En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.
Descripción general
Alguien usó los comandos exec o attach para obtener un shell o ejecutar un comando en un contenedor que se ejecuta en el espacio de nombres kube-system. A veces, estos métodos se usan para fines de depuración legítimos. Sin embargo, el kube-system
namespace está diseñado para objetos del sistema creados por Kubernetes, y se debe revisar la ejecución inesperada de comandos o la creación de shells. Para obtener más detalles, consulta el mensaje de registro de esta alerta.
Cómo responder
Para responder a este hallazgo, haz lo siguiente:
- Revisa los registros de auditoría en Cloud Logging para determinar si esta era la actividad esperada por la principal.
- Determina si hay otros indicios de actividad maliciosa por parte de la principal en los registros.
Revisa la información para usar el principio de privilegio mínimo de los roles de RBAC y de clúster que permitieron este acceso.
¿Qué sigue?
- Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
- Consulta el Índice de resultados de amenazas.
- Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
- Obtén más información sobre los servicios que generan hallazgos de amenazas.