Persistência: concessão anômala de IAM

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Os registros de auditoria são examinados para detectar a adição de vinculações de função do IAM que podem ser consideradas suspeitas.

Confira a seguir exemplos de concessões anômalas:

• Convidar um usuário externo, como gmail.com, como proprietário do projeto no console Google Cloud
• Uma conta de serviço que concede permissões confidenciais;
• um papel personalizado que concede permissões confidenciais;
• Uma conta de serviço adicionada de fora da organização ou do projeto

A descoberta de IAM Anomalous Grant é exclusiva porque inclui subregras que fornecem informações mais específicas sobre cada instância dessa descoberta. A classificação de gravidade dessa descoberta depende da subregra. Cada subregra pode exigir uma resposta diferente.

A lista a seguir mostra todas as subregras possíveis e as gravidades delas:

• external_service_account_added_to_policy:
  • HIGH, se um papel altamente confidencial tiver sido concedido ou um papel de confidencialidade média for concedido no nível da organização. Para mais informações, consulte Papéis altamente confidenciais.
  • MEDIUM, se um papel de confidencialidade média for concedido. Para mais informações, consulte Papéis de confidencialidade média.
• external_member_invited_to_policy: HIGH
• external_member_added_to_policy:
  • HIGH, se um papel altamente confidencial tiver sido concedido ou um papel de confidencialidade média for concedido no nível da organização. Para mais informações, consulte Papéis altamente confidenciais.
  • MEDIUM, se um papel de confidencialidade média for concedido. Para mais informações, consulte Papéis de confidencialidade média.
• custom_role_given_sensitive_permissions: MEDIUM
• service_account_granted_sensitive_role_to_member: HIGH
• policy_modified_by_default_compute_service_account: HIGH

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra uma descoberta Persistence: IAM Anomalous Grant conforme direcionado em Como verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.

2. Na guia Resumo, confira as informações nas seguintes seções:

   • O que foi detectado, especialmente os seguintes campos:
     • E-mail principal: endereço de e-mail do usuário ou da conta de serviço que atribuiu o papel.

   • Recurso afetado

   • Links relacionados, principalmente os seguintes campos:

     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Descobertas relacionadas: links para quaisquer descobertas relacionadas.
     • Indicador do VirusTotal: link para a página de análise do VirusTotal.

3. Clique na guia JSON. O JSON completo da descoberta será exibido.

4. No JSON da descoberta, observe os seguintes campos:

   • detectionCategory:
     • subRuleName: informações mais específicas sobre o tipo de concessão anômala que ocorreu. A subregra determina a classificação de gravidade dessa descoberta.
   • evidence:
     • sourceLogId:
     • projectId: o ID do projeto que contém a descoberta.
   • properties:
     • sensitiveRoleGrant:
       • bindingDeltas:
       • Action: a ação tomada pelo usuário.
       • Role: o papel atribuído ao usuário.
       • member: o endereço de e-mail do usuário que recebeu o papel.

Etapa 2: verificar os registros

1. Na guia "Resumo" do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o Explorador de registros.
2. Na página carregada, procure recursos novos ou atualizados do IAM usando estes filtros:
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"

Etapa 3: pesquisar métodos de ataque e resposta

1. Verifique as entradas do framework do MITRE ATT&CK em busca deste tipo de descoberta: Contas válidas: contas do Cloud.
2. Verifique as descobertas relacionadas clicando no link na linha Descobertas relacionadas na guia Resumo dos detalhes da descoberta. As descobertas relacionadas são o mesmo tipo de descoberta e a mesma instância e rede.
3. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 4: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

• Entre em contato a pessoa a quem o projeto com a conta violada pertence.
• Exclua a conta de serviço violada e rotacione e exclua todas as chaves de acesso da conta de serviço do projeto comprometido. Após a exclusão, os recursos que usam a conta de serviço para autenticação perdem o acesso.
• Exclua recursos do projeto criados por contas não autorizadas, como instâncias desconhecidas do Compute Engine, snapshots, contas de serviço e usuários do IAM.
• Para restringir a adição de usuários do gmail.com, use a Política da organização.
• Para identificar e corrigir papéis excessivamente permissivos, use o Recomendador do IAM.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.