Persistenza: concessione IAM anomala

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

I log di controllo vengono esaminati per rilevare l'aggiunta di associazioni di ruoli IAM che potrebbero essere considerate sospette.

Di seguito sono riportati alcuni esempi di concessioni anomale:

• Invitare un utente esterno, ad esempio un utente gmail.com, come proprietario del progetto dalla console Google Cloud
• Un account di servizio che concede autorizzazioni sensibili
• Un ruolo personalizzato che concede autorizzazioni sensibili
• Un account di servizio aggiunto da un'organizzazione o un progetto esterni

Il risultato IAM Anomalous Grant è unico in quanto include sotto-regole che forniscono informazioni più specifiche su ogni istanza di questo risultato. La classificazione della gravità di questo risultato dipende dalla regola secondaria. Ogni sotto-regola potrebbe richiedere una risposta diversa.

Il seguente elenco mostra tutte le possibili regole secondarie e le relative gravità:

• external_service_account_added_to_policy:
  • HIGH, se è stato concesso un ruolo con sensibilità elevata o se è stato concesso un ruolo con sensibilità media a livello di organizzazione. Per ulteriori informazioni, vedi Ruoli altamente sensibili.
  • MEDIUM, se è stato concesso un ruolo con sensibilità media. Per ulteriori informazioni, vedi Ruoli con sensibilità media.
• external_member_invited_to_policy: HIGH
• external_member_added_to_policy:
  • HIGH, se è stato concesso un ruolo con sensibilità elevata o se è stato concesso un ruolo con sensibilità media a livello di organizzazione. Per ulteriori informazioni, vedi Ruoli altamente sensibili.
  • MEDIUM, se è stato concesso un ruolo con sensibilità media. Per ulteriori informazioni, vedi Ruoli con sensibilità media.
• custom_role_given_sensitive_permissions: MEDIUM
• service_account_granted_sensitive_role_to_member: HIGH
• policy_modified_by_default_compute_service_account: HIGH

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

1. Apri un risultato Persistence: IAM Anomalous Grant come indicato in Revisione dei risultati. Il riquadro dei dettagli del risultato si apre nella scheda Riepilogo.

2. Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni:

   • Che cosa è stato rilevato, in particolare i seguenti campi:
     • Email entità: indirizzo email dell'utente o del account di servizio che ha assegnato il ruolo.

   • Risorsa interessata

   • Link correlati, in particolare i seguenti campi:

     • URI Cloud Logging: link alle voci di log.
     • Metodo MITRE ATT&CK: link alla documentazione MITRE ATT&CK.
     • Risultati correlati: link a eventuali risultati correlati.
     • Indicatore VirusTotal: link alla pagina di analisi di VirusTotal.

3. Fai clic sulla scheda JSON. Viene visualizzato il JSON completo del problema.

4. Nel JSON per il risultato, prendi nota dei seguenti campi:

   • detectionCategory:
     • subRuleName: informazioni più specifiche sul tipo di concessione anomala che si è verificata. La regola secondaria determina la classificazione della gravità di questo risultato.
   • evidence:
     • sourceLogId:
     • projectId: l'ID del progetto che contiene il problema.
   • properties:
     • sensitiveRoleGrant:
       • bindingDeltas:
       • Action: l'azione intrapresa dall'utente.
       • Role: il ruolo assegnato all'utente.
       • member: l'indirizzo email dell'utente a cui è stato assegnato il ruolo.

Passaggio 2: controlla i log

1. Nella scheda Riepilogo del riquadro dei dettagli del problema, fai clic sul link URI Cloud Logging per aprire Esplora log.
2. Nella pagina caricata, cerca risorse IAM nuove o aggiornate utilizzando i seguenti filtri:
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"

Passaggio 3: ricerca di metodi di attacco e risposta

1. Esamina le voci del framework MITRE ATT&CK per questo tipo di risultato: Account validi: account cloud.
2. Esamina i risultati correlati facendo clic sul link nella riga Risultati correlati della scheda Riepilogo dei dettagli del risultato. I risultati correlati sono dello stesso tipo e della stessa istanza e rete.
3. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Passaggio 4: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

• Contatta il proprietario del progetto con l'account compromesso.
• Elimina il service account compromesso e ruota ed elimina tutte le chiavi di accesso delaccount di serviziot per il progetto compromesso. Dopo l'eliminazione, le risorse che utilizzano ilaccount di serviziot per l'autenticazione perdono l'accesso.
• Elimina le risorse del progetto create da account non autorizzati, come istanze Compute Engine, snapshot, service account e utenti IAM sconosciuti.
• Per limitare l'aggiunta di utenti gmail.com, utilizza i criteri dell'organizzazione.
• Per identificare e correggere i ruoli eccessivamente permissivi, utilizza IAM Recommender.

Passaggi successivi

• Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
• Consulta l'indice dei risultati delle minacce.
• Scopri come esaminare un risultato tramite la console Google Cloud .
• Scopri di più sui servizi che generano risultati di minacce.