Auto-indagine sull'account di servizio

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

Viene utilizzata una credenziale del account di servizio per esaminare i ruoli e le autorizzazioni associati allo stessoaccount di serviziot. Questo risultato indica che le credenziali delaccount di serviziot potrebbero essere compromesse e che è necessario intervenire immediatamente.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

1. Apri un risultato Discovery: Service Account Self-Investigation come indicato in Revisione dei dettagli dei risultati in precedenza in questa pagina. Il riquadro dei dettagli del risultato si apre nella scheda Riepilogo.

2. Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni:

   • Che cosa è stato rilevato, in particolare i seguenti campi:
     • Gravità: il livello di rischio assegnato al risultato. La gravità è HIGH se la chiamata API che ha attivato questo risultato non è autorizzata: il account di servizio non dispone dell'autorizzazione per interrogare le proprie autorizzazioni IAM con l'API projects.getIamPolicy.
     • Email entità: l'account di servizio potenzialmente compromesso.
     • IP chiamante: l'indirizzo IP interno o esterno
   • Risorsa interessata, in particolare i seguenti campi:
     • Nome completo risorsa:
     • Nome completo del progetto: il progetto che contiene le credenziali dell'account potenzialmente compromesse.
   • Link correlati, in particolare i seguenti campi:
     • URI Cloud Logging: link alle voci di log.
     • Metodo MITRE ATT&CK: link alla documentazione MITRE ATT&CK.
     • Risultati correlati: link a eventuali risultati correlati.
   1. Per visualizzare il JSON completo del risultato, fai clic sulla scheda JSON.

Passaggio 2: esamina le autorizzazioni del progetto e del account di servizio

1. Nella console Google Cloud , vai alla pagina IAM.

   Vai a IAM

2. Se necessario, seleziona il progetto elencato nel campo projectID del JSON del risultato.

3. Nella pagina visualizzata, nella casella Filtro, inserisci il nome dell'account indicato in Email principale e controlla le autorizzazioni assegnate.

4. Nella console Google Cloud , vai alla pagina Service Accounts.

   Vai a Service account

5. Nella pagina visualizzata, nella casella Filtro, inserisci il nome del account di servizio compromesso e controlla le chiavi e le date di creazione delle chiavi del account di servizio.

Passaggio 3: controlla i log

1. Nella scheda Riepilogo del riquadro dei dettagli del problema, fai clic sul link URI Cloud Logging per aprire Esplora log.
2. Se necessario, seleziona il progetto.
3. Nella pagina che si carica, controlla i log per l'attività delle risorse IAM nuove o aggiornate utilizzando i seguenti filtri:
   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Passaggio 4: ricerca di metodi di attacco e risposta

1. Esamina la voce del framework MITRE ATT&CK per questo tipo di risultato: Scoperta autorizzazione gruppi: gruppi cloud.
2. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Passaggio 5: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

• Contatta il proprietario del progetto con l'account compromesso.
• Elimina il service account compromesso e ruota ed elimina tutte le chiavi di accesso delaccount di serviziot per il progetto compromesso. Dopo l'eliminazione, le risorse che utilizzano ilaccount di serviziot per l'autenticazione perdono l'accesso.
• Elimina le risorse del progetto create dall'account compromesso, come istanze Compute Engine, snapshot, service account e utenti IAM sconosciuti.

Passaggi successivi

• Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
• Consulta l'indice dei risultati delle minacce.
• Scopri come esaminare un risultato tramite la console Google Cloud .
• Scopri di più sui servizi che generano risultati di minacce.