A conta vazou credenciais

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Essa descoberta é gerada quando as credenciais da conta de serviço Google Cloud são vazadas acidentalmente on-line ou ficam comprometidas.

A detecção de anomalias é a fonte dessa descoberta.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra uma descoberta account_has_leaked_credentials, conforme direcionado em Como verificar detalhes da descoberta. O painel de detalhes da descoberta é aberto na guia Resumo.

2. Na guia Resumo, confira as informações nas seguintes seções:

• O que foi detectado
• Recurso afetado

1. Clique na guia Propriedades de origem e anote estes campos:

   • Compromised_account: a conta de serviço possivelmente comprometida;
   • Project_identifier: o projeto que contém as credenciais de conta possivelmente vazadas;
   • URL: o link para o repositório do GitHub.

2. Para ver o JSON completo da descoberta, clique na guia JSON.

Etapa 2: verificar as permissões do projeto e da conta de serviço

1. No console do Google Cloud , acesse a página IAM.

   Acessar IAM

2. Se necessário, selecione o projeto listado em Project_identifier.

3. Na página exibida, na caixa Filtro, insira o nome da conta listado em Compromised_account e verifique as permissões atribuídas.

4. No console Google Cloud , acesse a página Contas de serviço.

   Acesse Contas de serviço

5. Na página exibida, na caixa Filtro, insira o nome da conta de serviço comprometida e verifique as chaves da conta de serviço e as datas de criação da chave.

Etapa 3: verificar os registros

1. No console Google Cloud , acesse Análise de registros.

   Acessar o Explorador de registros

2. Na barra de ferramentas do console Google Cloud , selecione seu projeto.

3. Na página carregada, verifique os registros em busca de atividades em recursos novos ou atualizados do IAM usando estes filtros:

   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • resource.type="gce_instance" AND log_name="projects/Project_identifier/logs/cloudaudit.googleapis.com%2Factivity"
   • protoPayload.methodName="InsertProjectOwnershipInvite"
   • protoPayload.authenticationInfo.principalEmail="Compromised_account"

Etapa 4: pesquisar métodos de ataque e resposta

1. Verifique a entrada do framework do MITRE ATT&CK em busca deste tipo de descoberta: Contas válidas: contas do Cloud.
2. Verifique as descobertas relacionadas clicando no link em relatedFindingURI. As descobertas relacionadas são o mesmo tipo de descoberta e a mesma instância e rede.
3. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 5: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

• Entre em contato com a pessoa a quem o projeto com as credenciais vazadas pertence.
• Considere excluir a conta de serviço comprometida, bem como rotacionar e excluir todas as chaves de acesso da conta de serviço do projeto comprometido. Após a exclusão, os recursos que usam a conta de serviço para autenticação perdem o acesso. Antes de prosseguir, sua equipe de segurança precisa identificar todos os recursos afetados e trabalhar com aqueles que detém recursos para garantir a continuidade de negócios.
• Trabalhe com sua equipe de segurança para identificar recursos desconhecidos, inclusive instâncias do Compute Engine, snapshots, contas de serviço e usuários do IAM. Excluir recursos não criados com contas autorizadas.
• Responda às notificações do suporte do Google Cloud .
• Para limitar quem pode criar contas de serviço, use o serviço de Política da organização.
• Para identificar e corrigir papéis excessivamente permissivos, use o Recomendador do IAM.
• Abra o link URL e exclua as credenciais vazadas. Colete mais informações sobre a conta comprometida e entre em contato com a pessoa a quem a conta pertence.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.