本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
可能有惡意的行為人試圖使用 kubectl
auth can-i get 指令,判斷可以查詢 GKE 中的哪些機密物件。具體來說,攻擊者執行了下列任一指令:
kubectl auth can-i get '*'kubectl auth can-i get secretskubectl auth can-i get clusterroles/cluster-admin
回應方式
如要回應這項發現,請按照下列步驟操作:
步驟 1:查看調查結果詳細資料
- 按照「查看結果」一文的說明,開啟
Discovery: Can get sensitive Kubernetes object check發現項目。 在「摘要」分頁的發現項目詳細資料中,記下下列欄位的值:
- 在「偵測到的內容」下方:
- Kubernetes 存取權審查:根據
SelfSubjectAccessReviewk8s 資源,要求存取權審查資訊。 - 主體電子郵件地址:發出呼叫的帳戶。
- Kubernetes 存取權審查:根據
- 在「受影響的資源」下方:
- 資源顯示名稱:發生動作的 Kubernetes 叢集。
- 在「相關連結」下方:
- Cloud Logging URI:記錄檔項目的連結。
- 在「偵測到的內容」下方:
步驟 2:檢查記錄
- 在「發現項目詳細資料」面板的「摘要」分頁中,按一下「Cloud Logging URI」連結,開啟「記錄檔探索工具」。
在載入的頁面上,使用下列篩選器檢查主體執行的其他動作:
resource.labels.cluster_name="CLUSTER_NAME"protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"更改下列內容:
CLUSTER_NAME:您在調查結果詳細資料的「資源顯示名稱」欄位中記下的值。PRINCIPAL_EMAIL:您在調查結果詳細資料的「主要電子郵件」欄位中記錄的值。
步驟 3:研究攻擊和回應方法
- 查看這類發現項目的 MITRE ATT&CK 架構項目: 探索
- 確認所查詢物件的機密程度,並判斷記錄中是否有其他跡象,表明主體進行了惡意活動。
在發現項目詳細資料,如果「主體電子郵件地址」列載明的帳戶並非服務帳戶,請與帳戶擁有者聯絡,確認正當擁有者是否執行了這項操作。
如果主體電子郵件地址為服務帳戶 (IAM 或 Kubernetes),請找出存取權檢查來源來判斷正當性。
如要制定回應計畫,請將調查結果與 MITRE 研究結合。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。