本文提供非正式指引,說明如何回應 Google Kubernetes Engine 資源中發現的可疑活動。建議步驟可能不適用於所有發現項目,且可能會影響作業。採取任何行動前,請先調查結果、評估收集到的資訊,然後決定如何回應。
我們無法保證本文所述技術可有效防範您先前、目前或未來面臨的任何威脅。如要瞭解 Security Command Center 為何不提供官方威脅補救指南,請參閱「補救威脅」。
事前準備
- 查看調查結果。 查看受影響的 Google Kubernetes Engine 資源、偵測到的主體電子郵件地址,以及呼叫端 IP 位址 (如有)。此外,也請查看遭入侵指標 (IP、網域、檔案雜湊或簽章) 的發現項目。
- 如要進一步瞭解您正在調查的發現項目,請在威脅發現項目索引中搜尋該發現項目。
一般建議
- 請與含有可能遭入侵資源的專案擁有者聯絡。
- 請查看 Cloud Logging 中的稽核記錄,判斷是否有與受影響 GKE 資源相關的其他惡意活動跡象。
- 停止或刪除遭入侵的 GKE 資源,並換成新的資源。
- 判斷 Cloud Logging 稽核記錄中,是否有主體進行惡意活動的其他跡象。
- 如果主體為服務帳戶 (IAM 或 Kubernetes),請找出修改來源來判斷正當性。
- 如果執行操作的主體並非服務帳戶,請與帳戶擁有者聯絡,確認正當擁有者是否執行了該項操作。
- 請參閱 RBAC 角色和叢集角色的最小權限原則指南。
此外,請參考下列各節的建議。
新增二進位檔或程式庫
如果新增的二進位檔、指令碼或程式庫原本就應包含在容器中,請重建容器映像檔,並納入二進位檔、指令碼或程式庫。如要瞭解不可變動的容器映像檔,請參閱 Kubernetes 說明文件中的「容器映像檔」。
與 Kubernetes 憑證簽署要求 (CSR) 相關的威脅
- 查看 Cloud Logging 稽核記錄和其他快訊,瞭解與 CSR 相關的其他事件。判斷 CSR 是否已核准並核發,以及主體是否預期會執行 CSR 相關動作。
- 如果 CSR 意外獲核准,或經判定屬於惡意行動,叢集必須輪換憑證,使憑證失效。請參閱相關指南,瞭解如何輪替叢集憑證。
Pod 的威脅發現項目
- 查看 Pod 的資訊清單檔案及其用途。確認 Pod 具正當性且為必要。
- 請移除不正當的 Pod,以及工作負載所使用的任何相關聯 RBAC 繫結和服務帳戶。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。