Defense Evasion: VPC Service Control modifizieren

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Audit-Logs werden untersucht, um Änderungen an VPC Service Controls-Perimetern zu erkennen, die zu einer Reduzierung des Schutzes dieses Perimeters führen würden. Hier einige Beispiele:

• Ein Projekt wird aus einem Perimeter entfernt.
• Einem Perimeter wird eine Zugriffsebenen-Richtlinie hinzugefügt
• Ein oder mehrere Dienste werden der Liste der zugänglichen Dienste hinzugefügt.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie das Defense Evasion: Modify VPC Service Control-Ergebnis, wie unter Ergebnisse prüfen beschrieben. Der Bereich mit den Details zum Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.

2. Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

   • Was wurde erkannt?, insbesondere das folgende Feld:
     • Hauptkonto-E-Mail-Adresse: das Konto, von dem die Änderung vorgenommen wurde.
   • Betroffene Ressource, insbesondere das folgende Feld:
     • Vollständiger Ressourcenname: der Name des geänderten VPC Service Controls-Perimeters.
   • Weitere Informationen:
     • Cloud Logging-URI: Link zu Logging-Einträgen.
     • MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
     • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.

3. Klicken Sie auf den Tab JSON.

4. Achten Sie in der JSON-Datei auf die folgenden Felder.

   • sourceProperties
     • properties
       • name: der Name des geänderten VPC Service Controls-Perimeters
       • policyLink: der Link zur Zugriffsrichtlinie, die den Perimeter steuert
       • delta: die Änderungen, entweder REMOVE oder ADD, an einem Perimeter, der den Schutz reduziert hat
       • restricted_resources: die Projekte, die den Einschränkungen dieses Perimeters folgen Der Schutz wird verringert, wenn Sie ein Projekt entfernen.
       • restricted_services: die Dienste, für die die Ausführung durch die Einschränkungen dieses Perimeters unzulässig ist Der Schutz wird reduziert, wenn Sie einen eingeschränkten Dienst entfernen.
       • allowed_services: die Dienste, die gemäß den Einschränkungen dieses Perimeters ausgeführt werden dürfen Der Schutz wird reduziert, wenn Sie einen zulässigen Dienst hinzufügen.
       • access_levels: Die Zugriffsebenen, die so konfiguriert sind, dass sie Zugriff auf Ressourcen unter dem Perimeter zulassen. Der Schutz wird reduziert, wenn Sie weitere Zugriffsebenen hinzufügen

Schritt 2: Protokolle prüfen

1. Klicken Sie im Bereich „Details zu Ergebnissen“ auf dem Tab „Zusammenfassung“ auf den Link Cloud Logging-URI, um den Log-Explorer zu öffnen.
2. Suchen Sie mit den folgenden Filtern nach Administratoraktivitätslogs, die sich auf Änderungen in VPC Service Controls beziehen:
   • protoPayload.methodName:"AccessContextManager.UpdateServicePerimeter"
   • protoPayload.methodName:"AccessContextManager.ReplaceServicePerimeters"

Schritt 3: Forschungsangriffe und Reaktionsmethoden

1. Sehen Sie sich den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp an: Defense Evasion: Modify Authentication Process.
2. Klicken Sie auf den Tab Zusammenfassung in den Ergebnisdetails in der Zeile Ähnliche Ergebnisse auf den Link unter Ähnliche Ergebnisse, um ähnliche Ergebnisse aufzurufen.
3. Um einen Antwortplan zu entwickeln, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Studie.

Schritt 4: Antwort implementieren

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

• Wenden Sie sich an den Inhaber der VPC Service Controls-Richtlinie und des Perimeters.
• Sie sollten die Änderungen für den Perimeter rückgängig machen, bis die Untersuchung abgeschlossen ist.
• Vielleicht sollten Sie Access Context Manager-Rollen für das Hauptkonto widerrufen, das den Perimeter geändert hat, bis die Untersuchung abgeschlossen ist.
• Untersuchen Sie, wie die reduzierten Schutzmaßnahmen verwendet wurden. Prüfen Sie, wer diesen Dienst verwendet und was übertragen wird, wenn beispielsweise die "BigQuery Data Transfer Service API" aktiviert oder als zulässiger Dienst hinzugefügt wurde.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsbefunde generieren