Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.
Vista geral
Alguém eliminou manualmente um pedido de assinatura de certificado (CSR). Os CSRs são removidos automaticamente por um controlador de recolha de lixo, mas os autores maliciosos podem eliminá-los manualmente para evitar a deteção. Se o CSR eliminado for para um certificado aprovado e emitido, o ator potencialmente malicioso tem agora um método de autenticação adicional para aceder ao cluster. As autorizações associadas ao certificado variam consoante o assunto incluído, mas podem ser altamente privilegiadas. O Kubernetes não suporta a revogação de certificados. Para mais detalhes, consulte a mensagem de registo deste alerta.
A Deteção de ameaças com base em eventos é a origem desta descoberta.
Como responder
O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.
Para responder a esta descoberta, faça o seguinte:
- Reveja os registos de auditoria no Cloud Logging e os alertas adicionais para outros eventos relacionados com este CSR para determinar se o CSR foi
approvede se a criação do CSR era uma atividade esperada pelo principal. - Determine se existem outros sinais de atividade maliciosa por parte do
principal nos registos de auditoria no Cloud Logging. Por exemplo:
- O principal que eliminou o CSR é diferente do que o criou ou aprovou?
- O diretor tentou pedir, criar, aprovar ou eliminar outros CSRs?
- Se não se esperava uma aprovação de CSR ou se esta for considerada maliciosa, o cluster requer uma rotação de credenciais para invalidar o certificado. Reveja as orientações para fazer uma rotação das credenciais do cluster.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.