Defense Evasion: Manuell gelöschte Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR)

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) wurde manuell gelöscht. CSRs werden automatisch von einem Garbage Collection-Controller entfernt, aber böswillige Akteure können sie manuell löschen, um einer Erkennung zu entgehen. Wenn die gelöschte CSR für ein genehmigtes und ausgestelltes Zertifikat war, hat der potenziell böswillige Akteur jetzt eine zusätzliche Authentifizierungsmethode für den Zugriff auf den Cluster. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nach enthaltenem Betreff, können aber sehr umfangreich sein. Kubernetes unterstützt den Zertifikatsperrung nicht. Weitere Informationen finden Sie in der Log-Meldung für diese Benachrichtigung.

Event Threat Detection ist die Quelle dieses Ergebnisses.

So reagieren Sie

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

1. Überprüfen Sie die Audit-Logs in Cloud Logging und zusätzliche Benachrichtigungen auf weitere Ereignisse im Zusammenhang mit dieser CSR, um festzustellen, ob die CSR approved wurde und ob die CSR-Erstellung eine vom Hauptkonto erwartete Aktivität war.
2. Stellen Sie fest, ob die Audit-Logs in Cloud Logging weitere Anzeichen für schädliche Aktivitäten des Hauptkontos enthalten. Beispiel:
   • Unterscheidet sich das Hauptkonto, das die CSR gelöscht hat, von dem Hauptkonto, das sie erstellt oder genehmigt hat?
   • Hat das Hauptkonto versucht, andere CSRs anzufordern, zu erstellen, zu genehmigen oder zu löschen?
3. Wenn eine CSR-Genehmigung nicht erwartet wurde oder als schädlich eingestuft wird, ist für den Cluster eine Rotation von Anmeldedaten erforderlich, um das Zertifikat ungültig zu machen. Lesen Sie die Anleitung zum Rotieren der Clusteranmeldedaten.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsbefunde generieren