Autoinvestigação da conta de serviço

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Uma credencial de conta de serviço está sendo usada para investigar os papéis e as permissões associados a essa mesma conta de serviço. Essa descoberta indica que as credenciais da conta de serviço podem estar comprometidas e que é necessário tomar uma medida imediata.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

  1. Abra uma descoberta Discovery: Service Account Self-Investigation, conforme direcionado em Como verificar detalhes da descoberta anteriormente nesta página. O painel de detalhes da descoberta é aberto na guia Resumo.

  2. Na guia Resumo, confira as informações nas seguintes seções:

    • O que foi detectado, especialmente os seguintes campos:
      • Gravidade: o nível de risco atribuído à descoberta. A gravidade será HIGH se a chamada de API que acionou essa descoberta não tiver sido autorizada. A conta de serviço não tem permissão para consultar as próprias permissões do IAM com a API projects.getIamPolicy.
      • E-mail principal: a conta de serviço possivelmente comprometida.
      • IP do autor da chamada: o endereço IP interno ou externo
    • Recurso afetado, especialmente os seguintes campos:
      • Nome completo do recurso:
      • Nome completo do projeto: o projeto que contém as credenciais da conta que podem ter vazado.
    • Links relacionados, principalmente os seguintes campos:
      • URI do Cloud Logging: link para as entradas do Logging.
      • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
      • Descobertas relacionadas: links para quaisquer descobertas relacionadas.
    1. Para ver o JSON completo da descoberta, clique na guia JSON.

Etapa 2: verificar as permissões do projeto e da conta de serviço

  1. No console do Google Cloud , acesse a página IAM.

    Acessar IAM

  2. Se necessário, selecione o projeto listado no campo projectID do JSON de descoberta.

  3. Na página exibida, na caixa Filtro, insira o nome da conta listado em E-mail de principal e verifique as permissões atribuídas.

  4. No console Google Cloud , acesse a página Contas de serviço.

    Acesse Contas de serviço

  5. Na página exibida, na caixa Filtro, insira o nome da conta de serviço comprometida e verifique as chaves da conta de serviço e as datas de criação da chave.

Etapa 3: verificar os registros

  1. Na guia "Resumo" do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o Explorador de registros.
  2. Se necessário, selecione o projeto.
  3. Na página carregada, verifique os registros em busca de atividades em recursos novos ou atualizados do IAM usando estes filtros:
    • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
    • protoPayload.methodName="SetIamPolicy"
    • protoPayload.authenticationInfo.principalEmail="principalEmail"

Etapa 4: pesquisar métodos de ataque e resposta

  1. Verifique a entrada do framework do MITRE ATT&CK em busca deste tipo de descoberta: Descoberta de grupos de permissões: grupos de nuvem.
  2. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 5: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

  • Entre em contato a pessoa a quem o projeto com a conta violada pertence.
  • Exclua a conta de serviço violada e rotacione e exclua todas as chaves de acesso da conta de serviço do projeto comprometido. Após a exclusão, os recursos que usam a conta de serviço para autenticação perdem o acesso.
  • Exclua os recursos do projeto criados pela conta comprometida, como instâncias desconhecidas do Compute Engine, snapshots, contas de serviço e usuários do IAM.

A seguir