Diese Seite wurde von der Cloud Translation API übersetzt.

Rechteausweitung: Erstellen einer Kubernetes-CSR für Masterzertifikat

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) für das Kubernetes-Masterzertifikat erstellt, die ihm cluster-admin-Zugriff gewährt.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

Öffnen Sie das Privilege Escalation: Create Kubernetes CSR for master cert-Ergebnis, wie unter Ergebnisse prüfen beschrieben. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:
- Was wurde erkannt?, insbesondere die folgenden Felder:
  - Hauptkonto-E-Mail-Adresse: Das Konto, mit dem der Anruf getätigt wurde.
  - Methodenname: Die aufgerufene Methode.
- Betroffene Ressource, insbesondere die folgenden Felder:
  - Anzeigename der Ressource: Der Kubernetes-Cluster, in dem die Aktion ausgeführt wurde.
- Weitere Informationen, insbesondere die folgenden Felder:
  - Cloud Logging-URI: Link zu Logging-Einträgen.
  - MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
  - Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.

Schritt 2: Protokolle prüfen

Rufen Sie auf dem Tab Zusammenfassung der Funddetails in der Google Cloud -Konsole den Log-Explorer auf. Klicken Sie dazu auf den Link im Feld Cloud Logging-URI.
Prüfen Sie den Wert im Feld protoPayload.resourceName, um die spezifische Anfrage zur Zertifikatsignierung zu ermitteln.
Prüfen Sie mit den folgenden Filtern, ob das Hauptkonto andere Aktionen ausgeführt hat:
- resource.labels.cluster_name="CLUSTER_NAME"
- protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
  
  Ersetzen Sie Folgendes:
- CLUSTER_NAME: Der Wert, den Sie in den Funddetails im Feld Anzeigename der Ressource notiert haben.
- PRINCIPAL_EMAIL: Der Wert, den Sie in den Details des Ergebnisses im Feld E-Mail-Adresse des Hauptkontos notiert haben.

Schritt 3: Forschungsangriffe und Reaktionsmethoden

Prüfen Sie die MITRE-ATT&CK-Framework-Einträge für diesen Ergebnistyp: Rechteausweitung.
Prüfen Sie, ob die Gewährung des Zugriffs auf cluster-admin gerechtfertigt war.
Wenn die E-Mail-Adresse des Hauptkontos kein Dienstkonto ist, wenden Sie sich an den Inhaber, um herauszufinden, ob der rechtmäßige Kontoinhaber die Aktion ausgeführt hat.

Wenn die E‑Mail-Adresse des Hauptkontos ein IAM- oder Kubernetes-Dienstkonto ist, identifizieren Sie die Quelle der Aktion, um deren Rechtmäßigkeit festzustellen.
Wenn Sie einen Reaktionsplan entwickeln möchten, kombinieren Sie Ihre Untersuchungsergebnisse mit der MITRE-Forschung.

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsbefunde generieren