集合：修改 pam.d

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

pam.d 目錄中的其中一個二進位檔或設定檔已修改。可插式驗證模組 (PAM) 廣泛用於 Linux 的驗證作業。攻擊者可能會修改二進位檔或設定檔，以建立持續存取權。

這是檔案監控偵測器，且 有特定的 GKE 版本需求。

這項偵測工具預設為停用。如要瞭解如何啟用這項功能，請參閱「測試 Container Threat Detection」。

Container Threat Detection 是這項發現的來源。

回應方式

如要回應這項發現，請按照下列步驟操作：

查看發現項目詳細資料

1. 按照「查看結果」一文的指示，開啟 Collection: Pam.d Modification 發現項目。查看「摘要」和「JSON」分頁中的詳細資料。

2. 找出這項資源在類似時間發生的其他發現項目。 相關發現可能指出這項活動是惡意行為，而非未遵循最佳做法。

3. 查看受影響資源的設定。

4. 查看受影響資源的記錄。

研究攻擊和回應方法

查看這類發現的 MITRE ATT&CK 架構項目：「收集」。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。