本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
有人建立包含 bind、escalate 或 impersonate 動詞的 RBAC ClusterRole 物件。如果主體繫結至具有這些動詞的角色,就能模擬其他具備更高權限的使用者、繫結至含有額外權限的其他 Role 或 ClusterRole 物件,或是修改自己的 ClusterRole 權限。這可能會導致這些主體取得 cluster-admin 權限。詳情請參閱這項快訊的記錄訊息。
回應方式
如要回應這項發現,請按照下列步驟操作:
- 查看
ClusterRole和相關聯的ClusterRoleBindings,檢查主體是否確實需要這些權限。 - 請盡可能避免建立涉及
bind、escalate或impersonate等動詞的角色。 - 判斷 Cloud Logging 稽核記錄中,是否有主體進行惡意活動的其他跡象。
- 指派 RBAC 角色所含權限時,請採用最低權限原則,並授予執行工作所需的最低權限。採用最小權限原則可降低叢集遭駭時提權的可能性,以及因過度存取而引發安全事件的機率。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。