En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.
Información general
Se ha usado una clave de cuenta de servicio filtrada para autenticar una acción. En este contexto, una clave de cuenta de servicio filtrada es aquella que se ha publicado en Internet. Por ejemplo, las claves de cuenta de servicio se suelen publicar por error en repositorios públicos de GitHub.
Cómo responder
Para responder a esta observación, sigue estos pasos:
Paso 1: Revisa los detalles de la detección
- Abre la
Initial Access: Leaked Service Account Key Useddetección siguiendo las instrucciones de la sección Revisar las detecciones. En los detalles del hallazgo, en la pestaña Resumen, anote los valores de los siguientes campos.
En Qué se detectó:
- Correo principal: la cuenta de servicio usada en esta acción
- Nombre del servicio: el nombre de la API del servicio de Google Cloud al que ha accedido la cuenta de servicio.
- Nombre del método: el nombre del método de la acción.
- Nombre de clave de cuenta de servicio: la clave de cuenta de servicio filtrada que se ha usado para autenticar esta acción.
- Descripción: la descripción de lo que se ha detectado, incluida la ubicación en Internet pública donde se puede encontrar la clave de la cuenta de servicio
En Recurso afectado:
- Nombre visible del recurso: el recurso implicado en la acción
Paso 2: Consulta los registros
- En la Google Cloud consola, ve a Explorador de registros haciendo clic en el enlace de URI de Cloud Logging.
- En la barra de herramientas de la Google Cloud consola, selecciona tu proyecto u organización.
En la página que se carga, busque los registros relacionados mediante el siguiente filtro:
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"protoPayload.authenticationInfo.serviceAccountKeyName="SERVICE_ACCOUNT_KEY_NAME"
Sustituye PRINCIPAL_EMAIL por el valor que has anotado en el campo Correo principal de los detalles de la detección. Sustituye SERVICE_ACCOUNT_KEY_NAME por el valor que has anotado en el campo Nombre de clave de cuenta de servicio de los detalles de la detección.
Paso 3: Implementa tu respuesta
El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.
- Revoca la clave de cuenta de servicio inmediatamente en la página Cuentas de servicio.
- Retira la página web o el repositorio de GitHub en el que se haya publicado la clave de cuenta de servicio.
- Elimina la cuenta de servicio vulnerada.
- Rota y elimina todas las claves de acceso de las cuentas de servicio del proyecto que pueda haberse vulnerado. Después de eliminarla, las aplicaciones que usen la cuenta de servicio para la autenticación perderán el acceso. Antes de eliminarla, tu equipo de seguridad debe identificar todas las aplicaciones afectadas y trabajar con los propietarios de las aplicaciones para garantizar la continuidad del negocio.
- Colabora con tu equipo de seguridad para identificar recursos desconocidos, como instancias de Compute Engine, snapshots, cuentas de servicio y usuarios de gestión de identidades y accesos. Elimina los recursos que no se hayan creado con cuentas autorizadas.
- Responde a las notificaciones de Cloud Customer Care.
Siguientes pasos
- Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
- Consulta el índice de hallazgos de amenazas.
- Consulta cómo revisar un resultado a través de la consola Google Cloud .
- Consulta información sobre los servicios que generan detecciones de amenazas.