このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。脅威の検出結果の完全なリストについては、脅威の検出結果のインデックスをご覧ください。
概要
プリンシパルが複数のメソッドとサービスでアクセス拒否エラーを繰り返しトリガーしました。
対処方法
この検出結果の対処方法は次のとおりです。
ステップ 1: 検出結果の詳細を確認する
- 検出結果の確認の説明に従って、
Initial Access: Excessive Permission Denied Actionsの検出結果を開きます。 [検出の詳細] の [概要] タブで、次のフィールドの値をメモします。
検出された内容:
- プリンシパルのメール: 複数の権限拒否エラーをトリガーしたプリンシパル
- サービス名: 権限拒否エラーが最後に発生した Google Cloud サービスの API 名
- メソッド名: 最後の権限拒否エラーが発生したときに呼び出されたメソッド
[検出の詳細] の [参照元プロパティ] タブで、JSON 形式の次のフィールドの値をメモします。
- properties.failedActions: 発生した権限拒否エラー。各エントリの詳細には、サービス名、メソッド名、失敗した試行回数、エラーが最後に発生した時刻が含まれます。最大 10 個のエントリが表示されます。
ステップ 2: ログを確認する
- Google Cloud コンソールで、Cloud Logging URI のリンクをクリックして [ログ エクスプローラ] に移動します。
- Google Cloud コンソールのツールバーでプロジェクトを選択します。
読み込まれたページで、次のフィルタを使用して関連ログを見つけます。
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"protoPayload.status.code=7
PRINCIPAL_EMAIL は、[検出の詳細] の [プリンシパルのメール] フィールドからメモした値に置き換えます。
ステップ 3: 攻撃とレスポンスの手法を調査する
- この検出結果タイプに対応する MITRE ATT&CK フレームワーク エントリ(Valid Accounts: Cloud Accounts)を確認します。
- 対応計画を策定するには、独自の調査結果と MITRE の調査を組み合わせる必要があります。
ステップ 4: レスポンスを実装する
次の対応計画は、この検出結果に適切な場合もありますが、運用に影響する可能性もあります。調査で収集した情報を慎重に評価して、検出結果を解決する最適な方法を判断してください。
- [プリンシパルのメール] フィールドにあるアカウントのオーナーに連絡します。正当なオーナーが操作を行ったかどうかを確認します。
- 覚えのない Compute Engine インスタンス、スナップショット、サービス アカウント、IAM ユーザーなど、不正使用されたアカウントによって作成されたプロジェクト リソースを削除します。
- アカウントを持っているプロジェクトのオーナーに連絡し、場合によってはアカウントを削除または無効にします。
次のステップ
- Security Command Center で脅威の検出結果を操作する方法を確認する。
- 脅威の検出結果のインデックスを参照する。
- Google Cloud コンソールで検出結果を確認する方法を確認する。
- 脅威の検出結果を生成するサービスについて確認する。