지속성: IAM 비정상적인 권한 부여

이 문서에서는 Security Command Center의 위협 발견 항목 유형에 대해 설명합니다. 위협 발견 항목은 위협 감지기가 클라우드 리소스에서 잠재적인 위협을 감지할 때 생성됩니다. 사용 가능한 위협 발견 항목의 전체 목록은 위협 발견 항목 색인을 참고하세요.

개요

감사 로그를 조사하여 의심스러운 것으로 간주될 수 있는 IAM 역할 바인딩이 추가되었는지 감지합니다.

다음은 비정상적인 권한 부여의 예시입니다.

• Google Cloud 콘솔에서 gmail.com 사용자와 같은 외부 사용자를 프로젝트 소유자로 초대
• 민감한 권한을 부여하는 서비스 계정
• 민감한 권한을 부여하는 커스텀 역할
• 조직 또는 프로젝트 외부에서 추가된 서비스 계정

IAM Anomalous Grant 발견 항목은 이 발견 항목의 각 인스턴스에 대한 더 구체적인 정보를 제공하는 하위 규칙이 포함되어 있다는 점에서 독특합니다. 이 발견 항목의 심각도 분류는 하위 규칙에 따라 다릅니다. 하위 규칙마다 다른 응답이 필요할 수 있습니다.

다음 목록에는 가능한 모든 하위 규칙과 심각도가 나와 있습니다.

• external_service_account_added_to_policy:
  • HIGH: 매우 민감한 역할이 부여되었거나 조직 수준에서 중간 민감도 역할이 부여된 경우. 자세한 내용은 매우 민감한 역할을 참조하세요.
  • MEDIUM: 중간 민감도 역할이 부여된 경우. 자세한 내용은 중간 민감도 역할을 참조하세요.
• external_member_invited_to_policy: HIGH
• external_member_added_to_policy:
  • HIGH: 매우 민감한 역할이 부여되었거나 조직 수준에서 중간 민감도 역할이 부여된 경우. 자세한 내용은 매우 민감한 역할을 참조하세요.
  • MEDIUM: 중간 민감도 역할이 부여된 경우. 자세한 내용은 중간 민감도 역할을 참조하세요.
• custom_role_given_sensitive_permissions: MEDIUM
• service_account_granted_sensitive_role_to_member: HIGH
• policy_modified_by_default_compute_service_account: HIGH

대응 방법

이 발견 항목에 대응하려면 다음을 수행하세요.

1단계: 발견 항목 세부정보 검토하기

1. 발견 항목 검토의 지시에 따라 Persistence: IAM Anomalous Grant 발견 항목을 엽니다. 발견 항목의 세부정보 패널의 요약 탭이 열립니다.

2. 요약 탭에서 다음 섹션의 정보를 검토합니다.

   • 특히 다음 필드를 포함하는 감지된 항목:
     • 기본 이메일: 역할을 할당한 사용자 또는 서비스 계정의 이메일 주소

   • 영향을 받는 리소스

   • 특히 다음 필드를 포함하는 관련 링크:

     • Cloud Logging URI: Logging 항목의 링크
     • MITRE ATT&CK 메서드: MITRE ATT&CK 문서의 링크
     • 관련 발견 항목: 모든 관련 발견 항목의 링크
     • VirusTotal 표시기: VirusTotal 분석 페이지 링크

3. JSON 탭을 클릭합니다. 발견 항목의 전체 JSON이 표시됩니다.

4. 발견 항목의 JSON에서 다음 필드를 확인합니다.

   • detectionCategory:
     • subRuleName: 발생한 비정상적인 권한 부여 유형에 대한 보다 구체적인 정보. 하위 규칙에 따라 이 발견 항목의 심각도 분류가 결정됩니다.
   • evidence:
     • sourceLogId:
     • projectId: 허브가 포함된 프로젝트의 ID
   • properties:
     • sensitiveRoleGrant:
       • bindingDeltas:
       • Action: 사용자가 수행한 작업
       • Role: 사용자에게 할당된 역할
       • member: 역할을 수신한 사용자의 이메일 주소

2단계: 로그 확인하기

1. 발견 항목 세부정보 패널의 요약 탭에서 Cloud Logging URI 링크를 클릭하여 로그 탐색기를 엽니다.
2. 로드되는 페이지에서 다음 필터를 사용하여 새 리소스 또는 업데이트된 IAM 리소스를 찾습니다.
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"

3단계: 공격 및 대응 방법 조사하기

1. 이 발견 항목 유형의 MITRE ATT&CK 프레임워크 항목을 검토합니다. 유효한 계정: Cloud 계정
2. 발견 항목 세부정보의 요약 탭에서 관련 발견 항목 행을 클릭하여 관련 발견 항목을 검토합니다. 관련 발견 항목은 동일한 발견 유형과 동일한 인스턴스 및 네트워크입니다.
3. 대응 계획을 개발하려면 조사 결과를 MITRE 연구와 결합합니다.

4단계: 대응 구현하기

다음의 응답 계획이 이 발견 항목에 적합할 수 있지만 작업에도 영향을 줄 수 있습니다. 조사에서 수집한 정보를 신중하게 평가하여 발견 항목을 해결할 최선의 방법을 결정해야 합니다.

• 침해된 계정이 있는 프로젝트의 소유자에게 문의하세요.
• 침해된 서비스 계정을 삭제하고 침해된 프로젝트의 모든 서비스 계정 액세스 키를 순환 및 삭제합니다. 삭제 후에는 인증을 위해 서비스 계정을 사용하는 리소스에서 액세스 권한을 잃게 됩니다.
• 익숙하지 않은 Compute Engine 인스턴스, 스냅샷, 서비스 계정, IAM 사용자와 같이 승인되지 않은 계정에 의해 생성된 프로젝트 리소스를 삭제합니다.
• gmail.com 사용자 추가를 제한하려면 조직 정책을 사용하세요.
• 과도한 권한이 부여된 역할을 식별하고 수정하려면 IAM 추천자를 사용합니다.

다음 단계

• Security Command Center에서 위협 발견 항목을 사용하는 방법을 알아보세요.
• 위협 발견 항목 색인을 참고하세요.
• Google Cloud 콘솔을 통해 결과를 검토하는 방법을 알아봅니다.
• 위협 결과를 생성하는 서비스에 대해 알아봅니다.