Penghindaran Pertahanan: Permintaan Penandatanganan Sertifikat (CSR) yang Dihapus Secara Manual

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Seseorang menghapus permintaan penandatanganan sertifikat (CSR) secara manual. CSR dihapus secara otomatis oleh pengontrol pengumpulan sampah, tetapi pelaku kejahatan mungkin menghapusnya secara manual untuk menghindari deteksi. Jika CSR yang dihapus adalah untuk sertifikat yang disetujui dan diterbitkan, aktor yang berpotensi berbahaya kini memiliki metode autentikasi tambahan untuk mengakses cluster. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang tinggi. Kubernetes tidak mendukung pencabutan sertifikat. Untuk mengetahui detail selengkapnya, lihat pesan log untuk notifikasi ini.

Event Threat Detection adalah sumber temuan ini.

Cara merespons

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

Untuk menanggapi temuan ini, lakukan hal berikut:

1. Tinjau log audit di Cloud Logging dan pemberitahuan tambahan untuk peristiwa lain yang terkait dengan CSR ini guna menentukan apakah CSR tersebut approved dan apakah pembuatan CSR merupakan aktivitas yang diharapkan oleh prinsipal.
2. Tentukan apakah ada tanda-tanda lain dari aktivitas berbahaya oleh principal dalam log audit di Cloud Logging. Contoh:
   • Apakah kepala sekolah yang menghapus CSR berbeda dengan kepala sekolah yang membuat atau menyetujuinya?
   • Apakah akun utama telah mencoba meminta, membuat, menyetujui, atau menghapus CSR lain?
3. Jika persetujuan CSR tidak diharapkan, atau ditentukan sebagai berbahaya, cluster akan memerlukan penggantian kredensial untuk membatalkan validitas sertifikat. Tinjau panduan untuk melakukan rotasi kredensial cluster Anda.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.