本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
有人手動刪除了憑證簽署要求 (CSR)。垃圾收集控制器會自動移除 CSR,但惡意行為者可能會手動刪除 CSR,以規避偵測。如果遭刪除的 CSR 是用於已核准及核發的憑證,惡意行為人現在就多了一種驗證方法,可存取叢集。憑證相關聯的權限取決於憑證包含的主體,但可能屬於高權限。Kubernetes 不支援憑證撤銷。詳情請參閱這項快訊的記錄訊息。
回應方式
下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。
如要回應這項發現,請按照下列步驟操作:
- 查看 Cloud Logging 稽核記錄和其他快訊,透過與這個 CSR 相關的其他事件,判斷 CSR 是否
approved,以及主體是否預期會建立 CSR。 - 判斷 Cloud Logging 稽核記錄中,是否有主體進行惡意活動的其他跡象。例如:
- 刪除 CSR 的主體是否與建立或核准 CSR 的主體不同?
- 主體是否曾嘗試要求、建立、核准或刪除其他 CSR?
- 如果 CSR 意外獲核准,或經判定屬於惡意行動,叢集必須輪換憑證,使憑證失效。請參閱相關指南,瞭解如何輪換叢集憑證。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。