Ce document fournit des conseils informels sur la façon de réagir aux activités suspectes détectées dans vos ressources Google Kubernetes Engine. Les étapes recommandées peuvent ne pas convenir à tous les problèmes et peuvent avoir un impact sur vos opérations. Avant d'agir, vous devez examiner les résultats, évaluer les informations que vous collectez et décider comment réagir.
L'efficacité des techniques décrites dans ce document n'est pas garantie contre les menaces passées, actuelles ou futures. Pour savoir pourquoi Security Command Center ne fournit pas de conseils officiels pour la résolution des menaces, consultez la page Corriger les menaces.
Avant de commencer
- Examinez le problème. Examinez la ressource Google Kubernetes Engine concernée, l'adresse e-mail du principal détecté et l'adresse IP de l'appelant (le cas échéant). Examinez également le résultat pour identifier les indicateurs de compromission (adresse IP, domaine, hachage de fichier ou signature).
- Pour en savoir plus sur le résultat que vous examinez, recherchez-le dans l'index des résultats de menace.
Recommandations générales
- Contactez le propriétaire du projet contenant la ressource potentiellement compromise.
- Déterminez s'il existe d'autres signes d'activité malveillante liée à la ressource GKE concernée dans les journaux d'audit de Cloud Logging.
- Arrêtez ou supprimez la ressource GKE compromise et remplacez-la par une nouvelle.
- Déterminez s'il existe d'autres signes d'activité malveillante de la part du compte principal dans les journaux d'audit de Cloud Logging.
- Si le compte principal est un compte de service (IAM ou Kubernetes), identifiez la source de la modification pour déterminer sa légitimité.
- Si le compte principal à l'origine de l'action n'est pas un compte de service, contactez le propriétaire du compte pour confirmer que ce propriétaire légitime est bien à l'origine de l'action.
- Consultez les conseils sur le principe du moindre privilège pour les rôles RBAC et les rôles de cluster.
Tenez également compte des recommandations des sections suivantes.
Fichier binaire ou bibliothèque ajoutés
Si le binaire, le script ou la bibliothèque ajoutés étaient censés être inclus dans le conteneur, recréez l'image de conteneur en incluant le binaire, le script ou la bibliothèque. Pour en savoir plus sur les images de conteneurs immuables, consultez Images de conteneurs dans la documentation Kubernetes.
Menaces liées aux demandes de signature de certificat (CSR) Kubernetes
- Examinez les journaux d'audit dans Cloud Logging et les alertes supplémentaires pour les autres événements liés aux CSR. Déterminez si la CSR a été approuvée et émise, et si les actions liées à la CSR sont attendues de la part du compte principal.
- Si l'approbation d'une requête de signature de certificat n'était pas attendue ou si celle-ci est considérée comme malveillante, une rotation des identifiants du cluster est nécessaire pour invalider le certificat. Consultez les instructions pour effectuer une rotation des identifiants de cluster.
Menaces détectées pour les pods
- Examinez le fichier manifeste du pod et son objectif. Vérifiez que le pod est légitime et nécessaire.
- Si le pod n'est pas légitime, supprimez-le, ainsi que toutes les liaisons RBAC et comptes de service associés utilisés par la charge de travail.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
- Consultez l'index des résultats de menace.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- En savoir plus sur les services qui génèrent des résultats de détection des menaces