In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.
Übersicht
Jemand hat eine Arbeitslast mit der Option shareProcessNamespace auf true bereitgestellt, sodass alle Container denselben Linux-Prozess-Namespace verwenden können. Dadurch könnte ein nicht vertrauenswürdiger oder kompromittierter Container Berechtigungen eskalieren, indem er auf Umgebungsvariablen, Arbeitsspeicher und andere vertrauliche Daten von Prozessen zugreift und diese steuert, die in anderen Containern ausgeführt werden. Bei einigen Arbeitslasten ist diese Funktion aus legitimen Gründen erforderlich, z. B. bei Sidecar-Containern für die Log-Verarbeitung oder bei Debugging-Containern. Weitere Informationen finden Sie in der Log-Meldung für diese Benachrichtigung.
So reagieren Sie
Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:
- Bestätigen Sie, dass die Arbeitslast tatsächlich Zugriff auf einen freigegebenen Prozess-Namespace für alle Container in der Arbeitslast benötigt.
- Prüfen Sie, ob die Audit-Logs in Cloud Logging weitere Anzeichen für schädliche Aktivitäten des Hauptkontos enthalten.
- Wenn das Hauptkonto kein IAM- oder Kubernetes-Dienstkonto ist, lassen Sie sich vom Inhaber des Kontos bestätigen, dass er die Aktion ausgeführt hat.
- Wenn das Hauptkonto ein IAM- oder Kubernetes-Dienstkonto ist, stellen Sie fest, ob der Grund für die Ausführung dieser Aktion durch das Dienstkonto rechtmäßig ist.
Nächste Schritte
- Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
- Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
- Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
- Dienste, die Bedrohungsbefunde generieren