Akses Kredensial: Gagal Mencoba Menyetujui Permintaan Penandatanganan Sertifikat (CSR) Kubernetes

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Seseorang mencoba menyetujui permintaan penandatanganan sertifikat (CSR) secara manual, tetapi tindakan tersebut gagal. Membuat sertifikat untuk autentikasi cluster adalah metode umum bagi penyerang untuk membuat akses persisten ke cluster yang disusupi. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang tinggi. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.

Event Threat Detection adalah sumber temuan ini.

Cara merespons

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

Untuk menanggapi temuan ini, lakukan hal berikut:

  1. Tinjau log audit di Cloud Logging dan pemberitahuan tambahan untuk peristiwa terkait CSR lainnya guna menentukan apakah CSR approved dan dikeluarkan dan apakah tindakan terkait CSR merupakan aktivitas yang diharapkan oleh akun utama.
  2. Tentukan apakah ada tanda-tanda lain dari aktivitas berbahaya oleh principal dalam log audit di Cloud Logging. Contoh:
    • Apakah kepala sekolah yang mencoba menyetujui CSR berbeda dengan kepala sekolah yang membuatnya?
    • Apakah akun utama telah mencoba meminta, membuat, menyetujui, atau menghapus CSR lain?
  3. Jika persetujuan CSR tidak diharapkan, atau ditentukan sebagai berbahaya, cluster akan memerlukan penggantian kredensial untuk membatalkan validitas sertifikat. Tinjau panduan untuk melakukan rotasi kredensial cluster Anda.

Langkah berikutnya