Acceso inicial: Acciones denegadas de permisos excesivos

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Una principal activó repetidamente errores de permiso denegado en varios métodos y servicios.

Cómo responder

Para responder a este hallazgo, haz lo siguiente:

Paso 1: Revisa los detalles del hallazgo

1. Abre el hallazgo de Initial Access: Excessive Permission Denied Actions, como se indica en Revisa los hallazgos.

2. En los detalles del hallazgo, en la pestaña Resumen, anota los valores de los siguientes campos.

   En Qué se detectó, se muestra lo siguiente:

   • Correo electrónico principal: Es el principal que activó varios errores de permiso denegado.
   • Nombre del servicio: Es el nombre de la API del servicio de Google Cloud en el que se produjo el último error de permiso denegado.
   • Nombre del método: Es el método al que se llamó cuando ocurrió el último error de permiso denegado.

3. En los detalles del hallazgo, en la pestaña Propiedades de la fuente, observa los valores de los siguientes campos en el JSON:

   • properties.failedActions: Son los errores de permiso denegado que se produjeron. En cada entrada, los detalles incluyen el nombre del servicio, el nombre del método, la cantidad de intentos fallidos y la hora en que ocurrió el error por última vez. Se muestra un máximo de 10 entradas.

Paso 2: Comprueba los registros

1. En la consola de Google Cloud , haz clic en el vínculo en el URI de Cloud Logging para ir al Explorador de registros.
2. En la barra de herramientas de la consola de Google Cloud , selecciona tu proyecto.

3. En la página que se carga, busca los registros relacionados con el siguiente filtro:

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
   • protoPayload.status.code=7

   Reemplaza PRINCIPAL_EMAIL por el valor que anotaste en el campo Correo electrónico principal en los detalles del hallazgo.

Paso 3: Investiga los métodos de ataque y respuesta

1. Revisa la entrada de framework de MITRE ATT&CK de este tipo de hallazgo: Cuentas válidas: Cuentas de Cloud.
2. Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación del MITRE.

Paso 4: Implementa tu respuesta

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

• Comunícate con el propietario de la cuenta en el campo Correo electrónico principal. Confirma si el propietario legítimo realizó la acción.
• Borra los recursos del proyecto que creó esa cuenta, como instancias desconocidas de Compute Engine, instantáneas, cuentas de servicio y usuarios de IAM, etcétera.
• Comunícate con el propietario del proyecto en el que se encuentra la cuenta y, posiblemente, borra o inhabilita la cuenta.

¿Qué sigue?

• Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
• Consulta el Índice de resultados de amenazas.
• Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
• Obtén más información sobre los servicios que generan hallazgos de amenazas.