Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.
Présentation
Un utilisateur a créé un ClusterRoleBinding RBAC qui fait référence à l'ClusterRole system:controller:clusterrole-aggregation-controller par défaut. Ce ClusterRole par défaut possède le verbe escalate, qui permet aux sujets de modifier les privilèges de leurs propres rôles, ce qui permet une escalade des privilèges. Pour en savoir plus, consultez le message du journal associé à cette alerte.
Comment répondre
Pour répondre à ce résultat, procédez comme suit :
- Examinez tous les
ClusterRoleBindingqui font référence à l'system:controller:clusterrole-aggregation-controllerClusterRole. - Examinez les modifications apportées à
system:controller:clusterrole-aggregation-controllerClusterRole. - Déterminez s'il existe d'autres signes d'activité malveillante de la part du compte principal qui a créé le
ClusterRoleBindingdans les journaux d'audit de Cloud Logging.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
- Consultez l'index des résultats de menace.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- En savoir plus sur les services qui génèrent des résultats de détection des menaces