本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
這項發現項目不適用於專案層級的啟用作業。
系統會檢查稽核記錄,偵測 VPC Service Controls 範圍的變更,這些變更可能會導致該範圍提供的保護措施減少。以下是幾個範例:
回應方式
如要回應這項發現,請按照下列步驟操作:
步驟 1:查看調查結果詳細資料
- 按照「查看發現項目」一文的指示,開啟
Defense Evasion: Modify VPC Service Control發現項目。系統會開啟調查結果詳細資料面板,並顯示「摘要」分頁。 在「摘要」分頁中,查看下列各節的資訊:
- 偵測到的內容,尤其是下列欄位:
- 主體電子郵件地址:執行修改的帳戶。
- 受影響的資源,尤其是下列欄位:
- 資源完整名稱:已修改的 VPC Service Controls 範圍名稱。
- 相關連結:
- Cloud Logging URI:記錄檔項目的連結。
- MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
- 相關發現項目:任何相關發現項目的連結。
- 偵測到的內容,尤其是下列欄位:
按一下「JSON」分頁標籤。
請注意 JSON 中的下列欄位。
sourcePropertiespropertiesname:已修改的 VPC Service Controls 範圍名稱policyLink:控管範圍的存取權政策連結delta:變更 (REMOVE或ADD),導致周邊防護範圍縮小restricted_resources:遵守這個範圍限制的專案。移除專案會降低保護力restricted_services:受這個服務範圍限制而無法執行的服務。如果移除受限制的服務,保護力就會降低allowed_services:允許在這些限制下執行的服務。新增允許的服務會降低保護力access_levels:設定的存取層級,允許存取範圍內的資源。新增更多存取層級會降低保護力
步驟 2:檢查記錄
- 在「發現項目詳細資料」面板的「摘要」分頁中,按一下「Cloud Logging URI」連結,開啟「記錄檔探索工具」。
- 使用下列篩選器,找出與 VPC Service Controls 變更相關的管理員活動記錄:
protoPayload.methodName:"AccessContextManager.UpdateServicePerimeter"protoPayload.methodName:"AccessContextManager.ReplaceServicePerimeters"
步驟 3:研究攻擊和回應方法
- 請參閱這類發現的 MITRE ATT&CK 架構項目: 規避防禦措施:修改驗證程序。
- 如要查看相關發現項目,請在發現項目詳細資料的「摘要」分頁中,點選「相關發現項目」列的「相關發現項目」連結。
- 如要制定回應計畫,請將調查結果與 MITRE 研究結合。
步驟 4:實作回應
下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。
- 請聯絡 VPC Service Controls 政策和範圍的擁有者。
- 在調查完成前,請考慮還原周邊裝置的變更。
- 在調查完成前,請考慮撤銷修改安全範圍的主體Access Context Manager 角色。
- 調查降低保護力度的影響。舉例來說,如果啟用「BigQuery Data Transfer Service API」或將其新增為允許的服務,請檢查是誰開始使用該服務,以及他們移轉的內容。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。