En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.
Descripción general
Alguien implementó una carga de trabajo con la opción shareProcessNamespace establecida en true, lo que permite que todos los contenedores compartan el mismo espacio de nombres de proceso de Linux. Esto podría permitir que un contenedor no confiable o vulnerado aumente sus privilegios accediendo y controlando variables de entorno, memoria y otros datos sensibles de procesos que se ejecutan en otros contenedores. Algunas cargas de trabajo pueden requerir esta funcionalidad para operar por motivos legítimos, como contenedores sidecar de control de registros o contenedores de depuración. Para obtener más detalles, consulta el mensaje de registro de esta alerta.
Cómo responder
Para responder a este hallazgo, haz lo siguiente:
- Confirma que la carga de trabajo realmente requiere acceso a un espacio de nombres de proceso compartido para todos los contenedores en la carga de trabajo.
- Verifica si hay otros indicios de actividad maliciosa por parte de la principal en los registros de auditoría de Cloud Logging.
- Si la principal no es una cuenta de servicio (IAM o Kubernetes), comunícate con el propietario de la cuenta para confirmar si realizó la acción.
- Si la principal es una cuenta de servicio (IAM o Kubernetes), identifica la legitimidad de lo que provocó que la cuenta de servicio realice esta acción.
¿Qué sigue?
- Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
- Consulta el Índice de resultados de amenazas.
- Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
- Obtén más información sobre los servicios que generan hallazgos de amenazas.