Esta página foi traduzida pela API Cloud Translation.

Escalonamento de privilégios: papel confidencial concedido a conta de serviço inativa

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Um papel sensível do IAM foi concedido a uma conta de serviço gerenciada pelo usuário inativa. Nesse contexto, uma conta de serviço é considerada inativa se estiver inativa por mais de 180 dias.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

Abra uma descoberta Privilege Escalation: Dormant Service Account Granted Sensitive Role, conforme instruído em Como verificar descobertas.
Nos detalhes da descoberta, na guia Resumo, observe os valores dos seguintes campos:

Em O que foi detectado:
- E-mail principal: o usuário que realizou a ação de concessão
- Nome principal das concessões de acesso inadequado: a conta de serviço inativa que recebeu o papel sensível
- Papel concedido pelas concessões de acesso inadequado: o papel confidencial do IAM que foi atribuído
Em Recurso afetado:
- Nome de exibição do recurso: organização, pasta ou projeto em que o papel confidencial do IAM foi concedido à conta de serviço inativa.

Etapa 2: pesquisar métodos de ataque e resposta

Use as ferramentas da conta de serviço, como o Activity Analyzer, para investigar a atividade da conta de serviço inativa.
Entre em contato com o proprietário do campo E-mail principal. Confirme se o proprietário legítimo realizou a ação.

Etapa 3: verificar os registros

Na guia Resumo do painel de detalhes da descoberta, em Links relacionados, clique no link URI do Cloud Logging para abrir a Análise de registros.

Etapa 4: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

Entre em contato com o proprietário do projeto em que a ação foi realizada.
Remova o acesso do proprietário do E-mail principal se ele estiver comprometido.
Remova o papel confidencial do IAM recém-atribuído da conta de serviço inativa.
Considere excluir a conta de serviço potencialmente comprometida, bem como trocar e excluir todas as chaves de acesso da conta de serviço do projeto comprometido. Após a exclusão, os recursos que usam a conta de serviço para autenticação perdem o acesso. Antes de prosseguir, sua equipe de segurança precisa identificar todos os recursos afetados e trabalhar com aqueles que detém recursos para garantir a continuidade de negócios.
Trabalhe com sua equipe de segurança para identificar recursos desconhecidos, inclusive instâncias do Compute Engine, snapshots, contas de serviço e usuários do IAM. Excluir recursos não criados com contas autorizadas.
Responda às notificações do Cloud Customer Care.
Para limitar quem pode criar contas de serviço, use o serviço de Política da organização.
Para identificar e corrigir papéis com permissões em excesso, use o Recomendador do IAM.

A seguir

Saiba como trabalhar com descobertas de ameaças no Security Command Center.
Consulte o índice de descobertas de ameaças.
Saiba como analisar uma descoberta no console Google Cloud .
Saiba mais sobre os serviços que geram descobertas de ameaças.