このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。使用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。
概要
誰かが shareProcessNamespace オプションを true に設定してワークロードをデプロイし、すべてのコンテナが同じ Linux プロセス名前空間を共有できるようにしています。このため、信頼できないコンテナや不正使用されたコンテナが、他のコンテナで実行中のプロセスから環境変数、メモリ、その他の機密データにアクセスして制御し、権限を昇格させるおそれがあります。一部のワークロードでは、ログ処理サイドカー コンテナやコンテナのデバッグなど、正当な理由でこの機能が必要な場合があります。詳細については、このアラートのログ メッセージをご覧ください。
対処方法
この検出結果に対応する手順は次のとおりです。
- ワークロード内のすべてのコンテナの共有プロセス名前空間に対するアクセス権が、そのワークロードに実際に必要であることを確認します。
- Cloud Logging で監査ログを参照して、プリンシパルによる悪意のあるアクティビティを示す徴候が他にないか確認します。
- プリンシパルがサービス アカウント(IAM または Kubernetes)でない場合は、サービス アカウントのオーナーに連絡して、そのアクションを実行したかどうかを確認します。
- プリンシパルがサービス アカウント(IAM または Kubernetes)である場合は、サービス アカウントがそのアクションを実行した理由の正当性を判断します。
次のステップ
- Security Command Center で脅威の検出結果を操作する方法を学習する。
- 脅威の検出結果のインデックスを確認する。
- Google Cloud コンソールで検出結果を確認する方法を学習する。
- 脅威の検出結果を生成するサービスについて学習する。