本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
系統偵測到有人使用外洩的服務帳戶金鑰驗證動作。在此情況下,外洩的服務帳戶金鑰是指發布到公開網際網路的金鑰。舉例來說,服務帳戶金鑰經常會誤發布至公開的 GitHub 存放區。
回應方式
如要回應這項發現,請按照下列步驟操作:
步驟 1:查看調查結果詳細資料
- 按照「查看結果」一文的說明,開啟
Initial Access: Leaked Service Account Key Used發現項目。 在「摘要」分頁的發現項目詳細資料中,記下下列欄位的值。
「偵測到的內容」下方會顯示以下資訊:
- 主體電子郵件地址:用於這項動作的服務帳戶
- 服務名稱:服務帳戶存取的 Google Cloud 服務 API 名稱
- 方法名稱:動作的方法名稱
- 服務帳戶金鑰名稱:用於驗證這項動作的外洩服務帳戶金鑰
- 說明:偵測到的內容說明,包括在公開網路上找到服務帳戶金鑰的位置
在「受影響的資源」下方:
- 資源顯示名稱:與動作相關的資源
步驟 2:檢查記錄
- 前往 Google Cloud 控制台的「Logs Explorer」(記錄檔探索工具),方法是點選「Cloud Logging URI」(Cloud Logging URI) 中的連結。
- 在 Google Cloud 控制台工具列中,選取專案或機構。
在隨即載入的頁面中,使用下列篩選器找出相關記錄:
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"protoPayload.authenticationInfo.serviceAccountKeyName="SERVICE_ACCOUNT_KEY_NAME"
將 PRINCIPAL_EMAIL 換成您在調查結果詳細資料的「Principal email」欄位中記下的值。請將 SERVICE_ACCOUNT_KEY_NAME 替換為您在調查結果詳細資料的「服務帳戶金鑰名稱」欄位中記下的值。
步驟 3:實作回應
下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。
- 在「Service Accounts」(服務帳戶) 頁面中,立即撤銷服務帳戶金鑰。
- 移除張貼服務帳戶金鑰的網頁或 GitHub 存放區。
- 建議刪除遭入侵的服務帳戶。
- 輪替並刪除可能遭入侵專案的所有服務帳戶存取金鑰。刪除後,使用該服務帳戶進行驗證的應用程式會失去存取權。刪除前,安全團隊應找出所有受影響的應用程式,並與應用程式擁有者合作,確保業務持續運作。
- 與安全團隊合作找出不熟悉的資源,包括 Compute Engine 執行個體、快照、服務帳戶和 IAM 使用者。刪除非使用授權帳戶建立的資源。
- 回覆 Cloud Customer Care 的任何通知。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。