Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.
Panoramica
Qualcuno ha creato un oggetto RBAC ClusterRole che contiene i verbi bind, escalate o
impersonate. Un soggetto associato a un ruolo con questi verbi può
rappresentare altri utenti con privilegi più elevati, associarsi ad altri oggetti Role
o ClusterRole che contengono autorizzazioni aggiuntive o modificare le proprie
autorizzazioni ClusterRole. Ciò potrebbe portare a ottenere privilegi cluster-admin. Per maggiori dettagli, consulta il messaggio di log per questo
avviso.
Come rispondere
Per rispondere a questo risultato:
- Esamina il
ClusterRolee ilClusterRoleBindingsassociato per verificare se i soggetti richiedono effettivamente queste autorizzazioni. - Se possibile, evita di creare ruoli che coinvolgano i verbi
bind,escalateoimpersonate. - Determina se esistono altri indicatori di attività dannosa da parte dell'entità negli audit log in Cloud Logging.
- Quando si assegnano le autorizzazioni in un ruolo RBAC, utilizza il principio del privilegio minimo e concedi le autorizzazioni minime necessarie per eseguire un'attività. L'utilizzo del principio del privilegio minimo riduce il rischio di escalation dei privilegi qualora il cluster venga compromesso, nonché la probabilità che un accesso eccessivo causi un incidente di sicurezza.
Passaggi successivi
- Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
- Consulta l'indice dei risultati delle minacce.
- Scopri come esaminare un risultato tramite la console Google Cloud .
- Scopri di più sui servizi che generano risultati di minacce.