En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.
Descripción general
Alguien implementó un Pod con una convención de nomenclatura similar a las herramientas comunes que se usan para escapar de contenedores o ejecutar otros ataques en el clúster. Para obtener más detalles, consulta el mensaje de registro de esta alerta.
Cómo responder
El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.
Para responder a este hallazgo, haz lo siguiente:
- Confirma que el Pod es legítimo.
- Determina si hay otros indicios de actividad maliciosa del Pod o la principal en los registros de auditoría de Cloud Logging.
- Si la principal no es una cuenta de servicio (IAM o Kubernetes), comunícate con el propietario de la cuenta para confirmar si el propietario legítimo realizó la acción.
- Si la principal es una cuenta de servicio (IAM o Kubernetes), identifica el origen de la acción para determinar su legitimidad.
- Si el Pod no es legítimo, quítalo junto con las vinculaciones de RBAC y las cuentas de servicio asociadas que usó la carga de trabajo y que permitieron su creación.
¿Qué sigue?
- Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
- Consulta el Índice de resultados de amenazas.
- Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
- Obtén más información sobre los servicios que generan hallazgos de amenazas.