In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.
Übersicht
In Ihrem GKE-Cluster wurde eine Webhook-Konfiguration erkannt. Webhooks können Kubernetes API-Anfragen abfangen und ändern. Dadurch können Angreifer möglicherweise in Ihrem Cluster bleiben oder Ressourcen manipulieren.
So reagieren Sie
Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.
Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:
- Zweck und Ursprung der Webhook-Konfiguration ermitteln Prüfen Sie, ob sie aus einer vertrauenswürdigen Quelle stammt und einem legitimen Zweck dient.
- Prüfen Sie die Webhook-Konfiguration, um den Umfang und die Arten von Anfragen zu verstehen, die abgefangen werden.
- Überwachen Sie die Webhook-Aktivitäten auf verdächtige oder nicht autorisierte Aktionen.
- Wenn der Webhook nicht erforderlich ist oder sein Verhalten bedenklich ist, sollten Sie ihn entfernen oder deaktivieren.
Nächste Schritte
- Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
- Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
- Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
- Dienste, die Bedrohungsbefunde generieren