Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.
Présentation
Quelqu'un a créé un objet ClusterRole RBAC qui contient les verbes bind, escalate ou impersonate. Un sujet lié à un rôle avec ces verbes peut emprunter l'identité d'autres utilisateurs disposant de droits plus élevés, se lier à des objets Role ou ClusterRole supplémentaires contenant des autorisations supplémentaires, ou modifier ses propres autorisations ClusterRole. Cela peut entraîner l'obtention de privilèges cluster-admin par ces sujets. Pour en savoir plus, consultez le message du journal associé à cette alerte.
Comment répondre
Pour répondre à ce résultat, procédez comme suit :
- Examinez le
ClusterRoleet lesClusterRoleBindingsassociés pour vérifier si les sujets ont réellement besoin de ces autorisations. - Si possible, évitez de créer des rôles qui impliquent les verbes
bind,escalateouimpersonate. - Déterminez s'il existe d'autres signes d'activité malveillante de la part du compte principal dans les journaux d'audit de Cloud Logging.
- Lorsque vous attribuez des autorisations dans un rôle RBAC, appliquez le principe du moindre privilège en n'accordant que les autorisations minimales nécessaires pour effectuer une tâche. Le principe du moindre privilège réduit le risque d'élévation des privilèges si votre cluster est compromis, ainsi que la probabilité d'un incident de sécurité en cas d'autorisations d'accès excessives.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
- Consultez l'index des résultats de menace.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- En savoir plus sur les services qui génèrent des résultats de détection des menaces