Persistenz: Ungewöhnliche IAM-Gewährung

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Audit-Logs werden untersucht, um das Hinzufügen von IAM-Rollenbindungen zu erkennen, die als verdächtig eingestuft werden können.

Im Folgenden finden Sie Beispiele für anomale Berechtigungen:

  • Einladen eines externen Nutzers, z. B. eines gmail.com-Nutzers, als Projektinhaber über die Google Cloud Console
  • Ein Dienstkonto, das vertrauliche Berechtigungen erteilt
  • Eine benutzerdefinierte Rolle, die vertrauliche Berechtigungen erteilt
  • Dienstkonto, das von außerhalb Ihrer Organisation oder Ihres Projekts hinzugefügt wurde

Die IAM Anomalous Grant-Erkenntnis ist insofern einzigartig, als sie Unterregeln enthält, die genauere Informationen zu jeder Instanz dieser Erkenntnis liefern. Die Schweregradklassifizierung dieses Ergebnisses hängt von der untergeordneten Regel ab. Für jede untergeordnete Regel ist möglicherweise eine andere Antwort erforderlich.

In der folgenden Liste sind alle möglichen untergeordneten Regeln und ihre Schweregrade aufgeführt:

  • external_service_account_added_to_policy:
    • HIGH, wenn eine Rolle mit hoher Vertraulichkeit oder eine Rolle mit mittlerer Vertraulichkeit auf Organisationsebene gewährt wurde. Weitere Informationen finden Sie unter Rollen mit hoher Sensibilität.
    • MEDIUM, wenn eine Rolle mit mittlerer Vertraulichkeit zugewiesen wurde. Weitere Informationen finden Sie unter Rollen mit mittlerer Sensibilität.
  • external_member_invited_to_policy: HIGH
  • external_member_added_to_policy:
    • HIGH, wenn eine Rolle mit hoher Vertraulichkeit oder eine Rolle mit mittlerer Vertraulichkeit auf Organisationsebene gewährt wurde. Weitere Informationen finden Sie unter Rollen mit hoher Sensibilität.
    • MEDIUM, wenn eine Rolle mit mittlerer Vertraulichkeit zugewiesen wurde. Weitere Informationen finden Sie unter Rollen mit mittlerer Sensibilität.
  • custom_role_given_sensitive_permissions: MEDIUM
  • service_account_granted_sensitive_role_to_member: HIGH
  • policy_modified_by_default_compute_service_account: HIGH

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

  1. Öffnen Sie das Ergebnis Persistence: IAM Anomalous Grant, wie unter Ergebnisse prüfen beschrieben. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.

  2. Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

    • Was wurde erkannt?, insbesondere die folgenden Felder:
      • E-Mail-Adresse des Hauptkontos: E-Mail-Adresse des Nutzers oder Dienstkontos, dem die Rolle zugewiesen wurde.

    • Betroffene Ressource

    • Zugehörige Links, insbesondere die folgenden Felder:

      • Cloud Logging-URI: Link zu Logging-Einträgen.
      • MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
      • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.
      • VirusTotal-Indikator: Link zur VirusTotal-Analyseseite.

  3. Klicken Sie auf den Tab JSON. Die vollständige JSON-Datei des Ergebnisses wird angezeigt.

  4. Beachten Sie im JSON für das Ergebnis die folgenden Felder:

    • detectionCategory:
      • subRuleName: genauere Informationen zum Typ der aufgetretenen anomalen Gewährung. Die Unterregel bestimmt die Schweregradklassifizierung dieses Ergebnisses.
    • evidence:
      • sourceLogId:
      • projectId: die ID des Projekts, das das Ergebnis enthält.
    • properties:
      • sensitiveRoleGrant:
        • bindingDeltas:
        • Action: die vom Nutzer durchgeführte Aktion.
        • Role: die dem Nutzer zugewiesene Rolle.
        • member: die E-Mail-Adresse des Nutzers, der die Rolle erhalten hat.

Schritt 2: Protokolle prüfen

  1. Klicken Sie im Bereich „Details zu Ergebnissen“ auf dem Tab „Zusammenfassung“ auf den Link Cloud Logging-URI, um den Log-Explorer zu öffnen.
  2. Suchen Sie auf der Seite, die geladen wird, mithilfe der folgenden Filter nach neuen oder aktualisierten IAM-Ressourcen:
    • protoPayload.methodName="SetIamPolicy"
    • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
    • protoPayload.methodName="google.iam.admin.v1.CreateRole"

Schritt 3: Forschungsangriffe und Reaktionsmethoden

  1. Prüfen Sie die MITRE-ATT&CK-Framework-Einträge für diesen Ergebnistyp: Gültige Konten: Cloudkonten.
  2. Klicken Sie auf den Link in der Zeile Ähnliche Ergebnisse auf dem Tab Zusammenfassung der Ergebnisdetails, um ähnliche Ergebnisse aufzurufen. Ähnliche Ergebnisse haben denselben Ergebnistyp und dieselbe Instanz und dasselbe Netzwerk.
  3. Wenn Sie einen Antwortplan entwickeln möchten, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Forschung.

Schritt 4: Antwort implementieren

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

  • Wenden Sie sich an den Inhaber des Projekts mit dem manipulierten Konto.
  • Löschen Sie das manipulierte Dienstkonto und rotieren und löschen Sie alle Zugriffsschlüssel des Dienstkontos für das manipulierte Projekt. Nach dem Löschen verlieren Ressourcen, die das Dienstkonto für die Authentifizierung verwenden, den Zugriff.
  • Projektressourcen löschen, die von nicht autorisierten Konten erstellt wurden, z. B. unbekannte Compute Engine-Instanzen, Snapshots, Dienstkonten und IAM-Nutzer.
  • Verwenden Sie die Organisationsrichtlinie, um das Hinzufügen von gmail.com-Nutzern einzuschränken.
  • Um IAM-Rollen mit zu vielen Berechtigungen zu identifizieren und zu beheben, verwenden Sie IAM Recommender.

Nächste Schritte