Riassegnazione dei privilegi: simulazione anomala dell'identità del service account per l'attività di amministrazione

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

Anomalous Impersonation of Service Account viene rilevata esaminando i log di controllo dell'attività di amministrazione per verificare se si è verificata un'anomalia in una richiesta di rappresentazione dell'identità di un account di servizio.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

  1. Apri il risultato Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity come indicato in Revisione dei risultati. Il riquadro dei dettagli del risultato si apre nella scheda Riepilogo.

  2. Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni:

    • Che cosa è stato rilevato, in particolare i seguenti campi:
      • Email entità: il account di servizio finale nella richiesta di simulazione dell'identità utilizzata per accedere a Google Cloud.
      • Nome del servizio: il nome dell'API del servizio Google Cloud coinvolto nella richiesta di rappresentazione.
      • Nome metodo: il metodo chiamato.
      • Informazioni relative alla delega per il service account: dettagli dei service account nella catena di delega. L'entità nella parte inferiore dell'elenco è il chiamante della richiesta di rappresentazione.
    • Risorsa interessata, in particolare i seguenti campi:
      • Nome completo risorsa: il nome del cluster.
    • Link correlati, in particolare i seguenti campi:
      • URI Cloud Logging: link alle voci di log.
      • Metodo MITRE ATT&CK: link alla documentazione MITRE ATT&CK.
      • Risultati correlati: link a eventuali risultati correlati.

Passaggio 2: ricerca di metodi di attacco e risposta

  1. Contatta il proprietario del account di servizio nel campo Email dell'entità. Conferma se l'azione è stata eseguita dal legittimo proprietario.
  2. Esamina i principali nella catena di delega per verificare se la richiesta è anomala e se qualche account è stato compromesso.
  3. Contatta il proprietario del chiamante di rappresentazione nell'elenco Informazioni sulla delega dell'account di servizio. Conferma se l'azione è stata eseguita dal proprietario legittimo.

Passaggio 3: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

  • Contatta il proprietario del progetto in cui è stata eseguita l'azione.
  • Valuta la possibilità di eliminare il service account potenzialmente compromesso e ruotare ed eliminare tutte le chiavi di accesso delaccount di serviziot per il progetto potenzialmente compromesso. Dopo l'eliminazione, le risorse che utilizzano ilaccount di serviziot per l'autenticazione perdono l'accesso. Prima di procedere, il tuo team di sicurezza deve identificare tutte le risorse interessate e collaborare con i proprietari delle risorse per garantire la continuità operativa.
  • Collabora con il tuo team di sicurezza per identificare risorse sconosciute, tra cui istanze di Compute Engine, snapshot, service account e utenti IAM. Elimina le risorse non create con account autorizzati.
  • Rispondi a eventuali notifiche dell'assistenza Google Cloud .
  • Per limitare chi può creare service account, utilizza il servizio criteri dell'organizzazione.
  • Per identificare e correggere i ruoli eccessivamente permissivi, utilizza IAM Recommender.

Passaggi successivi