Evasione della difesa: modifica del Controllo di servizio VPC

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

Questo risultato non è disponibile per le attivazioni a livello di progetto.

I log di controllo vengono esaminati per rilevare modifiche ai perimetri dei Controlli di servizio VPC che comporterebbero una riduzione della protezione offerta da quel perimetro. Di seguito sono riportati alcuni esempi:

• Un progetto viene rimosso da un perimetro
• A un perimetro esistente viene aggiunto un criterio di livello di accesso
• Uno o più servizi vengono aggiunti all'elenco dei servizi accessibili.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

1. Apri il risultato Defense Evasion: Modify VPC Service Control come indicato in Revisione dei risultati. Si apre il riquadro con i dettagli del problema, che mostra la scheda Riepilogo.

2. Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni:

   • Che cosa è stato rilevato, in particolare il seguente campo:
     • Email entità: l'account che ha eseguito la modifica.
   • Risorsa interessata, in particolare il seguente campo:
     • Nome completo della risorsa: il nome del perimetro dei Controlli di servizio VPC che è stato modificato.
   • Link correlati:
     • URI Cloud Logging: link alle voci di log.
     • Metodo MITRE ATT&CK: link alla documentazione MITRE ATT&CK.
     • Risultati correlati: link a eventuali risultati correlati.

3. Fai clic sulla scheda JSON.

4. Nel JSON, prendi nota dei seguenti campi.

   • sourceProperties
     • properties
       • name: il nome del perimetro dei Controlli di servizio VPC modificato
       • policyLink: il link alla policy di accesso che controlla il perimetro
       • delta: le modifiche, REMOVE o ADD, a un perimetro che ne hanno ridotto la protezione
       • restricted_resources: i progetti che rispettano le limitazioni di questo perimetro. La protezione viene ridotta se rimuovi un progetto
       • restricted_services: i servizi a cui è vietato l'esecuzione a causa delle limitazioni di questo perimetro. La protezione viene ridotta se rimuovi un servizio limitato
       • allowed_services: i servizi autorizzati a essere eseguiti in base alle limitazioni di questo perimetro. La protezione viene ridotta se aggiungi un servizio consentito
       • access_levels: i livelli di accesso configurati per consentire l'accesso alle risorse all'interno del perimetro. La protezione viene ridotta se aggiungi più livelli di accesso

Passaggio 2: controlla i log

1. Nella scheda Riepilogo del riquadro dei dettagli del problema, fai clic sul link URI Cloud Logging per aprire Esplora log.
2. Trova i log delle attività di amministrazione correlate alle modifiche di Controlli di servizio VPC utilizzando i seguenti filtri:
   • protoPayload.methodName:"AccessContextManager.UpdateServicePerimeter"
   • protoPayload.methodName:"AccessContextManager.ReplaceServicePerimeters"

Passaggio 3: ricerca di metodi di attacco e risposta

1. Consulta la voce del framework MITRE ATT&CK per questo tipo di risultato: Defense Evasion: Modify Authentication Process.
2. Esamina i risultati correlati facendo clic sul link nella sezione Risultati correlati nella riga Risultati correlati della scheda Riepilogo dei dettagli del risultato.
3. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Passaggio 4: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

• Contatta il proprietario della policy e del perimetro dei Controlli di servizio VPC.
• Valuta la possibilità di annullare le modifiche al perimetro fino al completamento dell'indagine.
• Valuta la possibilità di revocare i ruoli di Gestore contesto accesso all'entità che ha modificato il perimetro fino al termine dell'indagine.
• Esamina in che modo sono state utilizzate le protezioni ridotte. Ad esempio, se "API BigQuery Data Transfer Service" è abilitata o aggiunta come servizio consentito, controlla chi ha iniziato a utilizzare il servizio e cosa sta trasferendo.

Passaggi successivi

• Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
• Consulta l'indice dei risultati delle minacce.
• Scopri come esaminare un risultato tramite la console Google Cloud .
• Scopri di più sui servizi che generano risultati di minacce.