Diese Seite wurde von der Cloud Translation API übersetzt.

Auf Google Kubernetes Engine-Bedrohungsbefunde reagieren

Dieses Dokument enthält informelle Anleitungen dazu, wie Sie auf verdächtige Aktivitäten in Ihren Google Kubernetes Engine-Ressourcen reagieren können. Die empfohlenen Schritte sind möglicherweise nicht für alle Ergebnisse geeignet und können sich auf Ihre Abläufe auswirken. Bevor Sie Maßnahmen ergreifen, sollten Sie die Ergebnisse untersuchen, die gesammelten Informationen bewerten und entscheiden, wie Sie reagieren möchten.

Die Techniken in diesem Dokument können nicht garantieren, dass sie vor vorherigen, aktuellen oder zukünftigen Bedrohungen wirksam sind. Unter Bedrohungen beheben erfahren Sie, warum Security Command Center keine offizielle Korrekturmaßnahme für Bedrohungen bietet.

Hinweise

Ergebnis überprüfen: Prüfen Sie die betroffene Google Kubernetes Engine-Ressource, die erkannte E-Mail-Adresse des Principals und die IP-Adresse des Aufrufers (falls vorhanden). Sehen Sie sich auch die Ergebnisse nach Indikatoren für Kompromittierung (IP, Domain, Datei-Hash oder Signatur) an.
Wenn Sie mehr über das Ergebnis erfahren möchten, das Sie untersuchen, suchen Sie im Index der Bedrohungsergebnisse danach.

Allgemeine Empfehlungen

Wenden Sie sich an den Inhaber des Projekts, das die potenziell manipulierte Ressource enthält.
Stellen Sie fest, ob die Audit-Logs in Cloud Logging weitere Anzeichen für schädliche Aktivitäten im Zusammenhang mit der betroffenen GKE-Ressource enthalten.
Beenden oder löschen Sie die manipulierte GKE-Ressource und ersetzen Sie sie durch eine neue.
Stellen Sie fest, ob die Audit-Logs in Cloud Logging weitere Anzeichen für schädliche Aktivitäten des Hauptkontos enthalten.
Wenn das Hauptkonto ein IAM- oder Kubernetes-Dienstkonto ist, identifizieren Sie die Quelle der Änderung, um deren Rechtmäßigkeit zu ermitteln.
Wenn das Hauptkonto, das die Aktion ausgeführt hat, kein Dienstkonto ist, wenden Sie sich an den Inhaber, um herauszufinden, ob der rechtmäßige Kontoinhaber die Aktion ausgeführt hat.
Lesen Sie die Anleitung zum Prinzip der geringsten Berechtigung für die RBAC-Rollen und Clusterrollen.

Beachten Sie außerdem die Empfehlungen in den folgenden Abschnitten.

Hinzugefügte Binärdatei oder Bibliothek

Wenn das hinzugefügte Binärprogramm, Skript oder die Bibliothek im Container enthalten sein sollte, erstellen Sie das Container-Image mit dem Binärprogramm, Skript oder der Bibliothek neu. Informationen zu unveränderlichen Container-Images finden Sie in der Kubernetes-Dokumentation unter Container-Images.

Bedrohungen im Zusammenhang mit Kubernetes-Anfragen zur Zertifikatssignierung (Certificate Signing Requests, CSR)

Überprüfen Sie die Audit-Logs in Cloud Logging und zusätzliche Benachrichtigungen auf andere CSR-bezogene Ereignisse. Stellen Sie fest, ob die CSR genehmigt und ausgestellt wurde und ob die CSR-bezogenen Aktionen vom Hauptkonto erwartet werden.
Wenn eine CSR-Genehmigung nicht erwartet wurde oder als schädlich eingestuft wird, ist für den Cluster eine Rotation von Anmeldedaten erforderlich, um das Zertifikat ungültig zu machen. Lesen Sie die Anleitung zum Rotieren der Clusteranmeldedaten.

Gefundene Bedrohungen für Pods

Sehen Sie sich die Manifestdatei des Pods und seinen Zweck an. Prüfen Sie, ob der Pod rechtmäßig und erforderlich ist.
Wenn der Pod nicht rechtmäßig ist, entfernen Sie ihn zusammen mit allen zugehörigen RBAC-Bindungen und Dienstkonten, die von der Arbeitslast verwendet wurden.

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsbefunde generieren