Accesso con credenziali: tentativo di approvazione della richiesta di firma del certificato (CSR) di Kubernetes non riuscito

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

Qualcuno ha tentato di approvare manualmente una richiesta di firma del certificato (CSR), ma l'azione non è riuscita. La creazione di un certificato per l'autenticazione del cluster è un metodo comune per gli autori degli attacchi per creare un accesso persistente a un cluster compromesso. Le autorizzazioni associate al certificato variano a seconda dell'oggetto incluso, ma possono essere altamente privilegiate. Per ulteriori dettagli, vedi il messaggio di log per questo avviso.

Event Threat Detection è l'origine di questo risultato.

Come rispondere

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

Per rispondere a questo risultato:

1. Esamina gli audit log in Cloud Logging e gli avvisi aggiuntivi per altri eventi correlati alle CSR per determinare se una CSR è stata approved ed emessa e se le azioni correlate alle CSR sono attività previste dall'entità.
2. Determina se esistono altri indicatori di attività dannosa da parte dell'entità negli audit log in Cloud Logging. Ad esempio:
   • L'entità che ha tentato di approvare la CSR era diversa da quella che l'ha creata?
   • L'entità ha provato a richiedere, creare, approvare o eliminare altre CSR?
3. Se non era prevista l'approvazione di una CSR o se è stata determinata come essere dannosa, il cluster richiederà una rotazione delle credenziali per invalidare il certificato. Consulta le indicazioni per eseguire una rotazione delle credenziali del cluster.

Passaggi successivi

• Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
• Consulta l'indice dei risultati delle minacce.
• Scopri come esaminare un risultato tramite la console Google Cloud .
• Scopri di più sui servizi che generano risultati di minacce.