Questa pagina è stata tradotta dall'API Cloud Translation.

Riassegnazione dei privilegi: ruolo sensibile concesso a un account di servizio inattivo

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

A un service account gestito dall'utente inattivo è stato concesso un ruolo IAM sensibile. In questo contesto, un account di servizio è considerato inattivo se è rimasto inattivo per più di 180 giorni.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

Apri il Privilege Escalation: Dormant Service Account Granted Sensitive Role risultato come indicato in Revisione dei risultati.
Nei dettagli del risultato, nella scheda Riepilogo, prendi nota dei valori dei seguenti campi.

In Che cosa è stato rilevato:
- Email principale: l'utente che ha eseguito l'azione di concessione
- Concessioni di accesso illecite.Nome principale: il account di servizio inattivo che ha ricevuto il ruolo sensibile
- Concessioni di accesso illecite.Ruolo concesso: il ruolo IAM sensibile assegnato
In Risorsa interessata:
- Nome visualizzato risorsa: l'organizzazione, la cartella o il progetto in cui è stato concesso il ruolo IAM sensibile all'account di servizio inattivo.

Passaggio 2: ricerca di metodi di attacco e risposta

Utilizza gli strumenti per i service account, come Activity Analyzer, per esaminare l'attività del account di servizio inattivo.
Contatta il proprietario del campo Email entità. Conferma se l'azione è stata eseguita dal legittimo proprietario.

Passaggio 3: controlla i log

Nella scheda Riepilogo del riquadro dei dettagli del problema, nella sezione Link correlati, fai clic sul link URI Cloud Logging per aprire Esplora log.

Passaggio 4: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

Contatta il proprietario del progetto in cui è stata eseguita l'azione.
Rimuovi l'accesso del proprietario dell'email principale se è compromessa.
Rimuovi il ruolo IAM sensibile appena assegnato dall'account di servizio inattivo.
Valuta la possibilità di eliminare il service account potenzialmente compromesso e ruotare ed eliminare tutte le chiavi di accesso delaccount di serviziot per il progetto potenzialmente compromesso. Dopo l'eliminazione, le risorse che utilizzano ilaccount di serviziot per l'autenticazione perdono l'accesso. Prima di procedere, il tuo team di sicurezza deve identificare tutte le risorse interessate e collaborare con i proprietari delle risorse per garantire la continuità operativa.
Collabora con il tuo team di sicurezza per identificare risorse sconosciute, tra cui istanze di Compute Engine, snapshot, service account e utenti IAM. Elimina le risorse non create con account autorizzati.
Rispondi a eventuali notifiche dell'assistenza clienti Google Cloud.
Per limitare chi può creare service account, utilizza il servizio criteri dell'organizzazione.
Per identificare e correggere i ruoli eccessivamente permissivi, utilizza IAM Recommender.

Passaggi successivi

Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
Consulta l'indice dei risultati delle minacce.
Scopri come esaminare un risultato tramite la console Google Cloud .
Scopri di più sui servizi che generano risultati di minacce.