Persistencia: concesión anómala de gestión de identidades y accesos

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Se examinan los registros de auditoría para detectar la adición de enlaces de roles de gestión de identidades y accesos que puedan considerarse sospechosos.

Estos son algunos ejemplos de concesiones anómalas:

• Invitar a un usuario externo, como un usuario de gmail.com, como propietario de un proyecto desde la Google Cloud consola
• Una cuenta de servicio que concede permisos sensibles
• Un rol personalizado que concede permisos sensibles
• Una cuenta de servicio añadida desde fuera de tu organización o proyecto

La IAM Anomalous Grant es única porque incluye subreglas que proporcionan información más específica sobre cada instancia de esta finding. La clasificación de la gravedad de este resultado depende de la subregla. Cada subregla puede requerir una respuesta diferente.

En la siguiente lista se muestran todas las subreglas posibles y sus gravedades:

• external_service_account_added_to_policy:
  • HIGH, si se ha concedido un rol de alta sensibilidad o si se ha concedido un rol de sensibilidad media a nivel de organización. Para obtener más información, consulta Roles de alta sensibilidad.
  • MEDIUM, si se ha concedido un rol de sensibilidad media. Para obtener más información, consulta Roles de sensibilidad media.
• external_member_invited_to_policy: HIGH
• external_member_added_to_policy:
  • HIGH, si se ha concedido un rol de alta sensibilidad o si se ha concedido un rol de sensibilidad media a nivel de organización. Para obtener más información, consulta Roles de alta sensibilidad.
  • MEDIUM, si se ha concedido un rol de sensibilidad media. Para obtener más información, consulta Roles de sensibilidad media.
• custom_role_given_sensitive_permissions: MEDIUM
• service_account_granted_sensitive_role_to_member: HIGH
• policy_modified_by_default_compute_service_account: HIGH

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

1. Abre un Persistence: IAM Anomalous Grant tal como se indica en el artículo Revisar resultados. Se abrirá el panel de detalles del resultado en la pestaña Resumen.

2. En la pestaña Resumen, consulte la información de las siguientes secciones:

   • Qué se detectó, especialmente los siguientes campos:
     • Correo principal: dirección de correo del usuario o de la cuenta de servicio que ha asignado el rol.

   • Recurso afectado

   • Enlaces relacionados, especialmente los siguientes campos:

     • URI de Cloud Logging: enlace a las entradas de registro.
     • Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
     • Hallazgos relacionados: enlaces a los hallazgos relacionados.
     • Indicador de VirusTotal: enlace a la página de análisis de VirusTotal.

3. Haz clic en la pestaña JSON. Se muestra el JSON completo del resultado.

4. En el JSON del hallazgo, fíjate en los siguientes campos:

   • detectionCategory:
     • subRuleName: información más específica sobre el tipo de concesión anómala que se ha producido. La subregla determina la clasificación de gravedad de este resultado.
   • evidence:
     • sourceLogId:
     • projectId: el ID del proyecto que contiene el resultado.
   • properties:
     • sensitiveRoleGrant:
       • bindingDeltas:
       • Action: la acción que ha realizado el usuario.
       • Role: el rol asignado al usuario.
       • member: la dirección de correo del usuario que ha recibido el rol.

Paso 2: Consulta los registros

1. En la pestaña Resumen del panel de detalles de la detección, haga clic en el enlace URI de Cloud Logging para abrir Explorador de registros.
2. En la página que se carga, busca recursos de gestión de identidades y accesos nuevos o actualizados con los siguientes filtros:
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"

Paso 3: Investiga los métodos de ataque y respuesta

1. Consulta las entradas del framework ATT&CK de MITRE para este tipo de resultado: Cuentas válidas: cuentas en la nube.
2. Para consultar los hallazgos relacionados, haz clic en el enlace de la fila Hallazgos relacionados de la pestaña Resumen de los detalles del hallazgo. Los resultados relacionados son del mismo tipo y de la misma instancia y red.
3. Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.

Paso 4: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.

• Ponte en contacto con el propietario del proyecto cuya cuenta se ha visto comprometida.
• Elimina la cuenta de servicio vulnerada y rota y elimina todas las claves de acceso de la cuenta de servicio del proyecto vulnerado. Después de la eliminación, los recursos que usen la cuenta de servicio para la autenticación perderán el acceso.
• Elimina los recursos del proyecto creados por cuentas no autorizadas, como instancias de Compute Engine, snapshots, cuentas de servicio y usuarios de IAM desconocidos.
• Para restringir la adición de usuarios de gmail.com, usa la política de la organización.
• Para identificar y corregir roles demasiado permisivos, usa Recomendador de IAM.

Siguientes pasos

• Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
• Consulta el índice de hallazgos de amenazas.
• Consulta cómo revisar un resultado a través de la consola Google Cloud .
• Consulta información sobre los servicios que generan detecciones de amenazas.