Halaman ini diterjemahkan oleh Cloud Translation API.

Menanggapi temuan ancaman Google Kubernetes Engine

Dokumen ini menawarkan panduan informal tentang cara merespons temuan aktivitas mencurigakan di resource Google Kubernetes Engine Anda. Langkah-langkah yang direkomendasikan mungkin tidak sesuai untuk semua temuan dan dapat memengaruhi operasi Anda. Sebelum mengambil tindakan apa pun, Anda harus menyelidiki temuan tersebut, menilai informasi yang Anda kumpulkan, dan memutuskan cara meresponsnya.

Teknik dalam dokumen ini tidak dijamin efektif terhadap ancaman sebelumnya, saat ini, atau di masa mendatang yang Anda hadapi. Untuk memahami alasan Security Command Center tidak memberikan panduan perbaikan resmi untuk ancaman, lihat Memperbaiki ancaman.

Sebelum memulai

Tinjau temuan. Tinjau resource Google Kubernetes Engine yang terpengaruh, email utama yang terdeteksi, dan alamat IP pemanggil (jika ada). Tinjau juga temuan untuk mengetahui indikator kompromi (IP, domain, hash file, atau tanda tangan).
Untuk mempelajari lebih lanjut temuan yang sedang Anda selidiki, telusuri temuan tersebut di indeks Temuan ancaman.

Rekomendasi umum

Hubungi pemilik project yang berisi resource yang berpotensi disusupi.
Tentukan apakah ada tanda-tanda lain dari aktivitas berbahaya yang terkait dengan resource GKE yang terpengaruh dalam log audit di Cloud Logging.
Hentikan atau hapus resource GKE yang terkompromi dan ganti dengan yang baru.
Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh pokok dalam log audit di Cloud Logging.
Jika akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber modifikasi untuk menentukan keabsahannya.
Jika akun utama yang melakukan tindakan bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
Tinjau panduan tentang prinsip hak istimewa terendah untuk peran RBAC dan peran cluster.

Selain itu, pertimbangkan rekomendasi di bagian berikut.

Menambahkan biner atau library

Jika biner, skrip, atau library yang ditambahkan dimaksudkan untuk disertakan dalam penampung, bangun kembali image penampung dengan biner, skrip, atau library yang disertakan. Untuk mengetahui informasi tentang image container yang tidak dapat diubah, lihat Image container di dokumentasi Kubernetes.

Ancaman terkait permintaan penandatanganan sertifikat (CSR) Kubernetes

Tinjau log audit di Cloud Logging dan pemberitahuan tambahan untuk peristiwa terkait CSR lainnya. Tentukan apakah CSR disetujui dan dikeluarkan serta apakah tindakan terkait CSR diharapkan dari prinsipal.
Jika persetujuan CSR tidak terduga atau ditentukan berbahaya, cluster memerlukan penggantian kredensial untuk membatalkan validitas sertifikat. Tinjau panduan untuk merotasi kredensial cluster Anda.

Temuan ancaman untuk Pod

Tinjau file manifes Pod dan tujuannya. Verifikasi bahwa Pod sah dan diperlukan.
Jika Pod tidak sah, hapus Pod tersebut beserta binding RBAC dan akun layanan terkait yang digunakan beban kerja.

Langkah berikutnya

Pelajari cara menangani temuan ancaman di Security Command Center.
Lihat Indeks temuan ancaman.
Pelajari cara meninjau temuan melalui konsol Google Cloud .
Pelajari layanan yang menghasilkan temuan ancaman.