Accesso iniziale: azioni negate per autorizzazioni eccessive

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

Un principal ha attivato ripetutamente errori di autorizzazione negata in più metodi e servizi.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

1. Apri il Initial Access: Excessive Permission Denied Actions risultato come indicato in Revisione dei risultati.

2. Nei dettagli del risultato, nella scheda Riepilogo, prendi nota dei valori dei seguenti campi.

   In Che cosa è stato rilevato:

   • Email dell'entità: l'entità che ha generato più errori di autorizzazione negata
   • Nome del servizio: il nome dell'API del servizio Google Cloud in cui si è verificato l'ultimo errore di autorizzazione negata
   • Nome del metodo: il metodo chiamato quando si è verificato l'ultimo errore di autorizzazione negata

3. Nei dettagli del problema, nella scheda Proprietà origine, prendi nota dei valori dei seguenti campi nel JSON:

   • properties.failedActions: gli errori di autorizzazione negata che si sono verificati. Per ogni voce, i dettagli includono il nome del servizio, il nome del metodo, il numero di tentativi non riusciti e l'ora in cui si è verificato l'ultimo errore. Vengono visualizzate un massimo di 10 voci.

Passaggio 2: controlla i log

1. Nella console Google Cloud , vai a Esplora log facendo clic sul link in URI Cloud Logging.
2. Nella barra degli strumenti della console Google Cloud , seleziona il progetto.

3. Nella pagina caricata, trova i log correlati utilizzando il seguente filtro:

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
   • protoPayload.status.code=7

   Sostituisci PRINCIPAL_EMAIL con il valore che hai annotato nel campo Email principale nei dettagli del risultato.

Passaggio 3: ricerca di metodi di attacco e risposta

1. Esamina la voce del framework MITRE ATT&CK per questo tipo di risultato: Account validi: account cloud.
2. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Passaggio 4: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

• Contatta il proprietario dell'account nel campo Email entità. Conferma se l'azione è stata eseguita dal legittimo proprietario.
• Elimina le risorse del progetto create da questo account, come istanze Compute Engine, snapshot, service account e utenti IAM sconosciuti e così via.
• Contatta il proprietario del progetto con l'account ed eventualmente elimina o disattiva l'account.

Passaggi successivi

• Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
• Consulta l'indice dei risultati delle minacce.
• Scopri come esaminare un risultato tramite la console Google Cloud .
• Scopri di più sui servizi che generano risultati di minacce.