Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.
Vista geral
Foi usada uma chave de conta de serviço roubada para autenticar uma ação. Neste contexto, uma chave de conta de serviço roubada é uma chave que foi publicada na Internet pública. Por exemplo, as chaves de contas de serviço são frequentemente publicadas por engano em repositórios públicos do GitHub.
A Deteção de ameaças com base em eventos é a origem desta descoberta.
Como responder
Para responder a esta descoberta, faça o seguinte:
Passo 1: reveja os detalhes da descoberta
- Abra a
Initial Access: Leaked Service Account Key Useddescoberta, conforme indicado em Rever descobertas. Nos detalhes da descoberta, no separador Resumo, tome nota dos valores dos seguintes campos.
Em O que foi detetado:
- Email principal: a conta de serviço usada nesta ação
- Nome do serviço: o nome da API do serviço Google Cloud acedido pela conta de serviço
- Nome do método: o nome do método da ação
- Nome da chave da conta de serviço: a chave da conta de serviço divulgada usada para autenticar esta ação
- Descrição: a descrição do que foi detetado, incluindo a localização na Internet pública onde a chave da conta de serviço pode ser encontrada
Em Recurso afetado:
- Nome a apresentar do recurso: o recurso envolvido na ação
Passo 2: verifique os registos
- Na Google Cloud consola, aceda ao Explorador de registos clicando no link em URI do Cloud Logging.
- Na Google Cloud barra de ferramentas da consola, selecione o seu projeto ou organização.
Na página carregada, encontre registos relacionados através do seguinte filtro:
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"protoPayload.authenticationInfo.serviceAccountKeyName="SERVICE_ACCOUNT_KEY_NAME"
Substitua PRINCIPAL_EMAIL pelo valor que anotou no campo Email principal nos detalhes da descoberta. Substitua SERVICE_ACCOUNT_KEY_NAME pelo valor que anotou no campo Nome da chave da conta de serviço nos detalhes da descoberta.
Passo 3: implemente a sua resposta
O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.
- Revogue imediatamente a chave da conta de serviço na página Contas de serviço.
- Remova a página Web ou o repositório do GitHub onde a chave da conta de serviço está publicada.
- Considere eliminar a conta de serviço comprometida.
- Rode e elimine todas as chaves de acesso da conta de serviço para o projeto potencialmente comprometido. Após a eliminação, as aplicações que usam a conta de serviço para autenticação perdem o acesso. Antes de eliminar, a sua equipa de segurança deve identificar todas as aplicações afetadas e trabalhar com os proprietários das aplicações para garantir a continuidade da empresa.
- Colabore com a sua equipa de segurança para identificar recursos desconhecidos, incluindo instâncias do Compute Engine, instantâneos, contas de serviço e utilizadores do IAM. Elimine recursos que não foram criados com contas autorizadas.
- Responder a quaisquer notificações do Cloud Customer Care.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.