Se usó la API de Cloud Translation para traducir esta página.

Evasión de defensa: Se actualizó la implementación de la carga de trabajo de anulación de emergencia

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Breakglass Workload Deployment Updated se detecta examinando los registros de auditoría de Cloud para ver si hay actualizaciones en las cargas de trabajo que usan la marca de emergencia para anular los controles de Autorización Binaria.

Cómo responder

Para responder a este hallazgo, haz lo siguiente:

Paso 1: Revisa los detalles del hallazgo

Abre el hallazgo de Defense Evasion: Breakglass Workload Deployment Updated, como se indica en Revisa los hallazgos. Se abrirá el panel de detalles del hallazgo, en el que se mostrará la pestaña Resumen.
En la pestaña Resumen, revisa la información de las siguientes secciones:
- Qué se detectó, especialmente los siguientes campos:
  - Correo electrónico principal: Es la cuenta que realizó la modificación.
  - Nombre del método: Es el método al que se llamó.
  - Pods de Kubernetes: El nombre y el espacio de nombres del pod.
- Recurso afectado, en especial el siguiente campo:
  - Nombre visible del recurso: Es el espacio de nombres de GKE en el que se produjo la actualización.
- Vínculos relacionados:
  - URI de Cloud Logging: Es el vínculo a las entradas de Logging.
  - Método MITRE ATT&CK: Vínculo a la documentación de MITRE ATT&CK.
  - Resultados relacionados: Vínculos a los resultados relacionados

Paso 2: Comprueba los registros

En la pestaña Resumen de los detalles del hallazgo en la consola de Google Cloud , haz clic en el vínculo del campo URI de Cloud Logging para ir al Explorador de registros.
Verifica el valor en el campo protoPayload.resourceName para identificar la solicitud de firma de certificado específica.
Verifica otras acciones que realizó el principal con los siguientes filtros:
- resource.labels.cluster_name="CLUSTER_NAME"
- protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
  
  Reemplaza lo siguiente:
- CLUSTER_NAME: Es el valor que anotaste en el campo Nombre visible del recurso en los detalles del hallazgo.
- PRINCIPAL_EMAIL: El valor que anotaste en el campo Correo electrónico del principal en los detalles del hallazgo.

Paso 3: Investiga los métodos de ataque y respuesta

Revisa la entrada del framework de MITRE ATT&CK para este tipo de resultado: Defense Evasion: Breakglass Workload Deployment.
Haz clic en el vínculo de Resultados relacionados en la fila Resultados relacionados de la pestaña Resumen de los detalles del resultado para revisar los resultados relacionados.
Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación del MITRE.

¿Qué sigue?

Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
Consulta el Índice de resultados de amenazas.
Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
Obtén más información sobre los servicios que generan hallazgos de amenazas.