Acesso inicial: permissões negadas em excesso

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Um principal acionou repetidamente erros de permissão negada em vários métodos e serviços.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra uma descoberta Initial Access: Excessive Permission Denied Actions, conforme instruído em Como verificar descobertas.

2. Nos detalhes de descoberta, na guia Resumo, observe os valores dos seguintes campos.

   Em O que foi detectado:

   • E-mail principal: o principal que acionou vários erros de permissão negada
   • Nome do serviço: o nome da API do serviço do Google Cloud em que ocorreu o último erro de permissão negada.
   • Nome do método: o método chamado quando o último erro de permissão negada ocorre.

3. Nos detalhes da descoberta, na guia Propriedades de origem, anote os valores dos seguintes campos no JSON:

   • properties.failedActions: a permissão negou erros que ocorreram. Para cada entrada, os detalhes incluem o nome do serviço, o nome do método, o número de tentativas com falha e a hora em que o erro ocorreu pela última vez. São exibidas no máximo 10 entradas.

Etapa 2: verificar os registros

1. No console Google Cloud , acesse o Explorador de registros clicando no link em URI do Cloud Logging.
2. Na barra de ferramentas do console Google Cloud , selecione seu projeto.

3. Na página carregada, encontre os registros relacionados usando o seguinte filtro:

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
   • protoPayload.status.code=7

   Substitua PRINCIPAL_EMAIL pelo valor que você anotou no campo E-mail do principal nos detalhes da descoberta.

Etapa 3: pesquisar métodos de ataque e resposta

1. Verifique a entrada do framework do MITRE ATT&CK em busca deste tipo de descoberta: Contas válidas: contas do Cloud.
2. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 4: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

• Entre em contato com o proprietário da conta no campo E-mail do principal. Confirme se o proprietário legítimo realizou a ação.
• Exclua recursos do projeto criados por essa conta, como instâncias desconhecidas do Compute Engine, snapshots, contas de serviço e usuários do IAM etc.
• Entre em contato com o proprietário do projeto com a conta e possivelmente exclua ou desative a conta.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.