En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.
Información general
Alguien ha creado un objeto ClusterRole de control de acceso basado en roles que contiene los verbos bind, escalate o impersonate. Un sujeto vinculado a un rol con estos verbos puede suplantar la identidad de otros usuarios con privilegios superiores, vincularse a objetos Role o ClusterRole adicionales que contengan permisos adicionales o modificar sus propios permisos ClusterRole. Esto podría provocar que esos temas obtengan privilegios cluster-admin. Para obtener más información, consulta el mensaje de registro de esta alerta.
Cómo responder
Para responder a esta observación, sigue estos pasos:
- Consulte la
ClusterRoley laClusterRoleBindingsasociada para comprobar si los temas realmente requieren estos permisos. - Si es posible, evita crear roles que incluyan los verbos
bind,escalateoimpersonate. - Determina si hay otros signos de actividad maliciosa por parte de la entidad de seguridad en los registros de auditoría de Cloud Logging.
- Cuando asignes permisos en un rol de control de acceso basado en roles, aplica el principio de privilegio mínimo y concede los permisos mínimos necesarios para realizar una tarea. Si aplicas el principio del privilegio mínimo, se reduce la posibilidad de que se produzca una apropiación de privilegios si tu clúster se ve comprometido, así como la probabilidad de que un acceso excesivo provoque un incidente de seguridad.
Siguientes pasos
- Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
- Consulta el índice de hallazgos de amenazas.
- Consulta cómo revisar un resultado a través de la consola Google Cloud .
- Consulta información sobre los servicios que generan detecciones de amenazas.