Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Rispondere ai risultati delle minacce di Google Kubernetes Engine

Questo documento offre indicazioni informali su come rispondere ai risultati di attività sospette nelle risorse Google Kubernetes Engine. I passaggi consigliati potrebbero non essere appropriati per tutti i risultati e potrebbero influire sulle tue operazioni. Prima di intraprendere qualsiasi azione, devi esaminare i risultati, valutare le informazioni raccolte e decidere come rispondere.

Prima di iniziare

Rivedi il risultato. Esamina la risorsa Google Kubernetes Engine interessata, l'email del principal rilevato e l'indirizzo IP del chiamante (se presente). Esamina anche il risultato per individuare indicatori di compromissione (IP, dominio, hash del file o firma).
Per scoprire di più sul risultato che stai esaminando, cercalo nell'indice dei risultati delle minacce.

Consigli generali

Contatta il proprietario del progetto che contiene la risorsa potenzialmente compromessa.
Determina se esistono altri indicatori di attività dannosa relativi alla risorsa GKE interessata negli audit log in Cloud Logging.
Interrompi o elimina la risorsa GKE compromessa e sostituiscila con una nuova.
Determina se esistono altri indicatori di attività dannosa da parte dell'entità negli audit log in Cloud Logging.
Se l'entità è un account di servizio (IAM o Kubernetes), identifica l'origine della modifica per determinarne la legittimità.
Se l'entità che ha eseguito l'azione non è un account di servizio, contatta il proprietario dell'account per confermare se l'azione è stata eseguita dal legittimo proprietario.
Esamina le indicazioni sul principio del privilegio minimo per i ruoli RBAC e i ruoli del cluster.

Inoltre, tieni in considerazione i consigli riportati nelle sezioni seguenti.

File binario o libreria aggiuntivi

Se il file binario, lo script o la libreria aggiunti dovevano essere inclusi nel container, ricrea l'immagine container con il file binario, lo script o la libreria inclusi. Per informazioni sulle immagini container immutabili, consulta Immagini container nella documentazione di Kubernetes.

Minacce relative alle richieste di firma del certificato (CSR) di Kubernetes

Esamina gli audit log in Cloud Logging e gli avvisi aggiuntivi per altri eventi correlati alle CSR. Determina se la CSR è stata approvata ed emessa e se le azioni correlate alla CSR sono previste dall'entità.
Se l'approvazione di una CSR è inattesa o è stata determinata come dannosa, il cluster richiede una rotazione delle credenziali per invalidare il certificato. Consulta le indicazioni per la rotazione delle credenziali del cluster.

Risultati delle minacce per i pod

Esamina il file manifest del pod e il suo scopo. Verifica che il Pod sia legittimo e necessario.
Se il pod non è legittimo, rimuovilo insieme a eventuali associazioni RBAC e service account associati utilizzati dal workload.

Passaggi successivi

Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
Consulta l'indice dei risultati delle minacce.
Scopri come esaminare un risultato tramite la console Google Cloud .
Scopri i servizi che generano risultati di minacce.