防御规避：创建了静态 Pod

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时，会生成威胁发现结果。如需查看可用威胁发现结果的完整列表，请参阅威胁发现结果索引。

概览

有人在您的 GKE 集群中创建了静态 Pod。 静态 Pod 直接在节点上运行，并绕过 Kubernetes API 服务器，这使得它们更难以监控和控制。攻击者可以利用此功能来逃避检测或维护持久性。

如何应答

以下响应方案可能适合此发现结果，但也可能会影响运营。 请仔细评估您在研究中收集的信息，以确定解析发现结果的最佳方法。

如需响应此发现结果，请执行以下操作：

1. 查看静态 Pod 的清单文件及其用途。验证其合法性和必要性。
2. 评估静态 Pod 的功能是否可以通过 Kubernetes API 服务器管理的常规 Pod 实现。
3. 如果需要静态 Pod，请确保它遵循安全最佳实践并具有最低权限。
4. 监控静态 Pod 的活动及其对集群的影响。

后续步骤

• 了解如何在 Security Command Center 中处理威胁发现结果。
• 请参阅威胁发现结果索引。
• 了解如何通过 Google Cloud 控制台查看检测结果。
• 了解生成威胁发现结果的服务。