Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.
Visão geral
Um dos binários ou arquivos de configuração no diretório pam.d foi modificado. Os módulos de autenticação conectáveis (PAM, na sigla em inglês) são amplamente usados para autenticação no Linux. Os invasores podem modificar os binários ou os arquivos de configuração para estabelecer acesso persistente.
É um detector de monitoramento de arquivos e tem requisitos específicos de versão do GKE.
Esse detector fica desativado por padrão. Para instruções sobre a ativação, consulte Testar a Detecção de Ameaças em Contêiner.
A Detecção de Ameaças em Contêiner é a origem dessa descoberta.
Como responder
Para responder a essa descoberta:
Analisar os detalhes da descoberta
Abra a descoberta
Collection: Pam.d Modification, conforme explicado em Analisar uma descoberta. Confira os detalhes nas guias Resumo e JSON.Identifique outras descobertas que ocorreram em um momento semelhante para esse recurso. As descobertas relacionadas podem indicar que essa atividade era mal-intencionada, e não uma falha em seguir as práticas recomendadas.
Revise as configurações do recurso afetado.
Verifique os registros desse recurso.
Pesquisar métodos de ataque e resposta
Revise a entrada do framework do MITRE ATT&CK para esse tipo de descoberta: Coleta.
A seguir
- Saiba como usar descobertas de ameaças no Security Command Center.
- Consulte Índice de descobertas de ameaças.
- Aprenda a analisar uma descoberta no console do Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.