Zugriff auf Anmeldedaten: Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) konnte nicht genehmigt werden

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Jemand hat versucht, eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) manuell zu genehmigen, aber die Aktion ist fehlgeschlagen. Das Erstellen eines Zertifikats für die Clusterauthentifizierung ist eine gängige Methode für Angreifer, um dauerhaften Zugriff auf einen kompromittierten Cluster zu erhalten. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nachdem, welche Themen darin enthalten sind, können aber sehr umfassend sein. Weitere Informationen finden Sie in der Log-Meldung für diese Benachrichtigung.

Event Threat Detection ist die Quelle dieses Ergebnisses.

So reagieren Sie

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

1. Überprüfen Sie die Audit-Logs in Cloud Logging und zusätzliche Benachrichtigungen auf andere CSR-bezogene Ereignisse, um festzustellen, ob eine CSR approved und ausgestellt wurde und ob CSR-bezogene Aktionen vom Hauptkonto erwartet werden.
2. Stellen Sie fest, ob die Audit-Logs in Cloud Logging weitere Anzeichen für schädliche Aktivitäten des Hauptkontos enthalten. Beispiel:
   • Hat sich das Hauptkonto, das die CSR genehmigen wollte, vom Hauptkonto unterschieden, das sie erstellt hat?
   • Hat das Hauptkonto versucht, andere CSRs anzufordern, zu erstellen, zu genehmigen oder zu löschen?
3. Wenn eine CSR-Genehmigung nicht erwartet wurde oder als schädlich eingestuft wird, ist für den Cluster eine Rotation von Anmeldedaten erforderlich, um das Zertifikat ungültig zu machen. Lesen Sie die Anleitung zum Rotieren der Clusteranmeldedaten.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsbefunde generieren