Questo documento offre indicazioni informali su come rispondere ai risultati di attività sospette nelle risorse Google Kubernetes Engine. I passaggi consigliati potrebbero non essere appropriati per tutti i risultati e potrebbero influire sulle tue operazioni. Prima di intraprendere qualsiasi azione, devi esaminare i risultati, valutare le informazioni raccolte e decidere come rispondere.
Non è garantito che le tecniche descritte in questo documento siano efficaci contro minacce precedenti, attuali o future che potresti affrontare. Per capire perché Security Command Center non fornisce indicazioni ufficiali per la correzione delle minacce, vedi Correzione delle minacce.
Prima di iniziare
- Rivedi il risultato. Esamina la risorsa Google Kubernetes Engine interessata, l'email del principal rilevato e l'indirizzo IP del chiamante (se presente). Esamina anche il risultato per gli indicatori di compromissione (IP, dominio, hash del file o firma).
- Per scoprire di più sul risultato che stai esaminando, cerca il risultato nell'indice dei risultati delle minacce.
Consigli generali
- Contatta il proprietario del progetto che contiene la risorsa potenzialmente compromessa.
- Determina se esistono altri indicatori di attività dannosa relativi alla risorsa GKE interessata negli audit log in Cloud Logging.
- Interrompi o elimina la risorsa GKE compromessa e sostituiscila con una nuova.
- Determina se esistono altri indicatori di attività dannosa da parte dell'entità negli audit log in Cloud Logging.
- Se l'entità è un account di servizio (IAM o Kubernetes), identifica l'origine della modifica per determinarne la legittimità.
- Se l'entità che ha eseguito l'azione non è un account di servizio, contatta il proprietario dell'account per confermare se l'azione è stata eseguita dal legittimo proprietario.
- Esamina le indicazioni sul principio del privilegio minimo per i ruoli RBAC e i ruoli del cluster.
Inoltre, prendi in considerazione i consigli riportati nelle sezioni seguenti.
Programma binario o libreria aggiuntivi
Se il file binario, lo script o la libreria aggiunti dovevano essere inclusi nel container, ricrea l'immagine container con il file binario, lo script o la libreria inclusi. Per informazioni sulle immagini container immutabili, consulta Immagini container nella documentazione di Kubernetes.
Minacce relative alle richieste di firma del certificato (CSR) di Kubernetes
- Esamina gli audit log in Cloud Logging e gli avvisi aggiuntivi per altri eventi correlati alle CSR. Determina se la CSR è stata approvata ed emessa e se le azioni correlate alla CSR sono previste dall'entità.
- Se l'approvazione di una CSR non era prevista o è stata determinata come dannosa, il cluster richiede una rotazione delle credenziali per invalidare il certificato. Consulta le indicazioni per la rotazione delle credenziali del cluster.
Risultati delle minacce per i pod
- Esamina il file manifest del pod e il suo scopo. Verifica che il Pod sia legittimo e necessario.
- Se il pod non è legittimo, rimuovilo insieme a eventuali associazioni RBAC e service account associati utilizzati dal workload.
Passaggi successivi
- Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
- Consulta l'indice dei risultati delle minacce.
- Scopri come esaminare un risultato tramite la console Google Cloud .
- Scopri di più sui servizi che generano risultati di minacce.