Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.
Présentation
Un acteur potentiellement malveillant a utilisé l'un des utilisateurs ou groupes d'utilisateurs Kubernetes par défaut suivants pour créer une ressource Kubernetes dans le cluster :
system:anonymoussystem:authenticatedsystem:unauthenticated
Ces utilisateurs et groupes sont effectivement anonymes. Une liaison de contrôle d'accès basé sur les rôles (RBAC) dans votre cluster a accordé à cet utilisateur l'autorisation de créer ces ressources dans le cluster.
Event Threat Detection est la source de ce résultat.
Comment répondre
Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.
Pour répondre à ce résultat, procédez comme suit :
- Examinez la ressource créée et la liaison RBAC associée pour vous assurer que la liaison est nécessaire. Si la liaison n'est pas nécessaire, supprimez-la. Pour en savoir plus, consultez le message du journal concernant ce problème.
- Pour savoir comment résoudre ce problème, consultez Éviter les rôles et les groupes par défaut.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
- Consultez l'index des résultats sur les menaces.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- En savoir plus sur les services qui génèrent des résultats de détection des menaces