Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.
Présentation
Une personne a déployé un pod avec une convention d'attribution de noms semblable à celle des outils courants utilisés pour les échappements de conteneurs ou pour exécuter d'autres attaques sur le cluster. Pour en savoir plus, consultez le message du journal associé à cette alerte.
Comment répondre
Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.
Pour répondre à ce résultat, procédez comme suit :
- Vérifiez que le pod est légitime.
- Déterminez s'il existe d'autres signes d'activité malveillante de la part du pod ou du compte principal dans les journaux d'audit de Cloud Logging.
- Si le compte principal n'est pas un compte de service (IAM ou Kubernetes), contactez le propriétaire du compte pour confirmer que ce propriétaire légitime est bien à l'origine de l'action.
- Si le compte principal est un compte de service (IAM ou Kubernetes), identifiez la source de l'action pour déterminer sa légitimité.
- Si le pod n'est pas légitime, supprimez-le, ainsi que toutes les liaisons RBAC et comptes de service associés utilisés par la charge de travail qui ont permis sa création.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
- Consultez l'index des résultats de menace.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- En savoir plus sur les services qui génèrent des résultats de détection des menaces