico può essere ottenuta tramite un pod normale gestito dal server API Kubernetes.
3. Se è necessario il pod statico, assicurati che segua le best practice di sicurezza e che disponga di privilegi minimi.
4. Monitora l'attività del pod statico e il suo impatto sul cluster.

Passaggi successivi

• Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
• Consulta l'indice dei risultati delle minacce.
• Scopri come esaminare un risultato tramite la console Google Cloud .
• Scopri di più sui servizi che generano risultati di minacce.