Acceso inicial: acciones de denegación de permisos excesivas

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Un principal ha activado repetidamente errores de permiso denegado en varios métodos y servicios.

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

1. Abre la Initial Access: Excessive Permission Denied Actions detección siguiendo las instrucciones de la sección Revisar las detecciones.

2. En los detalles de la detección, en la pestaña Resumen, anote los valores de los siguientes campos.

   En Qué se detectó:

   • Correo principal: el principal que ha activado varios errores de permiso denegado.
   • Nombre del servicio: el nombre de la API del servicio de Google Cloud en el que se ha producido el último error de permiso denegado.
   • Nombre del método: el método al que se ha llamado cuando se ha producido el último error de permiso denegado.

3. En los detalles de la detección, en la pestaña Propiedades de origen, anota los valores de los siguientes campos del JSON:

   • properties.failedActions los errores de permiso denegado que se han producido. En cada entrada se incluyen detalles como el nombre del servicio, el nombre del método, el número de intentos fallidos y la hora en la que se produjo el error por última vez. Se muestran un máximo de 10 entradas.

Paso 2: Consulta los registros

1. En la Google Cloud consola, ve a Explorador de registros haciendo clic en el enlace de URI de Cloud Logging.
2. En la barra de herramientas de la Google Cloud consola, selecciona tu proyecto.

3. En la página que se carga, busque los registros relacionados mediante el siguiente filtro:

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
   • protoPayload.status.code=7

   Sustituye PRINCIPAL_EMAIL por el valor que has anotado en el campo Correo principal de los detalles de la detección.

Paso 3: Investiga los métodos de ataque y respuesta

1. Consulta la entrada del framework ATT&CK de MITRE para este tipo de resultado: Cuentas válidas: cuentas en la nube.
2. Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.

Paso 4: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.

• Ponte en contacto con el propietario de la cuenta que aparece en el campo Correo principal. Confirma si el propietario legítimo ha llevado a cabo la acción.
• Elimina los recursos del proyecto creados por esa cuenta, como instancias de Compute Engine, snapshots, cuentas de servicio y usuarios de IAM desconocidos, etc.
• Ponte en contacto con el propietario del proyecto que tiene la cuenta y, si es necesario, elimina o inhabilita la cuenta.

Siguientes pasos

• Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
• Consulta el índice de hallazgos de amenazas.
• Consulta cómo revisar un resultado a través de la consola Google Cloud .
• Consulta información sobre los servicios que generan detecciones de amenazas.