Persistência: nova região geográfica

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Essa descoberta não está disponível para ativações no nível do projeto.

Um usuário ou conta de serviço do IAM está acessando Google Cloud de um local anômalo, com base na geolocalização do endereço IP solicitante.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

  1. Abra uma descoberta Persistence: New Geography, conforme direcionado em Como verificar detalhes da descoberta anteriormente nesta página. O painel de detalhes da descoberta é aberto na guia Resumo.

  2. Na guia Resumo, confira as informações nas seguintes seções:

  • O que foi detectado, especialmente os seguintes campos:
    • E-mail principal: a conta do usuário que pode estar comprometida.
  • Recurso afetado, especialmente os seguintes campos:
    • Nome completo do projeto: contém a conta de usuário potencialmente comprometida.
  • Links relacionados, principalmente os seguintes campos:
    • URI do Cloud Logging: link para as entradas do Logging.
    • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
    • Descobertas relacionadas: links para quaisquer descobertas relacionadas.
  1. Na visualização detalhada da descoberta, clique na guia JSON.

  2. No JSON, observe os seguintes campos sourceProperties:

    • affectedResources:
      • gcpResourceName: o recurso afetado;
    • evidence:
      • sourceLogId:
      • projectId: o ID do projeto que contém a descoberta.
    • properties:
      • anomalousLocation:
      • anomalousLocation: o local atual estimado do usuário.
      • callerIp: o endereço IP externo.
      • notSeenInLast: o período usado para estabelecer um valor de referência para o comportamento normal.
      • typicalGeolocations: os locais onde o usuário geralmente acessa os recursos doGoogle Cloud .

Etapa 2: verificar as permissões do projeto e da conta

  1. No console do Google Cloud , acesse a página IAM.

    Acessar IAM

  2. Se necessário, selecione o projeto listado no campo projectID no JSON de descoberta.

  3. Na página exibida, na caixa Filtro, insira o nome da conta listado em E-mail principal e verifique os papéis concedidos.

Etapa 3: verificar os registros

  1. Na guia "Resumo" do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o Explorador de registros.
  2. Se necessário, selecione o projeto.
  3. Na página carregada, verifique os registros em busca de atividades em recursos novos ou atualizados do IAM usando estes filtros:
    • protoPayload.methodName="SetIamPolicy"
    • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
    • protoPayload.methodName="google.iam.admin.v1.CreateRole"
    • protoPayload.authenticationInfo.principalEmail="principalEmail"

Etapa 4: pesquisar métodos de ataque e resposta

  1. Verifique a entrada do framework do MITRE ATT&CK em busca deste tipo de descoberta: Contas válidas: contas do Cloud.
  2. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 5: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

  • Entre em contato a pessoa a quem o projeto com a conta violada pertence.
  • Confira os campos anomalousLocation, typicalGeolocations e notSeenInLast para verificar se o acesso está anormal e se a conta foi comprometida.
  • Exclua recursos do projeto criados por contas não autorizadas, como instâncias desconhecidas do Compute Engine, snapshots, contas de serviço e usuários do IAM.
  • Para restringir a criação de novos recursos a regiões específicas, consulte Como restringir locais de recursos.
  • Para identificar e corrigir papéis excessivamente permissivos, use o Recomendador do IAM.

A seguir