Se usó la API de Cloud Translation para traducir esta página.

Cómo responder a los resultados de amenazas de Google Kubernetes Engine

En este documento, se ofrece orientación informal sobre cómo puedes responder a los hallazgos de actividades sospechosas en tus recursos de Google Kubernetes Engine. Es posible que los pasos recomendados no sean adecuados para todos los hallazgos y que afecten tus operaciones. Antes de tomar cualquier medida, debes investigar los hallazgos, evaluar la información que recopiles y decidir cómo responder.

No se garantiza que las técnicas de este documento sean efectivas contra cualquier amenaza anterior, actual o futura que te encuentres. Para comprender por qué Security Command Center no proporciona una guía oficial de solución de amenazas, consulta Soluciona amenazas.

Antes de comenzar

Revisa el hallazgo. Revisa el recurso de Google Kubernetes Engine afectado, el correo electrónico principal detectado y la dirección IP del llamador (si está presente). También revisa el hallazgo para detectar indicadores de vulneración (IP, dominio, hash de archivo o firma).
Para obtener más información sobre el hallazgo que estás investigando, búscalo en el índice de hallazgos de amenazas.

Recomendaciones generales

Comunícate con el propietario del proyecto que contiene el recurso potencialmente vulnerado.
Determina si hay otros indicios de actividad maliciosa relacionados con el recurso de GKE afectado en los registros de auditoría de Cloud Logging.
Detén o borra el recurso de GKE comprometido y reemplázalo por uno nuevo.
Determina si hay otros indicios de actividad maliciosa por parte de la principal en los registros de auditoría de Cloud Logging.
Si la principal es una cuenta de servicio (IAM o Kubernetes), identifica el origen de la modificación para determinar su legitimidad.
Si la principal que realizó la acción no es una cuenta de servicio, comunícate con el propietario de la cuenta para confirmar si el propietario legítimo realizó la acción.
Revisa la orientación sobre el principio de privilegio mínimo para los roles de RBAC y los roles de clúster.

Además, ten en cuenta las recomendaciones de las siguientes secciones.

Se agregó un objeto binario o una biblioteca

Si el archivo binario, la secuencia de comandos o la biblioteca agregados se debían incluir en el contenedor, vuelve a compilar la imagen de contenedor con el archivo binario, la secuencia de comandos o la biblioteca incluidos. Para obtener información sobre las imágenes de contenedor inmutables, consulta Imágenes de contenedor en la documentación de Kubernetes.

Amenazas relacionadas con las solicitudes de firma de certificados (CSR) de Kubernetes

Revisa los registros de auditoría en Cloud Logging y las alertas adicionales para otros eventos relacionados con la CSR. Determina si se aprobó y emitió la CSR, y si las acciones relacionadas con esta son esperadas por parte de la principal.
Si no se esperaba una aprobación de CSR o se determina que es maliciosa, el clúster requiere una rotación de credenciales para invalidar el certificado. Revisa la guía para rotar las credenciales de tu clúster.

Hallazgos de amenazas para los Pods

Revisa el archivo de manifiesto del Pod y su propósito. Verifica que el Pod sea legítimo y necesario.
Si el Pod es ilegítimo, quítalo junto con las vinculaciones de RBAC y las cuentas de servicio asociadas que usó la carga de trabajo.

¿Qué sigue?

Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
Consulta el Índice de resultados de amenazas.
Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
Obtén más información sobre los servicios que generan hallazgos de amenazas.