Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.
Visão geral
Alguém criou um pod estático no cluster do GKE. Os pods estáticos são executados diretamente no nó e ignoram o servidor da API Kubernetes, o que dificulta o monitoramento e o controle deles. Isso pode ser usado por invasores para evitar a detecção ou manter a persistência.
Como responder
O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.
Para responder a essa descoberta, faça o seguinte:
- Revise o arquivo de manifesto do pod estático e a finalidade dele. Verifique se ele é legítimo e necessário.
- Avalie se a funcionalidade do pod estático pode ser alcançada com um pod regular gerenciado pelo servidor da API Kubernetes.
- Se o pod estático for necessário, verifique se ele segue as práticas recomendadas de segurança e tem privilégios mínimos.
- Monitore a atividade do pod estático e o impacto dela no cluster.
A seguir
- Saiba como trabalhar com descobertas de ameaças no Security Command Center.
- Consulte o índice de descobertas de ameaças.
- Saiba como analisar uma descoberta no console Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.