Esta página se ha traducido con Cloud Translation API.

Responder a las detecciones de amenazas de Google Kubernetes Engine

En este documento se ofrecen directrices informales sobre cómo responder a las detecciones de actividades sospechosas en sus recursos de Google Kubernetes Engine. Es posible que los pasos recomendados no sean adecuados para todas las conclusiones y que afecten a sus operaciones. Antes de tomar medidas, debes investigar los resultados, evaluar la información que recojas y decidir cómo responder.

No se garantiza que las técnicas de este documento sean eficaces contra las amenazas anteriores, actuales o futuras a las que te enfrentes. Para saber por qué Security Command Center no ofrece orientación oficial sobre cómo solucionar las amenazas, consulta el artículo Solucionar amenazas.

Antes de empezar

Revisa el resultado. Revisa el recurso de Google Kubernetes Engine afectado, el correo del principal detectado y la dirección IP de la persona que llama (si está presente). También debes revisar la detección de indicadores de vulneración (IP, dominio, hash de archivo o firma).
Para obtener más información sobre la detección que estás investigando, busca la detección en el índice de detecciones de amenazas.

Recomendaciones generales

Ponte en contacto con el propietario del proyecto que contiene el recurso que puede estar en peligro.
Determina si hay otros signos de actividad maliciosa relacionada con el recurso de GKE afectado en los registros de auditoría de Cloud Logging.
Detén o elimina el recurso de GKE vulnerado y sustitúyelo por uno nuevo.
Determina si hay otros signos de actividad maliciosa por parte de la entidad de seguridad en los registros de auditoría de Cloud Logging.
Si la cuenta principal es una cuenta de servicio (IAM o Kubernetes), identifica el origen de la modificación para determinar su legitimidad.
Si la cuenta principal que ha realizado la acción no es una cuenta de servicio, ponte en contacto con el propietario de la cuenta para confirmar si ha sido él quien ha realizado la acción.
Consulta las directrices sobre el principio de privilegio mínimo para los roles y los roles de clúster de RBAC.

Además, ten en cuenta las recomendaciones de las secciones siguientes.

Binario o biblioteca añadidos

Si el archivo binario, la secuencia de comandos o la biblioteca añadidos se iban a incluir en el contenedor, vuelve a compilar la imagen del contenedor con el archivo binario, la secuencia de comandos o la biblioteca incluidos. Para obtener información sobre las imágenes de contenedor inmutables, consulta Imágenes de contenedor en la documentación de Kubernetes.

Amenazas relacionadas con las solicitudes de firma de certificados (CSR) de Kubernetes

Revisa los registros de auditoría de Cloud Logging y las alertas adicionales de otros eventos relacionados con CSR. Determina si se ha aprobado y emitido la CSR y si se esperan acciones relacionadas con la CSR por parte del principal.
Si la aprobación de una CSR no era esperada o se determina que es maliciosa, el clúster requiere una rotación de credenciales para invalidar el certificado. Consulta las instrucciones para rotar las credenciales de tu clúster.

Hallazgos de amenazas en pods

Revisa el archivo de manifiesto del pod y su finalidad. Verifica que el pod sea legítimo y necesario.
Si el pod no es legítimo, elimínalo junto con los enlaces RBAC y las cuentas de servicio asociadas que haya usado la carga de trabajo.

Siguientes pasos

Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
Consulta el índice de hallazgos de amenazas.
Consulta cómo revisar un resultado a través de la consola Google Cloud .
Consulta información sobre los servicios que generan detecciones de amenazas.