Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.
Visão geral
Alguém implantou uma carga de trabalho com a opção shareProcessNamespace definida como
true, permitindo que todos os contêineres compartilhem o mesmo namespace de processo do Linux. Isso
pode permitir que um contêiner não confiável ou comprometido aumente privilégios
acessando e controlando variáveis de ambiente, memória e outros dados sensíveis
de processos executados em outros contêineres. Algumas cargas de trabalho podem exigir
essa funcionalidade para operar por motivos legítimos, como contêineres sidecar de processamento de registros
ou contêineres de depuração. Para mais detalhes, consulte a mensagem de registro desse alerta.
Como responder
Para responder a essa descoberta, faça o seguinte:
- Confirme se a carga de trabalho realmente exige acesso de todos os contêineres na carga de trabalho a um namespace de processo compartilhado.
- Verifique se há outros sinais de atividade maliciosa do principal nos registros de auditoria no Cloud Logging.
- Se o principal não for uma conta de serviço (IAM ou Kubernetes), entre em contato com o proprietário da conta para confirmar se foi essa pessoa que realizou a ação.
- Se o principal for uma conta de serviço (IAM ou Kubernetes), identifique a legitimidade do que fez com que a conta de serviço realizasse essa ação.
A seguir
- Saiba como trabalhar com descobertas de ameaças no Security Command Center.
- Consulte o índice de descobertas de ameaças.
- Saiba como analisar uma descoberta no console Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.