權限提升：休眠服務帳戶獲得敏感角色

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

休眠的使用者管理服務帳戶獲派敏感 IAM 角色。如果服務帳戶閒置超過 180 天，就會視為休眠帳戶。

回應方式

如要回應這項發現，請按照下列步驟操作：

步驟 1：查看調查結果詳細資料

1. 按照「查看結果」一文的說明，開啟 Privilege Escalation: Dormant Service Account Granted Sensitive Role 發現項目。

2. 在「摘要」分頁的發現項目詳細資料中，記下下列欄位的值。

   「偵測到的內容」下方會顯示以下資訊：

   • 主體電子郵件：執行授權動作的使用者
   • 違規的存取權授予。主體名稱：收到敏感角色的休眠服務帳戶
   • 違規存取權授予。授予的角色：指派的機密 IAM 角色

   在「受影響的資源」下方：

   • 資源顯示名稱：機構、資料夾或專案，其中休眠服務帳戶已獲授權存取機密 IAM 角色。

步驟 2：研究攻擊和回應方法

1. 使用服務帳戶工具 (例如活動分析器)，調查休眠服務帳戶的活動。
2. 與「Principal email」(主體電子郵件地址) 欄位的擁有者聯絡。 確認正當擁有者是否執行了該項操作。

步驟 3：檢查記錄

1. 在調查結果詳細資料面板的「摘要」分頁標籤中，按一下「相關連結」下方的「Cloud Logging URI」連結，開啟「記錄檔探索工具」。

步驟 4：實作回應

下列回應計畫可能適用於這項發現，但也可能影響作業。 請仔細評估調查期間收集到的資訊，找出解決問題的最佳方法。

• 請與執行動作的專案擁有者聯絡。
• 如果主體電子郵件地址遭到入侵，請移除該擁有者的存取權。
• 從休眠服務帳戶中移除新指派的敏感 IAM 角色。
• 請考慮刪除可能遭入侵的服務帳戶，並輪替及刪除可能遭入侵專案的所有服務帳戶存取金鑰。刪除後，使用該服務帳戶進行驗證的資源會失去存取權。繼續操作前，安全團隊應先找出所有受影響的資源，並與資源擁有者合作，確保業務持續運作。
• 與安全團隊合作找出不熟悉的資源，包括 Compute Engine 執行個體、快照、服務帳戶和 IAM 使用者。刪除非使用授權帳戶建立的資源。
• 回覆 Cloud Customer Care 的任何通知。
• 如要限制可建立服務帳戶的使用者，請使用 Organization Policy Service。
• 如要找出並修正權限過多的角色，請使用 IAM 建議。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。