Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.
Visão geral
O Anomalous Service Account Impersonator é detectado quando os registros de auditoria de atividade do administrador de um serviço de IA mostram que ocorreu uma anomalia em uma solicitação de representação da conta de serviço.
Como responder
Para responder a essa descoberta, faça o seguinte:
Etapa 1: verificar os detalhes da descoberta
Abra a descoberta
Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity, conforme instruído em Como verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.Na guia Resumo, confira as informações nas seguintes seções:
- O que foi detectado, especialmente os seguintes campos:
- E-mail principal: a conta de serviço final da solicitação de representação usada para acessar Google Cloud
- Nome do método: o método que foi chamado
- Informações de delegação da conta de serviço: detalhes das contas de serviço na cadeia de delegação. O principal na parte de baixo da lista é o autor da chamada da solicitação de representação.
- Recursos de IA: os recursos de IA potencialmente afetados, como os recursos da Vertex AI e o modelo de IA.
- Recurso afetado
- Links relacionados, principalmente os seguintes campos:
- URI do Cloud Logging: link para as entradas do Logging.
- Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
- Descobertas relacionadas: links para quaisquer descobertas relacionadas.
- O que foi detectado, especialmente os seguintes campos:
Etapa 2: pesquisar métodos de ataque e resposta
- Entre em contato com o proprietário da conta de serviço no campo E-mail principal. Confirme se o proprietário legítimo realizou a ação.
- Investigue os principais da cadeia de delegação para verificar se a solicitação é anormal e se alguma conta foi comprometida.
- Entre em contato com o proprietário do autor da chamada da representação da lista de informações de delegação da conta de serviço. Confirme se o proprietário legítimo realizou a ação.
Etapa 3: implementar a resposta
O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.
- Entre em contato com o proprietário do projeto em que a ação foi realizada.
- Considere excluir a conta de serviço potencialmente comprometida, bem como trocar e excluir todas as chaves de acesso da conta de serviço do projeto comprometido. Após a exclusão, os recursos que usam a conta de serviço para autenticação perdem o acesso. Antes de prosseguir, sua equipe de segurança precisa identificar todos os recursos afetados e trabalhar com aqueles que detém recursos para garantir a continuidade de negócios.
- Trabalhe com sua equipe de segurança para identificar recursos desconhecidos, inclusive instâncias do Compute Engine, snapshots, contas de serviço e usuários do IAM. Excluir recursos não criados com contas autorizadas.
- Responda às notificações do Cloud Customer Care.
- Para limitar quem pode criar contas de serviço, use o Serviço de políticas da organização.
- Para identificar e corrigir papéis excessivamente permissivos, use o Recomendador do IAM.
A seguir
- Saiba como trabalhar com descobertas de ameaças no Security Command Center.
- Consulte o índice de descobertas de ameaças.
- Saiba como analisar uma descoberta no console Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.