Diese Seite wurde von der Cloud Translation API übersetzt.

Berechtigungseskalierung: Rolle „Impersonation“ für inaktives Dienstkonto gewährt

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Einem Hauptkonto wurde eine Rolle zur Identitätsübernahme zugewiesen, mit der es die Identität eines inaktiven nutzerverwalteten Dienstkontos übernehmen kann. In diesem Ergebnis ist das inaktive Dienstkonto die betroffene Ressource. Ein Dienstkonto gilt als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

Öffnen Sie das Privilege Escalation: Impersonation Role Granted for Dormant Service Account-Ergebnis, wie unter Ergebnisse prüfen beschrieben.
Notieren Sie sich in den Ergebnisdetails auf dem Tab Zusammenfassung die Werte der folgenden Felder.

Unter Was wurde erkannt?:
- E-Mail-Adresse des Hauptkontos: Der Nutzer, der die Aktion zum Erteilen der Berechtigung ausgeführt hat.
- Rechtswidrige Zugriffsgewährungen.Hauptkontoname: Das Hauptkonto, dem die Identitätsübernahmerolle gewährt wurde
Unter Betroffene Ressource:
- Anzeigename der Ressource: Das inaktive Dienstkonto als Ressource
- Vollständiger Projektname: Das Projekt, in dem sich das inaktive Dienstkonto befindet

Schritt 2: Angriffs- und Reaktionsmethoden untersuchen

Verwenden Sie Dienstkontotools wie die Aktivitätsanalyse, um die Aktivitäten des inaktiven Dienstkontos zu untersuchen.
Wenden Sie sich an den Inhaber des Felds Haupt-E-Mail-Adresse. Bestätigen Sie, dass die Aktion vom rechtmäßigen Inhaber ausgeführt wurde.

Schritt 3: Protokolle prüfen

Klicken Sie im Detailbereich für den Befund auf dem Tab „Zusammenfassung“ unter Zugehörige Links auf den Link Cloud Logging-URI, um den Log-Explorer zu öffnen.

Schritt 4: Antwort implementieren

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

Wenden Sie sich an den Inhaber des Projekts, in dem die Maßnahme ergriffen wurde.
Entfernen Sie den Zugriff des Inhabers der Haupt-E-Mail-Adresse, wenn das Konto gehackt wurde.
Entfernen Sie die neu zugewiesene Identitätsübernahmerolle aus dem Zielmitglied.
Erwägen Sie, das möglicherweise manipulierte Dienstkonto zu löschen und alle Dienstkontoschlüssel für das möglicherweise manipulierte Projekt zu rotieren und zu löschen. Nach dem Löschen verlieren Anwendungen, die das Dienstkonto für die Authentifizierung verwenden, den Zugriff. Bevor Sie fortfahren, sollte Ihr Sicherheitsteam alle betroffenen Anwendungen identifizieren und mit den Anwendungsbesitzern zusammenarbeiten, um die Geschäftskontinuität zu gewährleisten.
Ermitteln Sie gemeinsam mit Ihrem Sicherheitsteam unbekannte Ressourcen, einschließlich Compute Engine-Instanzen, Snapshots, Dienstkonten und IAM-Nutzer. Ressourcen löschen, die nicht mit autorisierten Konten erstellt wurden.
Auf Benachrichtigungen von Cloud Customer Care reagieren
Mit dem Organisationsrichtliniendienst können Sie einschränken, wer Dienstkonten erstellen kann.
Um IAM-Rollen mit zu vielen Berechtigungen zu identifizieren und zu beheben, verwenden Sie IAM Recommender.

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsbefunde generieren