このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。使用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。
概要
誰かが、証明書署名リクエスト(CSR)を手動で削除しました。CSR はガベージ コレクション コントローラによって自動的に削除されますが、悪意のある行為者が検出を回避するために手動で削除する可能性があります。削除された CSR が承認され発行された証明書に対するものの場合、悪意のある行為者は、クラスタにアクセスするための追加の認証方法を取得します。証明書に関連付けられる権限は、含まれているサブジェクトによって異なりますが、非常に高い権限が付与される可能性があります。Kubernetes は証明書の取り消しをサポートしていません。詳細については、このアラートのログ メッセージをご覧ください。
この検出結果のソースは Event Threat Detection です。
顧客への対処方法
次の対応計画は、この検出結果に適切な場合もありますが、運用に影響する可能性もあります。調査で収集した情報を慎重に評価して、検出結果を解決する最適な方法を判断してください。
この検出結果に対応する手順は次のとおりです。
- Cloud Logging の監査ログと、この CSR に関連する他のイベントに関する追加のアラートを確認し、CSR が
approvedであるかどうか、および、CSR の作成がプリンシパルによる想定されたアクティビティであるかどうかを判断します。 - Cloud Logging で監査ログを参照して、プリンシパルによる悪意のあるアクティビティを示す徴候が他にないか判断します。例:
- CSR を削除したプリンシパルは、CSR を作成または承認したプリンシパルとは異なりますか?
- プリンシパルは他の CSR のリクエスト、作成、承認、削除を試みましたか?
- CSR 承認が想定されていなかった場合、または悪意のあるものであると判断された場合、証明書を無効にするにはクラスタで認証情報のローテーションが必要になります。クラスタ認証情報のローテーションの実行に関するガイダンスを確認してください。
次のステップ
- Security Command Center で脅威の検出結果を操作する方法を学習する。
- 脅威の検出結果のインデックスを確認する。
- Google Cloud コンソールで検出結果を確認する方法を学習する。
- 脅威の検出結果を生成するサービスについて学習する。