In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.
Übersicht
Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die ähnelt der von gängigen Tools, die für Container-Escapes oder andere Angriffe auf den Cluster verwendet werden. Weitere Informationen finden Sie in der Log-Meldung für diese Benachrichtigung.
So reagieren Sie
Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.
Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:
- Bestätigen Sie, dass der Pod rechtmäßig ist.
- Stellen Sie fest, ob die Audit-Logs in Cloud Logging weitere Anzeichen für schädliche Aktivitäten des Pods oder Hauptkontos enthalten.
- Wenn das Hauptkonto kein IAM- oder Kubernetes-Dienstkonto ist, lassen Sie sich vom rechtmäßigen Inhaber des Kontos bestätigen, dass er die Aktion ausgeführt hat.
- Wenn das Hauptkonto ein IAM- oder Kubernetes-Dienstkonto ist, identifizieren Sie die Quelle der Aktion, um deren Rechtmäßigkeit festzustellen.
- Wenn der Pod nicht rechtmäßig ist, entfernen Sie ihn zusammen mit allen zugehörigen RBAC-Bindungen und Dienstkonten, die von der Arbeitslast verwendet wurden und die seine Erstellung zugelassen haben.
Nächste Schritte
- Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
- Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
- Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
- Dienste, die Bedrohungsbefunde generieren