初始存取:透過網際網路匿名修改 GKE 資源

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

潛在惡意行為者使用下列其中一個 Kubernetes 預設使用者或使用者群組,修改叢集中的 Kubernetes 資源:

  • system:anonymous
  • system:authenticated
  • system:unauthenticated

這些使用者和群組實際上是匿名。叢集中的角色型存取權控管 (RBAC) 繫結授予該使用者在叢集中修改這些資源的權限。

回應方式

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

如要回應這項發現,請按照下列步驟操作:

  1. 檢查修改後的資源和相關聯的 RBAC 繫結,確保繫結是必要的。如果繫結並非必要,請移除。詳情請參閱這項發現的記錄訊息。
  2. 如要進一步瞭解如何解決這項發現,請參閱「避免預設角色和群組」。

後續步驟