Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.
Panoramica
Una chiave del account di servizio divulgata è stata utilizzata per autenticare un'azione. In questo contesto, una chiave account di servizio divulgata è una chiave pubblicata su internet pubblico. Ad esempio, le chiavi dei account di servizio vengono spesso pubblicate per errore nel repository GitHub pubblico.
Come rispondere
Per rispondere a questo risultato:
Passaggio 1: esamina i dettagli del risultato
- Apri il
Initial Access: Leaked Service Account Key Usedrisultato come indicato in Revisione dei risultati. Nei dettagli del risultato, nella scheda Riepilogo, prendi nota dei valori dei seguenti campi.
In Che cosa è stato rilevato:
- Email entità: il account di servizio utilizzato in questa azione
- Nome servizio: il nome dell'API del servizio Google Cloud a cui ha avuto accesso il account di servizio
- Nome metodo: il nome del metodo dell'azione
- Nome chiave service account: la chiave account di servizio divulgata utilizzata per autenticare questa azione
- Descrizione: la descrizione di ciò che è stato rilevato, inclusa la posizione su internet pubblica in cui è possibile trovare la chiave del account di servizio
In Risorsa interessata:
- Nome visualizzato risorsa: la risorsa coinvolta nell'azione
Passaggio 2: controlla i log
- Nella console Google Cloud , vai a Esplora log facendo clic sul link in URI Cloud Logging.
- Nella barra degli strumenti della console Google Cloud , seleziona il progetto o l'organizzazione.
Nella pagina caricata, trova i log correlati utilizzando il seguente filtro:
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"protoPayload.authenticationInfo.serviceAccountKeyName="SERVICE_ACCOUNT_KEY_NAME"
Sostituisci PRINCIPAL_EMAIL con il valore che hai annotato nel campo Email principale nei dettagli del risultato. Sostituisci SERVICE_ACCOUNT_KEY_NAME con il valore che hai annotato nel campo Nome chiave service account nei dettagli del risultato.
Passaggio 3: implementa la risposta
Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.
- Revoca immediatamente la chiave dell'account di servizio nella pagina Account di servizio.
- Rimuovi la pagina web o il repository GitHub in cui è pubblicata la chiave dell'account di servizio.
- Valuta la possibilità di eliminare il service account compromesso.
- Esegui la rotazione ed elimina tutte le chiavi di accesso del account di servizio per il progetto potenzialmente compromesso. Dopo l'eliminazione, le applicazioni che utilizzano ilaccount di serviziot per l'autenticazione perdono l'accesso. Prima dell'eliminazione, il tuo team di sicurezza deve identificare tutte le applicazioni interessate e collaborare con i proprietari delle applicazioni per garantire la continuità operativa.
- Collabora con il tuo team di sicurezza per identificare risorse sconosciute, tra cui istanze di Compute Engine, snapshot, service account e utenti IAM. Elimina le risorse non create con account autorizzati.
- Rispondi a eventuali notifiche dell'assistenza clienti Google Cloud.
Passaggi successivi
- Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
- Consulta l'indice dei risultati delle minacce.
- Scopri come esaminare un risultato tramite la console Google Cloud .
- Scopri di più sui servizi che generano risultati di minacce.