Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.
Visão geral
Alguém criou um objeto ClusterRole do RBAC que contém os verbos bind, escalate ou
impersonate. Um sujeito vinculado a uma função com esses verbos pode
se passar por outros usuários com privilégios mais altos, se vincular a outros objetos Role
ou ClusterRole que contêm permissões adicionais ou modificar as próprias
permissões de ClusterRole. Isso pode fazer com que esses indivíduos recebam privilégios de
cluster-admin. Para mais detalhes, consulte a mensagem de registro desse alerta.
Como responder
Para responder a essa descoberta, faça o seguinte:
- Revise o
ClusterRolee oClusterRoleBindingsassociado para verificar se os sujeitos realmente precisam dessas permissões. - Se possível, evite criar papéis com os verbos
bind,escalateouimpersonate. - Determine se há outros sinais de atividade maliciosa do principal nos registros de auditoria no Cloud Logging.
- Ao atribuir permissões em um papel do controle de acesso baseado em função (RBAC), use o princípio de privilégio mínimo e conceda o mínimo de permissões necessárias para executar uma tarefa. O uso do princípio de privilégio mínimo reduz o potencial de escalonamento de privilégios se o cluster estiver comprometido, além de reduzir a probabilidade de que o acesso excessivo resulte em um incidente de segurança.
A seguir
- Saiba como trabalhar com descobertas de ameaças no Security Command Center.
- Consulte o índice de descobertas de ameaças.
- Saiba como analisar uma descoberta no console Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.