En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.
Descripción general
Alguien creó un ClusterRoleBinding de RBAC que hace referencia al system:controller:clusterrole-aggregation-controller ClusterRole predeterminado. Este ClusterRole predeterminado tiene el verbo escalate, que permite que los sujetos modifiquen los privilegios de sus propios roles, lo que permite la elevación de privilegios. Para obtener más detalles, consulta el mensaje de registro de esta alerta.
Cómo responder
Para responder a este hallazgo, haz lo siguiente:
- Revisa cualquier
ClusterRoleBindingque haga referencia alsystem:controller:clusterrole-aggregation-controllerClusterRole. - Revisa las modificaciones en el
system:controller:clusterrole-aggregation-controllerClusterRole. - Determina si hay otros indicios de actividad maliciosa por parte del principal que creó el
ClusterRoleBindingen los registros de auditoría de Cloud Logging.
¿Qué sigue?
- Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
- Consulta el Índice de resultados de amenazas.
- Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
- Obtén más información sobre los servicios que generan hallazgos de amenazas.