防御回避: VPC Service Control の変更

このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。使用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。

概要

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

監査ログが調査され、保護機能の低下を招く VPC Service Controls 境界に対する変更が検出されます。以下に、いくつかの例を示します。

• 境界からプロジェクトが削除される
• アクセスレベル ポリシーが既存の境界に追加される
• アクセス可能なサービスのリストに 1 つ以上のサービスが追加される

顧客への対処方法

この検出結果に対応する手順は次のとおりです。

ステップ 1: 検出結果の詳細を確認する

1. 検出結果の確認の説明に従って、Defense Evasion: Modify VPC Service Control の検出結果を開きます。検出結果の詳細パネルが開き、[概要] タブが表示されます。

2. [概要] タブで、次のセクションの情報を確認します。

   • 検出された内容（特に次のフィールド）:
     • プリンシパルのメール: 変更を行ったアカウント。
   • 影響を受けているリソース（特に次のフィールド）:
     • リソースの完全な名前: 変更された VPC Service Controls の境界の名前。
   • 関連リンク:
     • Cloud Logging URI: Logging エントリへのリンク。
     • MITRE ATT&CK 方式: MITRE ATT&CK ドキュメントへのリンク。
     • 関連する検出結果: 関連する検出結果へのリンク。

3. [JSON] タブをクリックします。

4. [JSON] で、次のフィールドを確認します。

   • sourceProperties
     • properties
       • name: 変更された VPC Service Controls の境界の名前
       • policyLink: 境界を制御するアクセス ポリシーへのリンク
       • delta: 保護機能が低下した境界に対する変更（REMOVE または ADD）
       • restricted_resources: この境界の制限に従うプロジェクト。プロジェクトを削除すると保護機能が低下する
       • restricted_services: この境界の制限によって実行が禁止されるサービス。制限付きサービスを削除すると保護機能が低下する
       • allowed_services: この境界の制限下で実行できるサービス。許可されたサービスを追加すると保護機能が低下する
       • access_levels: 境界内のリソースへのアクセスを許可するように構成されたアクセスレベル。アクセスレベルを追加すると保護機能が低下する

ステップ 2: ログを確認する

1. 検出結果の詳細パネルの [概要] タブで、[Cloud Logging URI] リンクをクリックして [ログ エクスプローラ] を開きます。
2. 次のフィルタを使用して、VPC Service Controls の変更に関連する管理アクティビティ ログを検索します。
   • protoPayload.methodName:"AccessContextManager.UpdateServicePerimeter"
   • protoPayload.methodName:"AccessContextManager.ReplaceServicePerimeters"

ステップ 3: 攻撃とレスポンスの手法を調査する

1. この検出結果タイプに対応する MITRE ATT&CK フレームワークのエントリ（Defense Evasion: Modify Authentication Process）を確認します。
2. 検出結果の詳細の [概要] タブで、[関連する検出結果] 行の [関連する検出結果] リンクをクリックして、関連する検出結果を確認します。
3. 対応計画を策定するには、独自の調査結果と MITRE の調査を組み合わせる必要があります。

ステップ 4: レスポンスを実装する

次の対応計画は、この検出結果に適切な場合もありますが、運用に影響する可能性もあります。調査で収集した情報を慎重に評価して、検出結果を解決する最適な方法を判断してください。

• VPC Service Controls のポリシーおよび境界のオーナーにお問い合わせください。
• 調査が完了するまで、境界の変更を元に戻すことを検討してください。
• 調査が完了するまで、境界を変更したプリンシパルの Access Context Manager ロールを取り消すことを検討してください。
• 低下した保護機能がどのように使用されているかを調査してください。たとえば、「BigQuery Data Transfer Service API」が有効になっているか、許可されたサービスとして追加されている場合は、そのサービスを開始したユーザーと転送するユーザーを確認します。

次のステップ

• Security Command Center で脅威の検出結果を操作する方法を学習する。
• 脅威の検出結果のインデックスを参照してください。
• Google Cloud コンソールで検出結果を確認する方法を学習する。
• 脅威の検出結果を生成するサービスについて学習する。