Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.
Visão geral
Uma chave de conta de serviço vazada foi usada para autenticar uma ação. Nesse contexto, uma chave da conta de serviço com vazamento foi publicada na Internet pública. Por exemplo, as chaves da conta de serviço geralmente são postadas por engano no repositório público do GitHub.
Como responder
Para responder a essa descoberta, faça o seguinte:
Etapa 1: verificar os detalhes da descoberta
- Abra uma descoberta
Initial Access: Leaked Service Account Key Used, conforme instruído em Como verificar descobertas. Nos detalhes da descoberta, na guia Resumo, observe os valores dos seguintes campos:
Em O que foi detectado:
- E-mail principal: a conta de serviço usada nesta ação
- Nome do serviço: o nome da API do serviço do Google Cloud acessado pela conta de serviço
- Nome do método: o nome do método da ação
- Nome da chave da conta de serviço: a chave da conta de serviço com vazamento usada para autenticar a ação
- Descrição: o que foi detectado, incluindo o local na Internet pública onde a chave da conta de serviço pode ser encontrada
Em Recurso afetado:
- Nome de exibição do recurso: o recurso envolvido na ação.
Etapa 2: verificar os registros
- No console Google Cloud , acesse o Explorador de registros clicando no link em URI do Cloud Logging.
- Na barra de ferramentas do console Google Cloud , selecione seu projeto ou organização.
Na página carregada, encontre os registros relacionados usando o seguinte filtro:
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"protoPayload.authenticationInfo.serviceAccountKeyName="SERVICE_ACCOUNT_KEY_NAME"
Substitua PRINCIPAL_EMAIL pelo valor que você anotou no campo E-mail do principal nos detalhes da descoberta. Substitua SERVICE_ACCOUNT_KEY_NAME pelo valor que você anotou no campo Nome da chave da conta de serviço nos detalhes da descoberta.
Etapa 3: implementar a resposta
O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.
- Revogue a chave da conta de serviço imediatamente na página Contas de serviço.
- Remova a página da Web ou o repositório do GitHub em que a chave da conta de serviço foi postada.
- Considere excluir a conta de serviço comprometida.
- Alterne e exclua todas as chaves de acesso da conta de serviço do projeto potencialmente comprometido. Após a exclusão, os aplicativos que usam a conta de serviço para autenticação perdem o acesso. Antes de excluir, a equipe de segurança precisa identificar todos os aplicativos afetados e trabalhar com os proprietários do aplicativo para garantir a continuidade de negócios.
- Trabalhe com sua equipe de segurança para identificar recursos desconhecidos, inclusive instâncias do Compute Engine, snapshots, contas de serviço e usuários do IAM. Excluir recursos não criados com contas autorizadas.
- Responda às notificações do Cloud Customer Care.
A seguir
- Saiba como trabalhar com descobertas de ameaças no Security Command Center.
- Consulte o índice de descobertas de ameaças.
- Saiba como analisar uma descoberta no console Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.