Evasión de defensas: se ha actualizado la implementación de cargas de trabajo de emergencia

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Breakglass Workload Deployment Updated se detecta examinando los registros de auditoría de Cloud para ver si hay alguna actualización en las cargas de trabajo que usan la marca de acceso de emergencia para anular los controles de autorización binaria.

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

1. Abre el Defense Evasion: Breakglass Workload Deployment Updated, tal como se indica en el artículo Revisar los resultados. Se abrirá el panel de detalles del hallazgo, que mostrará la pestaña Resumen.

2. En la pestaña Resumen, consulte la información de las siguientes secciones:

   • Qué se detectó, especialmente los siguientes campos:
     • Correo principal: la cuenta que ha realizado la modificación.
     • Nombre del método: el método al que se ha llamado.
     • Pods de Kubernetes: el nombre y el espacio de nombres del pod.
   • Recurso afectado, especialmente el siguiente campo:
     • Nombre visible del recurso: el espacio de nombres de GKE en el que se ha producido la actualización.
   • Enlaces relacionados:
     • URI de Cloud Logging: enlace a las entradas de registro.
     • Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
     • Hallazgos relacionados: enlaces a los hallazgos relacionados.

Paso 2: Consulta los registros

1. En la pestaña Resumen de los detalles de la detección en la consola de Google Cloud , vaya a Explorador de registros haciendo clic en el enlace del campo URI de Cloud Logging.
2. Compruebe el valor del campo protoPayload.resourceName para identificar la solicitud de firma de certificado específica.

3. Comprueba otras acciones realizadas por la entidad de seguridad mediante los siguientes filtros:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Haz los cambios siguientes:

   • CLUSTER_NAME: el valor que has anotado en el campo Nombre visible de recurso de los detalles de la detección.

   • PRINCIPAL_EMAIL: el valor que has anotado en el campo Correo principal de los detalles de la detección.

Paso 3: Investiga los métodos de ataque y respuesta

1. Consulta la entrada del framework ATT&CK de MITRE para este tipo de resultado: Evasión de defensas: implementación de carga de trabajo de emergencia.
2. Para consultar los hallazgos relacionados, haga clic en el enlace de la sección Hallazgos relacionados de la fila Hallazgos relacionados de la pestaña Resumen de los detalles del hallazgo.
3. Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.

Siguientes pasos

• Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
• Consulta el índice de hallazgos de amenazas.
• Consulta cómo revisar un resultado a través de la consola Google Cloud .
• Consulta información sobre los servicios que generan detecciones de amenazas.