本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
如果 Google Cloud 服務帳戶憑證 意外在網路上洩漏或遭盜用,就會產生這項發現。
這項發現來自異常偵測。
回應方式
如要回應這項發現,請按照下列步驟操作:
步驟 1:查看調查結果詳細資料
按照「查看發現項目詳細資料」一文的說明,開啟
account_has_leaked_credentials發現項目。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。在「摘要」分頁中,查看下列各節的資訊:
- 偵測到的內容
- 受影響的資源
按一下「來源資源」分頁標籤,並注意下列欄位:
Compromised_account:可能遭盜用的服務帳戶Project_identifier:包含可能外洩帳戶憑證的專案URL:GitHub 存放區的連結
如要查看調查結果的完整 JSON,請按一下「JSON」分頁標籤。
步驟 2:檢查專案和服務帳戶權限
前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。
如有需要,請選取
Project_identifier中列出的專案。在隨即顯示的頁面中,於「篩選條件」方塊中輸入
Compromised_account列出的帳戶名稱,並檢查指派的權限。前往 Google Cloud 控制台的「Service Accounts」(服務帳戶) 頁面。
在隨即顯示的頁面中,於「篩選器」方塊中輸入遭入侵服務帳戶的名稱,並檢查服務帳戶的金鑰和金鑰建立日期。
步驟 3:檢查記錄
前往 Google Cloud 控制台的「Logs Explorer」頁面。
在 Google Cloud 控制台工具列中選取專案。
在隨即載入的頁面中,使用下列篩選器檢查新或更新 IAM 資源的活動記錄:
proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"protoPayload.methodName="SetIamPolicy"resource.type="gce_instance" AND log_name="projects/Project_identifier/logs/cloudaudit.googleapis.com%2Factivity"protoPayload.methodName="InsertProjectOwnershipInvite"protoPayload.authenticationInfo.principalEmail="Compromised_account"
步驟 4:研究攻擊和回應方法
- 查看這類調查結果的 MITRE ATT&CK 架構項目: 有效帳戶:雲端帳戶。
- 按一下
relatedFindingURI中的連結,即可查看相關發現項目。 相關發現項目是指類型相同,且屬於相同執行個體和網路的發現項目。 - 如要制定回應計畫,請將調查結果與 MITRE 研究結合。
步驟 5:實作回應
下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。
- 聯絡憑證外洩的專案擁有者。
- 請考慮刪除遭入侵的服務帳戶,並輪替及刪除遭入侵專案的所有服務帳戶存取金鑰。刪除後,使用服務帳戶進行驗證的資源會失去存取權。請先與資源擁有者合作,確保業務持續運作,再由安全團隊找出所有受影響的資源。
- 與安全團隊合作找出不熟悉的資源,包括 Compute Engine 執行個體、快照、服務帳戶和 IAM 使用者。刪除非使用授權帳戶建立的資源。
- 回覆「 Google Cloud 支援」的通知。
- 如要限制可建立服務帳戶的使用者,請使用 Organization Policy Service。
- 如要找出並修正過於寬鬆的角色,請使用 IAM 建議。
- 開啟
URL連結並刪除外洩的憑證。收集遭盜用帳戶的詳細資訊,並聯絡擁有者。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。