本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
有人使用 exec 或 attach 指令,在 kube-system 命名空間中執行的容器上取得殼層或執行指令。有時會基於正當的偵錯目的使用這些方法。不過,kube-system
namespace 是專為 Kubernetes 建立的系統物件而設,因此應檢查非預期的指令執行或殼層建立作業。詳情請參閱這項快訊的記錄訊息。
Event Threat Detection 是這項發現的來源。
回應方式
如要回應這項發現,請按照下列步驟操作:
- 查看 Cloud Logging 中的稽核記錄,判斷主體是否預期會執行這項活動。
- 判斷記錄中是否有其他跡象,表明主體進行了惡意活動。
請參閱相關指南,瞭解如何針對授予這項存取權的 RBAC 角色和叢集角色,採用最小權限原則。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。