本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
有人建立的 Pod 包含通常與反向 Shell 相關聯的指令或引數。攻擊者會使用反向 Shell 擴大或維持對叢集的初始存取權,並執行任意指令。詳情請參閱這項快訊的記錄訊息。
回應方式
下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。
如要回應這項發現,請按照下列步驟操作:
- 確認 Pod 有正當理由指定這些指令和引數。
- 判斷 Cloud Logging 稽核記錄中,是否有 Pod 或主體進行惡意活動的其他跡象。
- 如果主體並非服務帳戶 (IAM 或 Kubernetes),請與帳戶擁有者聯絡,確認正當擁有者是否執行了這項操作。
- 如果主體為服務帳戶 (IAM 或 Kubernetes),請判斷導致服務帳戶執行這項操作的原因是否正當。
- 請移除不正當的 Pod,以及工作負載所使用且讓 Pod 得以建立的任何相關聯 RBAC 繫結和服務帳戶。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。