En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.
Descripción general
Se usó una clave de cuenta de servicio filtrada para autenticar una acción. En este contexto, una clave de cuenta de servicio filtrada es aquella que se publicó en Internet. Por ejemplo, las claves de cuentas de servicio suelen publicarse por error en repositorios públicos de GitHub.
Cómo responder
Para responder a este hallazgo, haz lo siguiente:
Paso 1: Revisa los detalles del hallazgo
- Abre el hallazgo de
Initial Access: Leaked Service Account Key Used, como se indica en Revisa los hallazgos. En los detalles del hallazgo, en la pestaña Resumen, anota los valores de los siguientes campos.
En Qué se detectó, se muestra lo siguiente:
- Correo electrónico principal: Es la cuenta de servicio que se usó en esta acción.
- Nombre del servicio: Es el nombre de la API del servicio de Google Cloud al que accedió la cuenta de servicio.
- Nombre del método: Es el nombre del método de la acción.
- Nombre de la clave de la cuenta de servicio: Es la clave de la cuenta de servicio filtrada que se usó para autenticar esta acción.
- Descripción: Es la descripción de lo que se detectó, incluida la ubicación en Internet pública donde se puede encontrar la clave de la cuenta de servicio.
En Recurso afectado, haz lo siguiente:
- Nombre visible del recurso: Es el recurso involucrado en la acción.
Paso 2: Comprueba los registros
- En la consola de Google Cloud , haz clic en el vínculo en el URI de Cloud Logging para ir al Explorador de registros.
- En la barra de herramientas de la consola de Google Cloud , selecciona tu proyecto u organización.
En la página que se carga, busca los registros relacionados con el siguiente filtro:
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"protoPayload.authenticationInfo.serviceAccountKeyName="SERVICE_ACCOUNT_KEY_NAME"
Reemplaza PRINCIPAL_EMAIL por el valor que anotaste en el campo Correo electrónico principal en los detalles del hallazgo. Reemplaza SERVICE_ACCOUNT_KEY_NAME por el valor que anotaste en el campo Nombre de la clave de la cuenta de servicio en los detalles del hallazgo.
Paso 3: Implementa tu respuesta
El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.
- Revoca la clave de la cuenta de servicio de inmediato en la página Cuentas de servicio.
- Quita la página web o el repositorio de GitHub en el que se publicó la clave de la cuenta de servicio.
- Considera borrar la cuenta de servicio vulnerada.
- Rota y borra todas las claves de acceso de la cuenta de servicio del proyecto posiblemente vulnerado. Después de la eliminación, las aplicaciones que usan la cuenta de servicio para la autenticación perderán el acceso. Antes de borrar, tu equipo de seguridad debe identificar todas las aplicaciones afectadas y trabajar con los propietarios de las aplicaciones para garantizar la continuidad del negocio.
- Trabaja con tu equipo de seguridad para identificar recursos desconocidos, incluidos instancias de Compute Engine, instantáneas, cuentas de servicio y usuarios de IAM. Borra los recursos que no se crearon con cuentas autorizadas.
- Responde las notificaciones de la Atención al cliente de Cloud.
¿Qué sigue?
- Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
- Consulta el Índice de resultados de amenazas.
- Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
- Obtén más información sobre los servicios que generan hallazgos de amenazas.