Le credenziali dell'account sono state divulgate

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

Questo risultato viene generato quando le credenziali del service account vengono divulgate accidentalmente online o compromesse. Google Cloud

Rilevamento di anomalie è l'origine di questo risultato.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

1. Apri un risultato account_has_leaked_credentials come indicato in Revisione dei dettagli dei risultati. Il riquadro dei dettagli del risultato si apre nella scheda Riepilogo.

2. Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni:

• Che cosa è stato rilevato
• Risorsa interessata

1. Fai clic sulla scheda Proprietà origine e prendi nota dei seguenti campi:

   • Compromised_account: il account di servizio potenzialmente compromesso
   • Project_identifier: il progetto che contiene le credenziali dell'account potenzialmente compromesse
   • URL: il link al repository GitHub

2. Per visualizzare il JSON completo del risultato, fai clic sulla scheda JSON.

Passaggio 2: esamina le autorizzazioni del progetto e del account di servizio

1. Nella console Google Cloud , vai alla pagina IAM.

   Vai a IAM

2. Se necessario, seleziona il progetto elencato in Project_identifier.

3. Nella pagina visualizzata, nella casella Filtro, inserisci il nome dell'account elencato in Compromised_account e controlla le autorizzazioni assegnate.

4. Nella console Google Cloud , vai alla pagina Service Accounts.

   Vai a Service account

5. Nella pagina visualizzata, nella casella Filtro, inserisci il nome del account di servizio compromesso e controlla le chiavi e le date di creazione delle chiavi del account di servizio.

Passaggio 3: controlla i log

1. Nella console Google Cloud , vai a Esplora log.

   Vai a Esplora log

2. Nella barra degli strumenti della console Google Cloud , seleziona il progetto.

3. Nella pagina che si carica, controlla i log per l'attività delle risorse IAM nuove o aggiornate utilizzando i seguenti filtri:

   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • resource.type="gce_instance" AND log_name="projects/Project_identifier/logs/cloudaudit.googleapis.com%2Factivity"
   • protoPayload.methodName="InsertProjectOwnershipInvite"
   • protoPayload.authenticationInfo.principalEmail="Compromised_account"

Passaggio 4: ricerca di metodi di attacco e risposta

1. Esamina la voce del framework MITRE ATT&CK per questo tipo di risultato: Account validi: account cloud.
2. Esamina i risultati correlati facendo clic sul link in relatedFindingURI. I risultati correlati sono dello stesso tipo e della stessa istanza e rete.
3. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Passaggio 5: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

• Contatta il proprietario del progetto con le credenziali compromesse.
• Valuta la possibilità di eliminare il service account compromesso e ruotare ed eliminare tutte le chiavi di accesso delaccount di serviziot per il progetto compromesso. Dopo l'eliminazione, le risorse che utilizzano ilaccount di serviziot per l'autenticazione perdono l'accesso. Prima di procedere, il tuo team di sicurezza deve identificare tutte le risorse interessate e collaborare con i proprietari delle risorse per garantire la continuità operativa.
• Collabora con il tuo team di sicurezza per identificare risorse sconosciute, tra cui istanze di Compute Engine, snapshot, service account e utenti IAM. Elimina le risorse non create con account autorizzati.
• Rispondere alle notifiche dell'assistenza Google Cloud .
• Per limitare chi può creare service account, utilizza il servizio criteri dell'organizzazione.
• Per identificare e correggere i ruoli eccessivamente permissivi, utilizza IAM Recommender.
• Apri il link URL ed elimina le credenziali compromesse. Raccogli ulteriori informazioni sull'account compromesso e contatta il proprietario.

Passaggi successivi

• Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
• Consulta l'indice dei risultati delle minacce.
• Scopri come esaminare un risultato tramite la console Google Cloud .
• Scopri di più sui servizi che generano risultati di minacce.