Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.
Panoramica
Qualcuno ha eseguito il deployment di un workload con l'opzione shareProcessNamespace impostata su
true, consentendo a tutti i container di condividere lo stesso spazio dei nomi di processo Linux. Ciò potrebbe consentire a un container non attendibile o compromesso di aumentare i privilegi accedendo e controllando le variabili di ambiente, la memoria e altri dati sensibili dei processi in esecuzione in altri container. Alcuni carichi di lavoro potrebbero richiedere
questa funzionalità per funzionare per motivi legittimi, ad esempio container collaterali per la gestione dei log
o container di debug. Per ulteriori dettagli, consulta il messaggio
di log per questo avviso.
Come rispondere
Per rispondere a questo risultato:
- Conferma che il workload richiede effettivamente l'accesso a uno spazio dei nomi di processo condiviso per tutti i container nel workload.
- Verifica se esistono altri indicatori di attività dannose da parte dell'entità negli audit log in Cloud Logging.
- Se l'entità non è un account di servizio (IAM o Kubernetes), contatta il proprietario dell'account per confermare se ha eseguito l'azione.
- Se l'entità è un account di servizio (IAM o Kubernetes), identifica la legittimità del motivo per cui ilaccount di serviziot ha eseguito questa azione.
Passaggi successivi
- Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
- Consulta l'indice dei risultati delle minacce.
- Scopri come esaminare un risultato tramite la console Google Cloud .
- Scopri di più sui servizi che generano risultati di minacce.