Esta página foi traduzida pela API Cloud Translation.

Responda às conclusões de ameaças do Google Kubernetes Engine

Este documento oferece orientações informais sobre como pode responder a conclusões de atividades suspeitas nos seus recursos do Google Kubernetes Engine. Os passos recomendados podem não ser adequados para todas as conclusões e podem afetar as suas operações. Antes de tomar qualquer medida, deve investigar as conclusões, avaliar as informações que recolhe e decidir como responder.

Não é garantido que as técnicas neste documento sejam eficazes contra ameaças anteriores, atuais ou futuras que enfrenta. Para compreender por que motivo o Security Command Center não fornece orientações de remediação oficiais para ameaças, consulte o artigo Remediar ameaças.

Antes de começar

Reveja a conclusão. Reveja o recurso do Google Kubernetes Engine afetado, o email principal detetado e o endereço IP do autor da chamada (se presente). Reveja também a detetada para encontrar indicadores de comprometimento (IP, domínio, hash de ficheiro ou assinatura).
Para saber mais acerca da descoberta que está a investigar, pesquise a descoberta no índice de descobertas de ameaças.

Recomendações gerais

Contacte o proprietário do projeto que contém o recurso potencialmente comprometido.
Determine se existem outros sinais de atividade maliciosa relacionados com o recurso do GKE afetado nos registos de auditoria no Cloud Logging.
Pare ou elimine o recurso do GKE comprometido e substitua-o por um novo.
Determine se existem outros sinais de atividade maliciosa por parte do principal nos registos de auditoria no Cloud Logging.
Se o principal for uma conta de serviço (IAM ou Kubernetes), identifique a origem da modificação para determinar a respetiva legitimidade.
Se o principal que realizou a ação não for uma conta de serviço, contacte o proprietário da conta para confirmar se o proprietário legítimo realizou a ação.
Reveja as orientações sobre o princípio do menor privilégio para as funções de CABF e as funções de cluster.

Além disso, considere as recomendações nas secções seguintes.

Adicionou binário ou biblioteca

Se o ficheiro binário, o script ou a biblioteca adicionados se destinavam a ser incluídos no contentor, recompile a imagem do contentor com o ficheiro binário, o script ou a biblioteca incluídos. Para obter informações sobre imagens de contentores imutáveis, consulte Imagens de contentores na documentação do Kubernetes.

Ameaças relacionadas com pedidos de assinatura de certificados (CSR) do Kubernetes

Reveja os registos de auditoria no Cloud Logging e os alertas adicionais para outros eventos relacionados com o CSR. Determinar se o CSR foi aprovado e emitido e se o principal deve realizar ações relacionadas com o CSR.
Se uma aprovação de CSR for inesperada ou for determinada como maliciosa, o cluster requer uma rotação de credenciais para invalidar o certificado. Reveja as orientações para rodar as credenciais do cluster.

Resultados de ameaças para pods

Reveja o ficheiro de manifesto do Pod e a respetiva finalidade. Verifique se o Pod é legítimo e necessário.
Se o pod for ilegítimo, remova-o juntamente com todas as associações RBAC e contas de serviço associadas que a carga de trabalho usou.

O que se segue?

Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
Consulte o índice de resultados de ameaças.
Saiba como rever uma descoberta através da Google Cloud consola.
Saiba mais sobre os serviços que geram resultados de ameaças.