Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.
Ringkasan
Seseorang membuat Pod yang berisi perintah atau argumen yang biasanya terkait dengan reverse shell. Penyerang menggunakan reverse shell untuk memperluas atau mempertahankan akses awal mereka ke cluster dan untuk mengeksekusi perintah arbitrer. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.
Cara merespons
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.
Untuk menanggapi temuan ini, lakukan hal berikut:
- Konfirmasi bahwa Pod memiliki alasan yang sah untuk menentukan perintah dan argumen ini.
- Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya dari Pod atau pokok di log audit di Cloud Logging.
- Jika akun utama bukan akun layanan (IAM atau Kubernetes), hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
- Jika akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi keabsahan penyebab akun layanan melakukan tindakan ini
- Jika Pod tidak sah, hapus Pod tersebut, beserta binding RBAC dan akun layanan terkait yang digunakan beban kerja dan yang memungkinkan pembuatannya.
Langkah berikutnya
- Pelajari cara menangani temuan ancaman di Security Command Center.
- Lihat Indeks temuan ancaman.
- Pelajari cara meninjau temuan melalui konsol Google Cloud .
- Pelajari layanan yang menghasilkan temuan ancaman.