Menyelidiki dan merespons ancaman

Dokumen ini menawarkan panduan informal untuk membantu Anda menyelidiki temuan aktivitas mencurigakan di lingkungan Anda dari aktor yang berpotensi berbahaya. Google Cloud Dokumen ini juga menyediakan referensi tambahan untuk menambahkan konteks pada temuan Security Command Center. Dengan mengikuti langkah-langkah ini, Anda dapat memahami apa yang terjadi selama potensi serangan dan mengembangkan kemungkinan respons untuk resource yang terpengaruh.

Teknik di halaman ini tidak dijamin efektif terhadap ancaman sebelumnya, saat ini, atau di masa mendatang yang Anda hadapi. Lihat Memperbaiki ancaman untuk memahami alasan Security Command Center tidak memberikan panduan perbaikan resmi untuk ancaman.

Sebelum memulai

Anda memerlukan peran Identity and Access Management (IAM) yang memadai untuk melihat atau mengedit temuan dan log, serta mengubah resource Google Cloud . Jika Anda mengalami kesalahan akses di Security Command Center, minta bantuan administrator Anda dan lihat Kontrol akses untuk mempelajari peran. Untuk menyelesaikan error resource, baca dokumentasi untuk produk yang terpengaruh.

Memahami temuan ancaman

Event Threat Detection menghasilkan temuan keamanan dengan mencocokkan peristiwa di aliran log Cloud Logging Anda dengan indikator kompromi (IoC) yang diketahui. IoC, yang dikembangkan oleh sumber keamanan internal Google, mengidentifikasi potensi kerentanan dan serangan. Event Threat Detection juga mendeteksi ancaman dengan mengidentifikasi taktik, teknik, dan prosedur musuh yang diketahui dalam aliran logging Anda, dan dengan mendeteksi penyimpangan dari perilaku organisasi atau project Anda di masa lalu. Jika Anda mengaktifkan paket Premium Security Command Center di tingkat organisasi, Event Threat Detection juga dapat memindai log Google Workspace Anda.

Container Threat Detection membuat temuan dengan mengumpulkan dan menganalisis perilaku yang diamati di tingkat rendah dalam kernel tamu container.

Temuan ditulis ke Security Command Center. Jika mengaktifkan paket Premium Security Command Center di level organisasi, Anda juga dapat mengonfigurasi temuan untuk ditulis ke Cloud Logging.

Meninjau temuan

Untuk meninjau temuan ancaman di konsol Google Cloud , ikuti langkah-langkah berikut:

1. Di konsol Google Cloud , buka halaman Temuan Security Command Center.

   Buka Temuan

2. Jika perlu, pilih Google Cloud project, folder, atau organisasi Anda.

3. Di bagian Filter cepat, klik filter yang sesuai untuk menampilkan temuan yang Anda butuhkan di tabel Hasil kueri temuan. Misalnya, jika Anda memilih Event Threat Detection atau Container Threat Detection di subbagian Nama tampilan sumber, hanya temuan dari layanan yang dipilih yang muncul dalam hasil.

   Tabel diisi dengan temuan untuk sumber yang Anda pilih.

4. Untuk melihat detail temuan tertentu, klik nama temuan di bagian Category. Panel detail temuan diperluas untuk menampilkan ringkasan detail temuan.

5. Untuk melihat definisi JSON temuan, klik tab JSON.

Temuan memberikan nama dan ID numerik resource yang terlibat dalam insiden, beserta variabel lingkungan dan properti aset. Anda dapat menggunakan informasi tersebut untuk mengisolasi resource yang terpengaruh dengan cepat dan menentukan potensi cakupan suatu peristiwa.

Untuk membantu penyelidikan Anda, temuan ancaman juga berisi link ke sumber eksternal berikut:

• Entri framework MITRE ATT&CK. Framework ini menjelaskan teknik serangan terhadap resource cloud dan memberikan panduan perbaikan.

• VirusTotal, layanan milik Alphabet yang memberikan konteks pada file, URL, domain, dan alamat IP yang berpotensi berbahaya. Jika tersedia, kolom Indikator VirusTotal memberikan link ke VirusTotal untuk membantu Anda menyelidiki lebih lanjut potensi masalah keamanan.

  VirusTotal adalah penawaran dengan harga terpisah yang memiliki batas penggunaan dan fitur yang berbeda. Anda bertanggung jawab untuk memahami dan mematuhi kebijakan penggunaan API VirusTotal dan semua biaya terkait. Untuk mengetahui informasi selengkapnya, lihat dokumentasi VirusTotal.

Bagian berikut menguraikan kemungkinan respons terhadap temuan ancaman.

Penonaktifan temuan ancaman

Setelah Anda menyelesaikan masalah yang memicu temuan ancaman, Security Command Center tidak otomatis menyetel status temuan menjadi INACTIVE. Status temuan ancaman tetap ACTIVE kecuali jika Anda menetapkan properti state ke INACTIVE secara manual.

Untuk positif palsu, pertimbangkan untuk membiarkan status temuan sebagai ACTIVE dan alih-alih membisukan temuan.

Untuk positif palsu yang persisten atau berulang, buat aturan penonaktifan. Menetapkan aturan senyap dapat mengurangi jumlah temuan yang perlu Anda kelola, sehingga mempermudah identifikasi ancaman sebenarnya saat terjadi.

Untuk ancaman yang sebenarnya, sebelum Anda menyetel status temuan ke INACTIVE, hilangkan ancaman dan selesaikan penyelidikan menyeluruh terhadap ancaman yang terdeteksi, tingkat intrusi, dan temuan serta masalah terkait lainnya.

Untuk menonaktifkan temuan atau mengubah statusnya, lihat topik berikut:

• Menonaktifkan temuan
• Mengubah status temuan

Respons Event Threat Detection

Untuk mempelajari Event Threat Detection lebih lanjut, lihat cara kerja Event Threat Detection.

Bagian ini tidak berisi respons untuk temuan yang dihasilkan oleh modul kustom untuk Event Threat Detection, karena organisasi Anda menentukan tindakan yang direkomendasikan untuk detektor tersebut.

Active Scan: Log4j Vulnerable to RCE

Pemindai kerentanan Log4j yang didukung menyuntikkan pencarian JNDI yang di-obfuscate dalam parameter HTTP, URL, dan kolom teks dengan callback ke domain yang dikontrol oleh pemindai. Temuan ini dibuat saat kueri DNS untuk domain yang tidak di-obfuscate ditemukan. Kueri tersebut hanya terjadi jika pencarian JNDI berhasil, yang menunjukkan kerentanan Log4j yang aktif. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Active Scan: Log4j Vulnerable to RCE, seperti yang diarahkan dalam Meninjau detail temuan. Panel detail temuan akan terbuka ke tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Yang terdeteksi
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource dari instance Compute Engine yang rentan terhadap RCE Log4j.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Di tampilan detail temuan, klik tab JSON.

4. Dalam JSON, perhatikan kolom berikut.

   • properties
     • scannerDomain: domain yang digunakan oleh pemindai sebagai bagian dari pencarian JNDI. Bagian ini memberi tahu Anda pemindai mana yang mengidentifikasi kerentanan.
     • sourceIp: alamat IP yang digunakan untuk membuat kueri DNS
     • vpcName: nama jaringan di instance tempat kueri DNS dibuat.

Langkah 2: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI dari langkah 1.

2. Di halaman yang dimuat, periksa kolom httpRequest untuk token string seperti ${jndi:ldap:// yang dapat menunjukkan kemungkinan upaya eksploitasi.

   Lihat CVE-2021-44228: Mendeteksi eksploitasi Log4Shell dalam dokumentasi Logging untuk mengetahui contoh string yang akan ditelusuri dan contoh kueri.

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eksploitasi Layanan Jarak Jauh.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait pada tab Ringkasan di detail temuan. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Lakukan upgrade ke versi terbaru Log4j2.
• Ikuti rekomendasi Google Clouduntuk menyelidiki dan merespons kerentanan "Apache Log4j 2".
• Terapkan teknik mitigasi yang direkomendasikan dalam Kerentanan Keamanan Apache Log4j.
• Jika Anda menggunakan Google Cloud Armor, deploy cve-canary rule ke kebijakan keamanan Google Cloud Armor baru atau yang sudah ada. Untuk mengetahui informasi selengkapnya, lihat Aturan WAF Google Cloud Armor untuk membantu mengurangi kerentanan Apache Log4j.

Brute Force: SSH

Deteksi brute force SSH yang berhasil pada host. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Brute Force: SSH, seperti yang diarahkan dalam Meninjau temuan.

2. Di tab Ringkasan pada panel detail temuan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:

     • IP Pemanggil: alamat IP yang meluncurkan serangan.
     • Nama pengguna: akun yang login.

   • Resource yang terpengaruh

   • Link terkait, terutama kolom berikut:

     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Klik tab JSON.

4. Dalam JSON, perhatikan kolom berikut.

   • sourceProperties:
     • evidence:
       • sourceLogId: project ID dan stempel waktu untuk mengidentifikasi entri log
       • projectId: project yang berisi temuan
     • properties:
       • attempts:
       • Attempts: jumlah upaya login
         • username: akun yang login
         • vmName: nama virtual machine
         • authResult: hasil autentikasi SSH

Langkah 2: Tinjau izin dan setelan

1. Di konsol Google Cloud , buka Dasbor.

   Buka Dasbor

2. Pilih project yang ditentukan di projectId.

3. Buka kartu Resources, lalu klik Compute Engine.

4. Klik instance VM yang cocok dengan nama dan zona di vmName. Tinjau detail instance, termasuk setelan jaringan dan akses.

5. Di panel navigasi, klik VPC Network, lalu klik Firewall. Hapus atau nonaktifkan aturan firewall yang terlalu permisif di port 22.

Langkah 3: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di Cloud Logging URI.
2. Di halaman yang dimuat, temukan VPC Flow Logs yang terkait dengan alamat IP yang tercantum di baris Email utama di tab Ringkasan detail temuan menggunakan filter berikut:
   • logName="projects/projectId/logs/syslog"
   • labels."compute.googleapis.com/resource_name"="vmName"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid: Akun Lokal.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan detail temuan. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project yang mengalami upaya brute force yang berhasil.
• Selidiki instance yang berpotensi disusupi dan hapus malware yang ditemukan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
• Pertimbangkan untuk menonaktifkan akses SSH ke VM. Untuk informasi tentang cara menonaktifkan kunci SSH, lihat Membatasi kunci SSH dari VM. Langkah ini dapat mengganggu akses yang sah ke VM, jadi pertimbangkan kebutuhan organisasi Anda sebelum melanjutkan.
• Hanya gunakan autentikasi SSH dengan kunci yang sah.
• Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Google Cloud Armor. Anda dapat mengaktifkan Google Cloud Armor di halaman Layanan Terintegrasi Security Command Center. Bergantung pada jumlah informasi, biaya Google Cloud Armor bisa cukup besar. Lihat panduan harga Google Cloud Armor untuk mengetahui informasi selengkapnya.

Credential Access: CloudDB Failed login from Anonymizing Proxy IP

Mendeteksi kegagalan login di instance database Anda dari alamat IP anonim yang diketahui. Alamat anonim ini adalah node Tor. Hal ini dapat menunjukkan bahwa penyerang sedang mencoba mengakses instance Anda tanpa otorisasi.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Credential Access: CloudDB Failed login from Anonymizing Proxy IP seperti yang diarahkan dalam Meninjau temuan.

2. Di tab Ringkasan pada panel detail temuan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
   • Alamat IP indikator, alamat IP anonim.
   • Nama tampilan database: nama database di instance Cloud SQL PostgreSQL, MySQL, atau AlloyDB yang terpengaruh.
   • Nama pengguna database: pengguna.
   • Nama lengkap project: project Google Cloud yang berisi instance Cloud SQL.

Langkah 2: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Credential Access.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Tinjau pengguna yang diizinkan untuk terhubung ke database.

  • Untuk PostgreSQL, lihat Membuat dan mengelola pengguna
  • Untuk MySQL, lihat Mengelola pengguna dengan autentikasi bawaan

• Pertimbangkan untuk mengubah sandi pengguna.

  • Untuk PostgreSQL, lihat Menyetel sandi untuk pengguna default

  • Untuk MySQL, lihat Menyetel sandi untuk pengguna default

  • Perbarui kredensial untuk klien yang terhubung ke instance Cloud SQL

• Meninjau akses jaringan ke instance Anda

  • Untuk PostgreSQL, lihat Menyetel sandi untuk pengguna default
  • Untuk MySQL, lihat Menyetel sandi untuk pengguna default

Credential Access: Failed Attempt to Approve Kubernetes Certificate Signing Request (CSR)

Seseorang mencoba menyetujui permintaan penandatanganan sertifikat (CSR) secara manual, tetapi tindakan tersebut gagal. Membuat sertifikat untuk autentikasi cluster adalah metode umum bagi penyerang untuk membuat akses persisten ke cluster yang disusupi. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang tinggi. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.

1. Tinjau log audit di Cloud Logging dan pemberitahuan tambahan untuk peristiwa terkait CSR lainnya guna menentukan apakah CSR approved dan diterbitkan dan apakah tindakan terkait CSR merupakan aktivitas yang diharapkan oleh prinsipal.
2. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh principal dalam log audit di Cloud Logging. Contoh:
   • Apakah kepala sekolah yang mencoba menyetujui CSR berbeda dengan kepala sekolah yang membuatnya?
   • Apakah akun utama telah mencoba meminta, membuat, menyetujui, atau menghapus CSR lain?
3. Jika persetujuan CSR tidak diharapkan, atau ditentukan sebagai berbahaya, cluster akan memerlukan penggantian kredensial untuk membatalkan validitas sertifikat. Tinjau panduan untuk melakukan rotasi kredensial cluster Anda.

Credential Access: Manually Approved Kubernetes Certificate Signing Request (CSR)

Seseorang menyetujui permintaan penandatanganan sertifikat (CSR) secara manual. Membuat sertifikat untuk autentikasi cluster adalah metode umum bagi penyerang untuk membuat akses persisten ke cluster yang disusupi. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang tinggi. Untuk mengetahui detail selengkapnya, lihat pesan log untuk notifikasi ini.

1. Tinjau log audit di Cloud Logging dan pemberitahuan tambahan untuk peristiwa terkait CSR lainnya guna menentukan apakah tindakan terkait CSR adalah aktivitas yang diharapkan oleh prinsipal.
2. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh principal dalam log audit di Cloud Logging. Contoh:
   • Apakah kepala sekolah yang menyetujui CSR berbeda dengan kepala sekolah yang membuatnya?
   • Apakah CSR menentukan penanda tangan bawaan, tetapi pada akhirnya perlu disetujui secara manual karena tidak memenuhi kriteria penanda tangan?
   • Apakah akun utama telah mencoba meminta, membuat, menyetujui, atau menghapus CSR lain?
3. Jika persetujuan CSR tidak diharapkan, atau ditentukan sebagai berbahaya, cluster akan memerlukan rotasi kredensial untuk membatalkan validitas sertifikat. Tinjau panduan untuk melakukan rotasi kredensial cluster Anda.

Credential Access: Secrets Accessed in Kubernetes Namespace

Mendeteksi saat akun layanan Kubernetes default Pod digunakan untuk mengakses objek Secret di cluster. Akun layanan Kubernetes default tidak boleh memiliki akses ke objek Secret kecuali jika Anda secara eksplisit memberikan akses tersebut dengan objek Role atau objek ClusterRole.

Defense Evasion: Breakglass Workload Deployment Created

Breakglass Workload Deployment Created terdeteksi dengan memeriksa Cloud Audit Logs untuk melihat apakah ada deployment ke workload yang menggunakan tanda breakglass untuk mengganti kontrol Binary Authorization.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Defense Evasion: Breakglass Workload Deployment Created, seperti yang diarahkan dalam Meninjau temuan. Panel untuk detail temuan akan terbuka, menampilkan tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan modifikasi.
     • Nama metode: metode yang dipanggil.
     • Pod Kubernetes: nama dan namespace pod.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: namespace GKE tempat deployment terjadi.
   • Link terkait:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

Langkah 2: Periksa log

1. Di tab Ringkasan detail temuan di konsol Google Cloud , buka Logs Explorer dengan mengklik link di kolom URI Cloud Logging.
2. Periksa nilai di kolom protoPayload.resourceName untuk mengidentifikasi permintaan penandatanganan sertifikat tertentu.

3. Periksa tindakan lain yang dilakukan oleh kepala sekolah menggunakan filter berikut:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ganti kode berikut:

   • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

   • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Defense Evasion: Breakglass Workload Deployment.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait pada tab Ringkasan di detail temuan.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Defense Evasion: Breakglass Workload Deployment Updated

Breakglass Workload Deployment Updated dideteksi dengan memeriksa Cloud Audit Logs untuk melihat apakah ada update pada workload yang menggunakan flag breakglass untuk mengganti kontrol Otorisasi Biner.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Defense Evasion: Breakglass Workload Deployment Updated, seperti yang diarahkan dalam Meninjau temuan. Panel untuk detail temuan akan terbuka, menampilkan tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan modifikasi.
     • Nama metode: metode yang dipanggil.
     • Pod Kubernetes: nama dan namespace pod.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: namespace GKE tempat pembaruan terjadi.
   • Link terkait:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

Langkah 2: Periksa log

1. Di tab Ringkasan detail temuan di konsol Google Cloud , buka Logs Explorer dengan mengklik link di kolom URI Cloud Logging.
2. Periksa nilai di kolom protoPayload.resourceName untuk mengidentifikasi permintaan penandatanganan sertifikat tertentu.

3. Periksa tindakan lain yang dilakukan oleh kepala sekolah menggunakan filter berikut:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ganti kode berikut:

   • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

   • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Defense Evasion: Breakglass Workload Deployment.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait pada tab Ringkasan di detail temuan.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Defense Evasion: GCS Bucket IP Filtering Modified

Event Threat Detection memeriksa log audit untuk mendeteksi apakah konfigurasi pemfilteran IP telah diperbarui di bucket Cloud Storage.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Defense Evasion: GCS Bucket IP Filtering Modified seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Apa yang terdeteksi, terutama kolom berikut:
     • Deskripsi: informasi tentang deteksi
     • Subjek utama: pengguna atau akun layanan yang telah berhasil mengeksekusi tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: bucket tempat konfigurasi telah diperbarui.
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Logging URI: link untuk membuka Logs Explorer.

Langkah 2: Meneliti metode serangan dan respons

Hubungi pemilik akun layanan atau akun pengguna di kolom Subjek principal. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Defense Evasion: Manually Deleted Certificate Signing Request (CSR)

Seseorang menghapus permintaan penandatanganan sertifikat (CSR) secara manual. CSR dihapus secara otomatis oleh pengontrol pengumpulan sampah, tetapi pelaku kejahatan mungkin menghapusnya secara manual untuk menghindari deteksi. Jika CSR yang dihapus adalah untuk sertifikat yang disetujui dan diterbitkan, aktor yang berpotensi berbahaya kini memiliki metode autentikasi tambahan untuk mengakses cluster. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang tinggi. Kubernetes tidak mendukung pencabutan sertifikat. Untuk mengetahui detail selengkapnya, lihat pesan log untuk notifikasi ini.

1. Tinjau log audit di Cloud Logging dan pemberitahuan tambahan untuk peristiwa lain yang terkait dengan CSR ini guna menentukan apakah CSR tersebut approved dan apakah pembuatan CSR merupakan aktivitas yang diharapkan oleh prinsipal.
2. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh principal dalam log audit di Cloud Logging. Contoh:
   • Apakah kepala sekolah yang menghapus CSR berbeda dengan kepala sekolah yang membuat atau menyetujuinya?
   • Apakah akun utama telah mencoba meminta, membuat, menyetujui, atau menghapus CSR lain?
3. Jika persetujuan CSR tidak diharapkan, atau ditentukan sebagai berbahaya, cluster akan memerlukan penggantian kredensial untuk membatalkan validitas sertifikat. Tinjau panduan untuk melakukan rotasi kredensial cluster Anda.

Defense Evasion: Modify VPC Service Control

Temuan ini tidak tersedia untuk aktivasi level project.

Log audit diperiksa untuk mendeteksi perubahan pada perimeter Kontrol Layanan VPC yang akan mengurangi perlindungan yang ditawarkan oleh perimeter tersebut. Berikut beberapa contohnya:

• Project dihapus dari perimeter
• Kebijakan tingkat akses ditambahkan ke perimeter yang ada
• Satu atau beberapa layanan ditambahkan ke daftar layanan yang dapat diakses

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Defense Evasion: Modify VPC Service Control, seperti yang diarahkan dalam Meninjau temuan. Panel untuk detail temuan akan terbuka, menampilkan tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan modifikasi.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama perimeter Kontrol Layanan VPC yang diubah.
   • Link terkait:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Klik tab JSON.

4. Dalam JSON, perhatikan kolom berikut.

   • sourceProperties
     • properties
       • name: nama perimeter Kontrol Layanan VPC yang diubah
       • policyLink: link ke kebijakan akses yang mengontrol perimeter
       • delta: perubahan, baik REMOVE maupun ADD, pada perimeter yang mengurangi perlindungannya
       • restricted_resources: project yang mengikuti batasan perimeter ini. Perlindungan akan berkurang jika Anda menghapus project
       • restricted_services: layanan yang dilarang berjalan oleh batasan perimeter ini. Perlindungan akan berkurang jika Anda menghapus layanan yang dibatasi
       • allowed_services: layanan yang diizinkan untuk berjalan di bawah batasan perimeter ini. Perlindungan akan berkurang jika Anda menambahkan layanan yang diizinkan
       • access_levels: tingkat akses yang dikonfigurasi untuk mengizinkan akses ke resource dalam perimeter. Perlindungan akan berkurang jika Anda menambahkan lebih banyak tingkat akses

Langkah 2: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.
2. Temukan log aktivitas admin yang terkait dengan perubahan Kontrol Layanan VPC menggunakan filter berikut:
   • protoPayload.methodName:"AccessContextManager.UpdateServicePerimeter"
   • protoPayload.methodName:"AccessContextManager.ReplaceServicePerimeters"

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Defense Evasion: Modify Authentication Process.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait pada tab Ringkasan di detail temuan.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik kebijakan dan perimeter Kontrol Layanan VPC.
• Pertimbangkan untuk membatalkan perubahan perimeter hingga penyelidikan selesai.
• Pertimbangkan untuk mencabut peran Access Context Manager pada akun utama yang mengubah perimeter hingga penyelidikan selesai.
• Selidiki bagaimana perlindungan yang dikurangi telah digunakan. Misalnya, jika "BigQuery Data Transfer Service API" diaktifkan, atau ditambahkan sebagai layanan yang diizinkan, periksa siapa yang mulai menggunakan layanan tersebut dan apa yang mereka transfer.

Defense Evasion: Potential Kubernetes Pod Masquerading

Seseorang men-deploy Pod dengan konvensi penamaan yang mirip dengan beban kerja default yang dibuat GKE untuk operasi cluster reguler. Teknik ini disebut penyamaran. Untuk mengetahui detail selengkapnya, lihat pesan log untuk notifikasi ini.

1. Pastikan bahwa Pod tersebut sah.
2. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya dari Pod atau principal dalam log audit di Cloud Logging.
3. Jika akun utama bukan akun layanan (IAM atau Kubernetes), hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
4. Jika akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan keabsahannya.
5. Jika Pod tidak sah, hapus Pod tersebut, beserta binding RBAC dan akun layanan terkait yang digunakan beban kerja dan yang memungkinkan pembuatannya.

Defense Evasion: Project HTTP Policy Block Disabled

Event Threat Detection memeriksa log audit untuk mendeteksi apakah kebijakan constraints/storage.secureHttpTransport telah diperbarui untuk menonaktifkan pemblokiran kebijakan http.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Defense Evasion: Project HTTP Policy Block Disabled seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Apa yang terdeteksi, terutama kolom berikut:
     • Deskripsi: informasi tentang deteksi
     • Subjek utama: pengguna atau akun layanan yang telah berhasil mengeksekusi tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project/folder/organisasi tempat kebijakan telah diperbarui.
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Logging URI: link untuk membuka Logs Explorer.

Langkah 2: Meneliti metode serangan dan respons

Hubungi pemilik akun layanan atau akun pengguna di kolom Subjek principal. Konfirmasi apakah pemilik yang sah melakukan tindakan untuk menonaktifkan kebijakan constraints/storage.secureHttpTransport.

Defensive Evasion: Static Pod Created

Seseorang membuat Pod statis di cluster GKE Anda. Pod Statis berjalan langsung di node dan melewati server Kubernetes API, yang membuatnya lebih sulit dipantau dan dikontrol. Hal ini dapat digunakan oleh penyerang untuk menghindari deteksi atau mempertahankan persistensi.

1. Tinjau file manifes Pod statis dan tujuannya. Pastikan bahwa permintaan tersebut sah dan diperlukan.
2. Evaluasi apakah fungsi Pod statis dapat dicapai melalui Pod reguler yang dikelola oleh server Kubernetes API.
3. Jika Pod statis diperlukan, pastikan Pod tersebut mengikuti praktik terbaik keamanan dan memiliki hak istimewa minimal.
4. Pantau aktivitas Pod statis dan dampaknya pada cluster Anda.

Discovery: Can get sensitive Kubernetes object check

Pihak yang berpotensi jahat mencoba menentukan objek sensitif apa di GKE yang dapat mereka kueri, dengan menggunakan perintah kubectl auth can-i get. Secara khusus, aktor menjalankan salah satu perintah berikut:

• kubectl auth can-i get '*'
• kubectl auth can-i get secrets
• kubectl auth can-i get clusterroles/cluster-admin

Langkah 1: Tinjau detail temuan

1. Buka temuan Discovery: Can get sensitive Kubernetes object check seperti yang diarahkan di Meninjau temuan.

2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut:

   • Di bagian Yang terdeteksi:
     • Tinjauan akses Kubernetes: informasi tinjauan akses yang diminta, berdasarkan resource k8s SelfSubjectAccessReview.
     • Email utama: akun yang melakukan panggilan.
   • Di bagian Resource yang terpengaruh:
     • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
   • Di bagian Link terkait:
     • Cloud Logging URI: link ke entri Logging.

Langkah 2: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.

2. Di halaman yang dimuat, periksa tindakan lain yang dilakukan oleh prinsipal dengan menggunakan filter berikut:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ganti kode berikut:

   • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

   • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Discovery
2. Konfirmasi sensitivitas objek yang dikueri dan tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh prinsipal dalam log.

3. Jika akun yang Anda catat di baris Email utama dalam detail penemuan bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

   Jika email akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber peninjauan akses untuk menentukan keabsahannya.

4. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Evasion: Access from Anonymizing Proxy

Akses tidak normal dari proxy anonim terdeteksi dengan memeriksa Cloud Audit Logs untuk modifikasi layanan Google Cloud yang berasal dari alamat IP yang terkait dengan jaringan Tor.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Evasion: Access from Anonymizing Proxy, seperti yang diarahkan dalam Meninjau temuan. Panel untuk detail temuan akan terbuka, menampilkan tab Ringkasan.

2. Pada tab Ringkasan di panel detail temuan, tinjau nilai yang tercantum di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan perubahan (akun yang berpotensi disusupi).
     • IP: Alamat IP proxy tempat perubahan dilakukan.
   • Resource yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Atau, klik tab JSON untuk melihat kolom temuan tambahan.

Langkah 2: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Proxy: Proxy Multi-hop.
2. Hubungi pemilik akun di kolom principalEmail. Konfirmasi apakah tindakan tersebut dilakukan oleh pemilik yang sah.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Execution: Cryptomining Docker Image

Mendeteksi saat layanan atau tugas Cloud Run dibuat atau direvisi dengan menambahkan image Docker yang diketahui buruk dan dapat melakukan cryptomining.

Untuk menanggapi temuan ini, lakukan hal berikut:

1. Periksa image container untuk menentukan apakah hal ini sudah diperkirakan.
2. Hapus penampung yang disusupi dan ganti dengan penampung baru.

Execution: GKE launch excessively capable container

Seseorang men-deploy container dengan satu atau beberapa kemampuan berikut di cluster GKE yang memiliki konteks keamanan yang ditingkatkan:

• CAP_SYS_MODULE
• CAP_SYS_RAWIO
• CAP_SYS_PTRACE
• CAP_SYS_BOOT
• CAP_DAC_READ_SEARCH
• CAP_NET_ADMIN
• CAP_BPF

Kemampuan ini telah digunakan sebelumnya untuk keluar dari container dan harus disediakan dengan hati-hati.

1. Tinjau konteks keamanan penampung dalam definisi Pod-nya. Mengidentifikasi kemampuan yang tidak benar-benar diperlukan untuk fungsinya.
2. Hapus atau kurangi kemampuan yang berlebihan jika memungkinkan. Gunakan prinsip hak istimewa terendah.

Execution: Kubernetes Pod Created with Potential Reverse Shell Arguments

Seseorang membuat Pod yang berisi perintah atau argumen yang biasanya terkait dengan reverse shell. Penyerang menggunakan reverse shell untuk memperluas atau mempertahankan akses awal mereka ke cluster dan untuk mengeksekusi perintah arbitrer. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.

1. Konfirmasi bahwa Pod memiliki alasan yang sah untuk menentukan perintah dan argumen ini.
2. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya dari Pod atau principal dalam log audit di Cloud Logging.
3. Jika akun utama bukan akun layanan (IAM atau Kubernetes), hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
4. Jika akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi keabsahan penyebab akun layanan melakukan tindakan ini
5. Jika Pod tidak sah, hapus Pod tersebut, beserta binding RBAC dan akun layanan terkait yang digunakan beban kerja dan yang memungkinkan pembuatannya.

Execution: Suspicious Exec or Attach to a System Pod

Seseorang menggunakan perintah exec atau attach untuk mendapatkan shell atau menjalankan perintah pada container yang berjalan di namespace kube-system. Metode ini terkadang digunakan untuk tujuan proses debug yang sah. Namun, kube-system namespace ditujukan untuk objek sistem yang dibuat oleh Kubernetes, dan eksekusi perintah atau pembuatan shell yang tidak terduga harus ditinjau. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.

1. Tinjau log audit di Cloud Logging untuk menentukan apakah ini adalah aktivitas yang diharapkan oleh akun utama.
2. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh principal dalam log.

Tinjau panduan untuk menggunakan prinsip hak istimewa terendah untuk peran RBAC dan peran cluster yang mengizinkan akses ini.

Execution: Workload triggered in sensitive namespace

Seseorang men-deploy workload (misalnya, Pod atau Deployment) di namespace kube-system atau kube-public. Namespace ini sangat penting untuk operasi cluster GKE, dan beban kerja yang tidak sah dapat membahayakan stabilitas atau keamanan cluster.

1. Identifikasi workload yang di-deploy dan tujuannya.
2. Jika workload tidak sah, hapus workload tersebut dan selidiki sumber penyebarannya.

Exfiltration: BigQuery Data Exfiltration

Temuan yang ditampilkan oleh Exfiltration: BigQuery Data Exfiltration berisi salah satu dari dua kemungkinan subaturan. Setiap subaturan memiliki tingkat keparahan yang berbeda:

• Subaturan exfil_to_external_table dengan tingkat keparahan = HIGH:
  • Resource disimpan di luar organisasi atau project Anda.
• Subaturan vpc_perimeter_violation dengan tingkat keparahan = LOW:
  • Kontrol Layanan VPC memblokir operasi penyalinan atau upaya untuk mengakses resource BigQuery.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Exfiltration: BigQuery Data Exfiltration, seperti yang diarahkan dalam Meninjau temuan.

2. Pada tab Ringkasan di panel detail temuan, tinjau nilai yang tercantum di bagian berikut:

   • Yang terdeteksi:
     • Tingkat keparahan: tingkat keparahan adalah HIGH untuk subaturan exfil_to_external_table atau LOW untuk subaturan vpc_perimeter_violation.
     • Email utama: akun yang digunakan untuk mengekstraksi data.
     • Sumber pemindahan data yang tidak sah: detail tentang tabel tempat data dipindahkan tanpa izin.
     • Target pemindahan yang tidak sah: detail tentang tabel tempat data yang dipindahkan secara tidak sah disimpan.
   • Resource yang terpengaruh:
     • Nama lengkap resource: nama lengkap resource project, folder, atau organisasi tempat data dieksfiltrasi.
   • Link terkait:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Klik tab Properti Sumber dan tinjau kolom yang ditampilkan, terutama:

   • detectionCategory:
     • subRuleName: exfil_to_external_table atau vpc_perimeter_violation.
   • evidence:
     • sourceLogId:
       • projectId: Google Cloud project yang berisi set data BigQuery sumber.
   • properties
     • dataExfiltrationAttempt
       • jobLink: link ke tugas BigQuery yang mengekstraksi data.
       • query: kueri SQL yang dijalankan pada set data BigQuery.

4. Atau, klik tab JSON untuk melihat daftar lengkap properti JSON temuan.

Langkah 2: Tinjau izin dan setelan

1. Di konsol Google Cloud , buka halaman IAM.

   Buka IAM

2. Jika perlu, pilih project yang tercantum di kolom projectId dalam JSON temuan.

3. Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di Email akun utama dan periksa izin yang ditetapkan ke akun tersebut.

Langkah 3: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.

2. Temukan log aktivitas admin yang terkait dengan tugas BigQuery menggunakan filter berikut:

   • protoPayload.methodName="Jobservice.insert"
   • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exfiltration Over Web Service: Exfiltration to Cloud Storage.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait pada tab Ringkasan di detail temuan. Temuan terkait adalah jenis temuan yang sama pada instance dan jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project yang datanya dieksfiltrasi.
• Pertimbangkan untuk mencabut izin untuk userEmail hingga investigasi selesai.
• Untuk menghentikan eksfiltrasi lebih lanjut, tambahkan kebijakan IAM yang ketat ke set data BigQuery yang terpengaruh (exfiltration.sources dan exfiltration.targets).
• Untuk memindai kumpulan data yang terpengaruh guna menemukan informasi sensitif, gunakan Sensitive Data Protection. Anda juga dapat mengirim data Sensitive Data Protection ke Security Command Center. Bergantung pada jumlah informasi, biaya Perlindungan Data Sensitif bisa cukup besar. Ikuti praktik terbaik untuk memastikan biaya Sensitive Data Protection tetap terkendali.
• Untuk membatasi akses ke BigQuery API, gunakan Kontrol Layanan VPC.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Exfiltration: BigQuery Data Extraction

Pencurian data dari BigQuery terdeteksi dengan memeriksa log audit untuk dua skenario:

• Resource disimpan ke bucket Cloud Storage di luar organisasi Anda.
• Resource disimpan ke bucket Cloud Storage yang dapat diakses secara publik dan dimiliki oleh organisasi Anda.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Exfiltration: BigQuery Data Extraction, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan terbuka ke tab Ringkasan.

2. Pada tab Ringkasan di panel detail temuan, tinjau nilai yang tercantum di bagian berikut:

   • Yang terdeteksi:
     • Email utama: akun yang digunakan untuk mengekstraksi data.
     • Sumber pemindahan data yang tidak sah: detail tentang tabel tempat data dipindahkan tanpa izin.
     • Target pemindahan yang tidak sah: detail tentang tabel tempat data yang dipindahkan secara tidak sah disimpan.
   • Resource yang terpengaruh:
     • Nama lengkap resource: nama resource BigQuery yang datanya diekstraksi.
     • Nama lengkap project: project Google Cloud yang berisi set data BigQuery sumber.
   • Link terkait:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Di panel detail temuan, klik tab JSON.

4. Dalam JSON, perhatikan kolom berikut.

   • sourceProperties:
     • evidence:
       • sourceLogId:
       • projectId: Google Cloud project yang berisi set data BigQuery sumber.
     • properties:
       • extractionAttempt:
       • jobLink: link ke tugas BigQuery yang mengekstraksi data

Langkah 2: Tinjau izin dan setelan

1. Di konsol Google Cloud , buka halaman IAM.

   Buka IAM

2. Jika perlu, pilih project yang tercantum di kolom projectId dalam JSON temuan (dari Langkah 1).

3. Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di Principal email (dari Langkah 1) dan periksa izin yang ditetapkan ke akun tersebut.

Langkah 3: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.
2. Temukan log aktivitas admin yang terkait dengan tugas BigQuery menggunakan filter berikut:
   • protoPayload.methodName="Jobservice.insert"
   • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exfiltration Over Web Service: Exfiltration to Cloud Storage.
2. Tinjau temuan terkait dengan mengklik link di baris Temuan terkait pada tab Ringkasan di detail temuan. Temuan terkait adalah jenis temuan yang sama pada instance dan jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project yang datanya dieksfiltrasi.
• Pertimbangkan untuk mencabut izin untuk akun utama yang tercantum di baris Email akun utama di tab Ringkasan detail temuan hingga investigasi selesai.
• Untuk menghentikan eksfiltrasi lebih lanjut, tambahkan kebijakan IAM yang ketat ke set data BigQuery yang terpengaruh yang diidentifikasi di kolom Sumber eksfiltrasi pada tab Ringkasan di detail temuan.
• Untuk memindai kumpulan data yang terpengaruh guna menemukan informasi sensitif, gunakan Sensitive Data Protection. Anda juga dapat mengirim data Sensitive Data Protection ke Security Command Center. Bergantung pada jumlah informasi, biaya Perlindungan Data Sensitif bisa cukup besar. Ikuti praktik terbaik untuk memastikan biaya Sensitive Data Protection tetap terkendali.
• Untuk membatasi akses ke BigQuery API, gunakan Kontrol Layanan VPC.
• Jika Anda adalah pemilik bucket, pertimbangkan untuk mencabut izin akses publik.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Exfiltration: BigQuery Data to Google Drive

Pencurian data dari BigQuery terdeteksi dengan memeriksa log audit untuk skenario berikut:

• Sumber daya disimpan ke folder Google Drive.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Exfiltration: BigQuery Data to Google Drive, seperti yang diinstruksikan dalam Meninjau temuan.

2. Di tab Ringkasan pada panel detail temuan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, termasuk:
     • Email utama: akun yang digunakan untuk mengekstraksi data.
     • Sumber pemindahan data yang tidak sah: detail tentang tabel BigQuery tempat data dipindahkan tanpa izin.
     • Target pemindahan yang tidak sah: detail tentang tujuan di Google Drive.
   • Resource yang terpengaruh, termasuk:
     • Nama lengkap resource: nama resource BigQuery yang datanya diekstraksi.
     • Nama lengkap project: project Google Cloud yang berisi set data BigQuery sumber.
   • Link terkait, termasuk:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Untuk informasi tambahan, klik tab JSON.

4. Dalam JSON, perhatikan kolom berikut.

   • sourceProperties:
     • evidence:
       • sourceLogId:
       • projectId: Google Cloud project yang berisi set data BigQuery sumber.
     • properties:
       • extractionAttempt:
       • jobLink: link ke tugas BigQuery yang mengeksfiltrasi data

Langkah 2: Tinjau izin dan setelan

1. Di konsol Google Cloud , buka halaman IAM.

   Buka IAM

2. Jika perlu, pilih project yang tercantum di kolom projectId dalam JSON temuan (dari Langkah 1).

3. Di halaman yang muncul, pada kotak Filter, masukkan alamat email yang tercantum di access.principalEmail (dari Langkah 1) dan periksa izin yang ditetapkan ke akun tersebut.

Langkah 3: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.
2. Temukan log aktivitas admin yang terkait dengan tugas BigQuery menggunakan filter berikut:
   • protoPayload.methodName="Jobservice.insert"
   • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exfiltration Over Web Service: Exfiltration to Cloud Storage.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait pada tab Ringkasan di detail temuan. Temuan terkait adalah jenis temuan yang sama pada instance dan jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project yang datanya dieksfiltrasi.
• Pertimbangkan untuk mencabut izin untuk principal di kolom access.principalEmail hingga investigasi selesai.
• Untuk menghentikan eksfiltrasi lebih lanjut, tambahkan kebijakan IAM yang ketat ke set data BigQuery yang terpengaruh (exfiltration.sources).
• Untuk memindai kumpulan data yang terpengaruh guna menemukan informasi sensitif, gunakan Sensitive Data Protection. Anda juga dapat mengirim data Sensitive Data Protection ke Security Command Center. Bergantung pada jumlah informasi, biaya Perlindungan Data Sensitif bisa cukup besar. Ikuti praktik terbaik untuk memastikan biaya Sensitive Data Protection tetap terkendali.
• Untuk membatasi akses ke BigQuery API, gunakan Kontrol Layanan VPC.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Exfiltration: Cloud SQL Data Exfiltration

Pencurian data dari Cloud SQL terdeteksi dengan memeriksa log audit untuk dua skenario:

• Data instance aktif diekspor ke bucket Cloud Storage di luar organisasi.
• Data instance aktif diekspor ke bucket Cloud Storage yang dimiliki oleh organisasi dan dapat diakses secara publik.

Semua jenis instance Cloud SQL didukung.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Exfiltration: Cloud SQL Data Exfiltration, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama : akun yang digunakan untuk mengekstraksi data.
     • Sumber pemindahan tidak sah: detail tentang instance Cloud SQL yang datanya dipindahkan secara tidak sah.
     • Target eksfiltrasi: detail tentang bucket Cloud Storage tempat data diekspor.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama resource Cloud SQL yang datanya dieksfiltrasi.
     • Nama lengkap project: project Google Cloud yang berisi data Cloud SQL sumber.
   • Link terkait, termasuk:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Klik tab JSON.

4. Dalam JSON untuk temuan, perhatikan kolom berikut:

   • sourceProperties:
     • evidence:
     • sourceLogId:
       • projectId: project Google Cloud yang berisi instance Cloud SQL sumber.
     • properties
     • bucketAccess: apakah bucket Cloud Storage dapat diakses secara publik atau eksternal untuk organisasi
     • exportScope: seberapa banyak data yang diekspor, seperti, seluruh instance, satu atau beberapa database, satu atau beberapa tabel, atau subset yang ditentukan oleh kueri)

Langkah 2: Tinjau izin dan setelan

1. Di konsol Google Cloud , buka halaman IAM.

   Buka IAM

2. Jika perlu, pilih project instance yang tercantum di kolom projectId dalam JSON temuan (dari Langkah 1).

3. Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di baris Email akun utama di tab Ringkasan detail temuan (dari Langkah 1). Periksa izin yang ditetapkan ke akun.

Langkah 3: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer mencakup semua log yang terkait dengan instance Cloud SQL yang relevan.

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exfiltration Over Web Service: Exfiltration to Cloud Storage.
2. Tinjau temuan terkait dengan mengklik link di baris Temuan terkait yang dijelaskan di Langkah 1). Temuan terkait memiliki jenis temuan yang sama pada instance Cloud SQL yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project yang datanya dieksfiltrasi.
• Pertimbangkan untuk mencabut izin untuk access.principalEmail hingga investigasi selesai.
• Untuk menghentikan eksfiltrasi lebih lanjut, tambahkan kebijakan IAM yang ketat ke instance Cloud SQL yang terpengaruh.
  • MySQL
  • PostgreSQL
  • SQL Server
• Untuk membatasi akses ke dan ekspor dari Cloud SQL Admin API, gunakan Kontrol Layanan VPC.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Exfiltration: Cloud SQL Over-Privileged Grant

Mendeteksi saat semua hak istimewa atas database PostgreSQL (atau semua fungsi atau prosedur dalam database) diberikan kepada satu atau beberapa pengguna database.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Exfiltration: Cloud SQL Over-Privileged Grant seperti yang diarahkan dalam Meninjau temuan.

2. Di tab Ringkasan pada panel detail temuan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Nama tampilan database: nama database di instance Cloud SQL PostgreSQL yang terpengaruh.
     • Nama pengguna database: pengguna PostgreSQL yang memberikan hak istimewa berlebih.
     • Kueri database: kueri PostgreSQL yang dijalankan dan memberikan hak istimewa.
     • Penerima akses database: penerima akses hak istimewa yang terlalu luas.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama resource instance Cloud SQL PostgreSQL yang terpengaruh.
     • Nama lengkap induk: nama resource instance Cloud SQL PostgreSQL.
     • Nama lengkap project: Google Cloud project yang berisi instance Cloud SQL PostgreSQL.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Untuk melihat JSON lengkap temuan, klik tab JSON.

Langkah 2: Tinjau hak istimewa database

1. Hubungkan ke database PostgreSQL.
2. Mencantumkan dan menampilkan hak istimewa akses untuk hal berikut:
   • Database. Gunakan metacommand \l atau \list dan periksa hak istimewa yang ditetapkan untuk database yang tercantum di Nama tampilan database (dari Langkah 1).
   • Fungsi atau prosedur. Gunakan metaperintah \df dan periksa hak istimewa yang ditetapkan untuk fungsi atau prosedur dalam database yang tercantum di Nama tampilan database (dari Langkah 1).

Langkah 3: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer mencakup semua log yang terkait dengan instance Cloud SQL yang relevan.
2. Di Logs Explorer, periksa log pgaudit PostgreSQL, yang mencatat kueri yang dijalankan ke database, dengan menggunakan filter berikut:
   • protoPayload.request.database="var class="edit">database"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exfiltrasi Melalui Layanan Web.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik instance dengan pemberian hak istimewa berlebih.
• Pertimbangkan untuk mencabut semua izin untuk penerima hibah yang tercantum di Penerima hibah database hingga penyelidikan selesai.
• Untuk membatasi akses ke database (dari Nama tampilan database di Langkah 1, cabut izin yang tidak perlu dari penerima (dari Penerima akses database di Langkah 1.

Exfiltration: Cloud SQL Restore Backup to External Organization

Pencurian data dari cadangan Cloud SQL terdeteksi dengan memeriksa log audit untuk menentukan apakah data dari cadangan telah dipulihkan ke instance Cloud SQL di luar organisasi atau project. Semua jenis instance dan cadangan Cloud SQL didukung.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Exfiltration: Cloud SQL Restore Backup to External Organization seperti yang diarahkan dalam Meninjau temuan.

2. Di tab Ringkasan pada panel detail temuan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang digunakan untuk mengekstraksi data.
     • Sumber eksfiltrasi: detail tentang instance Cloud SQL tempat cadangan dibuat.
     • Target eksfiltrasi: detail tentang instance Cloud SQL tempat data cadangan dipulihkan.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama resource cadangan yang dipulihkan.
     • Nama lengkap project: project Google Cloud yang berisi instance Cloud SQL tempat cadangan dibuat.

3. Link terkait, terutama kolom berikut:

   • Cloud Logging URI: link ke entri Logging.
   • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
   • Temuan terkait: link ke temuan terkait.

4. Klik tab JSON.

5. Dalam JSON, perhatikan kolom berikut.

   • resource:
     • parent_name: nama resource instance Cloud SQL tempat cadangan dibuat
   • evidence:
     • sourceLogId:
       • projectId: Google Cloud project yang berisi set data BigQuery sumber.
   • properties:
     • restoreToExternalInstance:
       • backupId: ID proses pencadangan yang dipulihkan

Langkah 2: Tinjau izin dan setelan

1. Di konsol Google Cloud , buka halaman IAM.

   Buka IAM

2. Jika perlu, pilih project instance yang tercantum di kolom projectId dalam JSON temuan (dari Langkah 1).

3. Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di Email akun utama (dari Langkah 1) dan periksa izin yang ditetapkan ke akun tersebut.

Langkah 3: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer mencakup semua log yang terkait dengan instance Cloud SQL yang relevan.

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exfiltration Over Web Service: Exfiltration to Cloud Storage.
2. Tinjau temuan terkait dengan mengklik link di baris Temuan terkait. (dari Langkah 1). Temuan terkait memiliki jenis temuan yang sama di instance Cloud SQL yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project yang datanya dieksfiltrasi.
• Pertimbangkan untuk mencabut izin akun utama yang tercantum di baris Email akun utama di tab Ringkasan detail temuan hingga investigasi selesai.
• Untuk menghentikan eksfiltrasi lebih lanjut, tambahkan kebijakan IAM yang ketat ke instance Cloud SQL yang terpengaruh.
  • MySQL
  • PostgreSQL
  • SQL Server
• Untuk membatasi akses ke Cloud SQL Admin API, gunakan Kontrol Layanan VPC.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Impact: Cryptomining Commands

Mendeteksi saat perintah cryptomining yang diketahui diteruskan ke tugas Cloud Run sebagai titik entri yang akan dijalankan saat tugas dieksekusi.

Untuk menanggapi temuan ini, lakukan hal berikut:

1. Periksa tugas, perintah, dan container untuk menentukan apakah hal ini sudah diperkirakan.
2. Hapus tugas dan container yang terkompromi.

Impact: Deleted Google Cloud Backup and DR Backup

Event Threat Detection memeriksa log audit untuk mendeteksi apakah cadangan yang disimpan di brankas cadangan telah dihapus.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Impact: Deleted Google Cloud Backup and DR Backup seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Apa yang terdeteksi, terutama kolom berikut:
     • Deskripsi: informasi tentang deteksi.
     • Subjek utama: pengguna atau akun layanan yang telah berhasil mengeksekusi tindakan.
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat frekuensi pencadangan dikurangi.
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Logging URI: link untuk membuka Logs Explorer.

Langkah 2: Meneliti metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal subject dan konfirmasi apakah mereka melakukan tindakan tersebut.

Impact: Deleted Google Cloud Backup and DR host

Event Threat Detection memeriksa log audit untuk mendeteksi penghapusan host yang menjalankan aplikasi yang dilindungi oleh Layanan Backup dan DR. Setelah host dihapus, aplikasi yang terkait dengan host tidak dapat dicadangkan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Impact: Deleted Google Cloud Backup and DR host seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Apa yang terdeteksi, terutama kolom berikut:
     • Nama aplikasi: nama database atau VM yang terhubung ke Backup and DR
     • Nama host: nama host yang terhubung ke Backup dan DR
     • Subjek utama: pengguna yang telah berhasil menjalankan tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat host dihapus
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK
     • Logging URI: link untuk membuka Logs Explorer

Langkah 2: Meneliti metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

1. Di project tempat tindakan dilakukan, buka konsol pengelolaan.
2. Pastikan host yang dihapus tidak lagi ada dalam daftar host Pencadangan dan DR.
3. Pilih opsi Tambahkan Host untuk menambahkan kembali host yang dihapus.

Impact: Deleted Google Cloud Backup and DR plan association

Event Threat Detection memeriksa log audit untuk mendeteksi apakah pengaitan paket telah dihapus.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Impact: Deleted Google Cloud Backup and DR plan association seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Apa yang terdeteksi, terutama kolom berikut:
     • Deskripsi: informasi tentang deteksi.
     • Subjek utama: pengguna atau akun layanan yang telah berhasil mengeksekusi tindakan.
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat frekuensi pencadangan dikurangi.
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Logging URI: link untuk membuka Logs Explorer.

Langkah 2: Meneliti metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal subject dan konfirmasi apakah mereka melakukan tindakan tersebut.

Impact: Deleted Google Cloud Backup and DR Vault

Event Threat Detection memeriksa log audit untuk mendeteksi apakah brankas cadangan telah dihapus.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Impact: Google Cloud Backup and DR reduced backup frequency seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Apa yang terdeteksi, terutama kolom berikut:
     • Deskripsi: informasi tentang deteksi.
     • Subjek utama: pengguna atau akun layanan yang telah berhasil mengeksekusi tindakan.
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat frekuensi pencadangan dikurangi.
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Logging URI: link untuk membuka Logs Explorer.

Langkah 2: Meneliti metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal subject. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Impact: GKE kube-dns modification detected

Seseorang mengubah konfigurasi kube-dns di cluster GKE Anda. kube-dns GKE adalah komponen penting dari jaringan cluster Anda, dan kesalahan konfigurasinya dapat menyebabkan pelanggaran keamanan.

1. Tinjau konfigurasi kube-dns cluster untuk mengidentifikasi perubahan yang mencurigakan.

Impact: Google Cloud Backup and DR delete policy

Log audit diperiksa untuk mendeteksi penghapusan kebijakan. Kebijakan menentukan cara pencadangan dilakukan dan tempat penyimpanannya.

Langkah 1: Tinjau detail temuan

1. Buka temuan Impact: Google Cloud Backup and DR delete policy seperti yang dijelaskan dalam Meninjau temuan. Panel detail temuan akan terbuka ke tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Apa yang terdeteksi, terutama kolom berikut:
     • Nama kebijakan: nama untuk satu kebijakan, yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
     • Subjek utama: pengguna yang telah berhasil menjalankan tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat kebijakan dihapus
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK
     • Logging URI: link untuk membuka Logs Explorer.

Langkah 2: Meneliti metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan. 1. Di project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Di tab Pengelola Aplikasi, pilih aplikasi yang terpengaruh dan tinjau setelan Kebijakan yang diterapkan ke aplikasi tersebut.

Impact: Google Cloud Backup and DR delete profile

Log audit diperiksa untuk mendeteksi penghapusan profil. Profil menentukan kumpulan penyimpanan mana yang digunakan untuk menyimpan cadangan.

Langkah 1: Tinjau detail temuan

1. Buka temuan Impact: Google Cloud Backup and DR delete profile, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Apa yang terdeteksi, terutama kolom berikut:
     • Nama profil: menentukan target penyimpanan untuk cadangan data aplikasi dan VM
     • Subjek utama: pengguna yang telah berhasil menjalankan tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat profil dihapus
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK
     • Logging URI: link untuk membuka Logs Explorer

Langkah 2: Meneliti metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan. 1. Di project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Di tab Backup Plans, pilih Profiles untuk melihat daftar semua profil. 3. Tinjau profil untuk memverifikasi bahwa semua profil yang diperlukan sudah ada. 4. Jika profil yang dihapus tersebut dihapus karena kesalahan, pilih Buat Profil untuk menentukan target penyimpanan bagi peralatan Cadangan dan DR Anda.

Impact: Google Cloud Backup and DR delete template

Security Command Center memeriksa log audit untuk mendeteksi penghapusan template yang anomali. Template adalah konfigurasi dasar untuk pencadangan yang dapat diterapkan ke beberapa aplikasi.

Langkah 1: Tinjau detail temuan

1. Buka temuan Impact: Google Cloud Backup and DR delete template seperti yang dijelaskan dalam Meninjau temuan. Panel detail temuan akan terbuka ke tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Apa yang terdeteksi, terutama kolom berikut:
     • Nama template: nama untuk serangkaian kebijakan yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
     • Subjek utama: pengguna yang telah berhasil menjalankan tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat template dihapus
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK
     • Logging URI: link untuk membuka Logs Explorer

Langkah 2: Meneliti metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

1. Di project tempat tindakan dilakukan, buka konsol pengelolaan.
2. Di tab Pengelola Aplikasi, temukan aplikasi yang terpengaruh yang tidak lagi dilindungi dan tinjau kebijakan pencadangan untuk setiap aplikasi.
3. Untuk menambahkan kembali template, buka tab Rencana Cadangan, pilih Template, lalu pilih opsi Buat Template.

Impact: Google Cloud Backup and DR delete storage pool

Log audit diperiksa untuk mendeteksi penghapusan kumpulan penyimpanan. Kumpulan penyimpanan mengaitkan bucket Cloud Storage dengan Pencadangan dan DR.

Langkah 1: Tinjau detail temuan

1. Buka temuan Impact: Google Cloud Backup and DR delete storage pool, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Apa yang terdeteksi, terutama kolom berikut:
     • Nama kumpulan penyimpanan: nama untuk bucket penyimpanan tempat cadangan disimpan
     • Subjek utama: pengguna yang telah berhasil menjalankan tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat kumpulan penyimpanan dihapus
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK
     • Logging URI: link untuk membuka Logs Explorer

Langkah 2: Meneliti metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan. 1. Di project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Di tab Kelola, pilih Storage Pools untuk melihat daftar semua pool penyimpanan. 3. Tinjau asosiasi kumpulan penyimpanan dengan Peralatan Cadangan. 4. Jika appliance aktif tidak memiliki kumpulan penyimpanan terkait, pilih Tambahkan Kumpulan OnVault untuk menambahkannya kembali.

Impact: Google Cloud Backup and DR expire all images

Aktor yang berpotensi berbahaya telah meminta untuk menghapus semua gambar cadangan yang terkait dengan aplikasi.

Langkah 1: Tinjau detail temuan

1. Buka temuan Impact: Google Cloud Backup and DR expire all images, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Apa yang terdeteksi, terutama kolom berikut:
     • Nama kebijakan: nama untuk satu kebijakan, yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
     • Nama template: nama untuk serangkaian kebijakan yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
     • Nama profil: menentukan target penyimpanan untuk cadangan data aplikasi dan VM
     • Subjek utama: pengguna yang telah berhasil menjalankan tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat gambar cadangan dihapus
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK
     • Logging URI: link untuk membuka Logs Explorer.

Langkah 2: Meneliti metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan. 1. Di project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Buka tab Monitor, lalu pilih Tugas untuk meninjau status tugas hapus cadangan. 3. Jika tugas penghapusan tidak diizinkan, buka izin IAM untuk meninjau pengguna yang memiliki akses ke data cadangan.

Impact: Google Cloud Backup and DR expire image

Pihak yang berpotensi berbahaya telah meminta untuk menghapus gambar cadangan.

Langkah 1: Tinjau detail temuan

1. Buka temuan Inhibit System Recovery: Google Cloud Backup and DR expire image, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Apa yang terdeteksi, terutama kolom berikut:
     • Nama kebijakan: nama untuk satu kebijakan, yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
     • Nama template: nama untuk serangkaian kebijakan yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
     • Nama profil: menentukan target penyimpanan untuk cadangan data aplikasi dan VM
     • Subjek utama: pengguna yang telah berhasil menjalankan tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat gambar cadangan dihapus
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK
     • Logging URI: link untuk membuka Logs Explorer

Langkah 2: Meneliti metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan. 1. Di project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Buka tab Monitor, lalu pilih Tugas untuk meninjau status tugas hapus cadangan. 3. Jika tugas penghapusan tidak diizinkan, buka izin IAM untuk meninjau pengguna yang memiliki akses ke data cadangan.

Impact: Google Cloud Backup and DR reduced backup expiration

Event Threat Detection memeriksa log audit untuk mendeteksi apakah tanggal habis masa berlaku untuk pencadangan di appliance Backup and DR Service telah dikurangi.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Impact: Google Cloud Backup and DR reduced backup expiration seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Apa yang terdeteksi, terutama kolom berikut:
     • Deskripsi: informasi tentang deteksi
     • Subjek utama: pengguna atau akun layanan yang telah berhasil mengeksekusi tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat masa berlaku pencadangan dikurangi.
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Logging URI: link untuk membuka Logs Explorer.

Langkah 2: Meneliti metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal subject. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

1. Di project tempat tindakan dilakukan, buka konsol pengelolaan.
2. Di tab Pengelola Aplikasi, temukan aplikasi yang terpengaruh yang masa berlaku pencadangannya dikurangi dan verifikasi bahwa masa berlaku tersebut dimaksudkan oleh pemiliknya.
3. Untuk memulai pencadangan baru aplikasi, pilih Kelola Konfigurasi Pencadangan untuk membuat pencadangan on-demand atau menjadwalkan pencadangan baru.

Impact: Google Cloud Backup and DR reduced backup frequency

Event Threat Detection memeriksa log audit untuk mendeteksi apakah rencana pencadangan telah dimodifikasi untuk mengurangi frekuensi pencadangan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Impact: Google Cloud Backup and DR reduced backup frequency seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Apa yang terdeteksi, terutama kolom berikut:
     • Deskripsi: informasi tentang deteksi
     • Subjek utama: pengguna atau akun layanan yang telah berhasil mengeksekusi tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat frekuensi pencadangan dikurangi.
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Logging URI: link untuk membuka Logs Explorer.

Langkah 2: Meneliti metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal subject. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

1. Di project tempat tindakan dilakukan, buka konsol pengelolaan.
2. Di tab Pengelola Aplikasi, temukan aplikasi yang terpengaruh yang frekuensi pencadangannya dikurangi dan verifikasi bahwa perubahan tersebut dimaksudkan oleh pemiliknya.
3. Untuk memulai pencadangan baru aplikasi, pilih Kelola Konfigurasi Pencadangan untuk membuat pencadangan on-demand atau menjadwalkan pencadangan baru.

Impact: Google Cloud Backup and DR remove appliance

Log audit diperiksa untuk mendeteksi penghapusan alat pencadangan dan pemulihan. Perangkat pencadangan dan pemulihan adalah komponen penting untuk operasi pencadangan.

Langkah 1: Tinjau detail temuan

1. Buka temuan Inhibit System Recovery: Google Cloud Backup and DR remove appliance, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Apa yang terdeteksi, terutama kolom berikut:
     • Nama perangkat: nama database atau VM yang terhubung ke Backup and DR
     • Subjek utama: pengguna yang telah berhasil menjalankan tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat appliance dihapus
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK
     • Logging URI: link untuk membuka Logs Explorer

Langkah 2: Meneliti metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan. 1. Di project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Di tab Pengelola Aplikasi, temukan aplikasi yang terpengaruh yang tidak lagi dilindungi dan tinjau kebijakan pencadangan untuk setiap aplikasi. 3. Untuk membuat perangkat baru dan menerapkan kembali perlindungan ke aplikasi yang tidak dilindungi, buka Backup and DR di Google Cloud konsol, lalu pilih opsi Deploy another backup or recovery appliance. 4. Di menu Storage, konfigurasi setiap appliance baru dengan target penyimpanan. Setelah Anda mengonfigurasi perangkat, perangkat tersebut akan muncul sebagai opsi saat Anda membuat profil untuk aplikasi.

Impact: Google Cloud Backup and DR remove plan

Security Command Center memeriksa log audit untuk mendeteksi penghapusan anomali paket pencadangan Layanan Pencadangan dan DR yang digunakan untuk menerapkan kebijakan pencadangan ke aplikasi.

Langkah 1: Tinjau detail temuan

1. Buka temuan Impact: Google Cloud Backup and DR remove plan seperti yang dijelaskan dalam Meninjau temuan. Panel detail temuan akan terbuka ke tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Apa yang terdeteksi, terutama kolom berikut:
     • Nama aplikasi: nama database atau VM yang terhubung ke Backup and DR
     • Nama profil: menentukan target penyimpanan untuk cadangan data aplikasi dan VM
     • Nama template: nama untuk serangkaian kebijakan yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat paket dihapus
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK
     • Logging URI: link untuk membuka Logs Explorer

Langkah 2: Meneliti metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

1. Di project tempat tindakan dilakukan, buka konsol pengelolaan.
2. Di tab Pengelola Aplikasi, temukan aplikasi yang terpengaruh yang tidak lagi dilindungi dan tinjau kebijakan pencadangan untuk setiap aplikasi.

Impact: Suspicious Kubernetes Container Names - Cryptocurrency Mining

Seseorang men-deploy Pod dengan konvensi penamaan yang mirip dengan penambang koin mata uang kripto umum. Hal ini mungkin merupakan upaya oleh penyerang yang telah mendapatkan akses awal ke cluster untuk menggunakan resource cluster dalam penambangan mata uang kripto. Untuk mengetahui detail selengkapnya, lihat pesan log untuk notifikasi ini.

1. Pastikan bahwa Pod tersebut sah.
2. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya dari Pod atau principal dalam log audit di Cloud Logging.
3. Jika akun utama bukan akun layanan (IAM atau Kubernetes), hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
4. Jika akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan keabsahannya.
5. Jika Pod tidak sah, hapus Pod tersebut, beserta binding RBAC dan akun layanan terkait yang digunakan beban kerja dan yang memungkinkan pembuatannya.

Initial Access: Anonymous GKE resource created from the internet

Mendeteksi saat aktor yang berpotensi berbahaya menggunakan salah satu pengguna atau grup pengguna default Kubernetes berikut untuk membuat resource Kubernetes baru di cluster:

• system:anonymous
• system:authenticated
• system:unauthenticated

Pengguna dan grup ini secara efektif bersifat anonim. Binding kontrol akses berbasis peran (RBAC) di cluster Anda memberikan izin kepada pengguna tersebut untuk membuat resource tersebut di cluster.

Tinjau resource yang dibuat dan binding RBAC terkait untuk memastikan bahwa binding tersebut diperlukan. Jika pengikatan tidak diperlukan, hapus pengikatan. Untuk detail selengkapnya, lihat pesan log untuk temuan ini.

Untuk mengatasi temuan ini, lihat Menghindari peran dan grup default.

Initial Access: CloudDB Successful login from Anonymizing Proxy IP

Mendeteksi login yang berhasil di instance database Anda dari alamat IP anonim yang diketahui. Alamat anonim ini adalah node Tor. Hal ini dapat menunjukkan bahwa penyerang mendapatkan akses awal ke instance Anda.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Initial Access: CloudDB Successful login from Anonymizing Proxy IP seperti yang diarahkan dalam Meninjau temuan.

2. Di tab Ringkasan pada panel detail temuan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
   • Alamat IP indikator, alamat IP anonim.
   • Nama tampilan database: nama database di instance Cloud SQL PostgreSQL, MySQL, atau AlloyDB yang terpengaruh.
   • Nama pengguna database: pengguna.
   • Nama lengkap project: project Google Cloud yang berisi instance Cloud SQL.

Langkah 2: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akses Awal.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Tinjau pengguna yang diizinkan untuk terhubung ke database.

  • Untuk PostgreSQL, lihat Membuat dan mengelola pengguna
  • Untuk MySQL, lihat Mengelola pengguna dengan autentikasi bawaan

• Pertimbangkan untuk mengubah sandi pengguna.

  • Untuk PostgreSQL, lihat Menyetel sandi untuk pengguna default

  • Untuk MySQL, lihat Menyetel sandi untuk pengguna default

  • Perbarui kredensial untuk klien yang terhubung ke instance Cloud SQL

Initial Access: Database Superuser Writes to User Tables

Mendeteksi saat akun superuser database Cloud SQL (postgres untuk PostgreSQL dan root untuk MySQL) menulis ke tabel pengguna. Pengguna super (peran dengan akses yang sangat luas) umumnya tidak boleh digunakan untuk menulis ke tabel pengguna. Akun pengguna dengan akses yang lebih terbatas harus digunakan untuk aktivitas harian normal. Saat superuser menulis ke tabel pengguna, hal itu dapat menunjukkan bahwa penyerang telah meningkatkan hak istimewa atau telah membahayakan pengguna database default dan sedang mengubah data. Hal ini juga dapat menunjukkan praktik yang normal tetapi tidak aman.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Initial Access: Database Superuser Writes to User Tables seperti yang diarahkan dalam Meninjau temuan.

2. Di tab Ringkasan pada panel detail temuan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Nama tampilan database: nama database di instance Cloud SQL PostgreSQL atau MySQL yang terpengaruh.
     • Nama pengguna database: superuser.
     • Kueri database: kueri SQL yang dijalankan saat menulis ke tabel pengguna.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama resource instance Cloud SQL yang terpengaruh.
     • Nama lengkap induk: nama resource instance Cloud SQL.
     • Nama lengkap project: project Google Cloud yang berisi instance Cloud SQL.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Untuk melihat JSON lengkap temuan, klik tab JSON.

Langkah 2: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di cloudLoggingQueryURI (dari Langkah 1). Halaman Logs Explorer mencakup semua log yang terkait dengan instance Cloud SQL yang relevan.
2. Periksa log untuk log pgaudit PostgreSQL atau log audit Cloud SQL untuk MySQL, yang berisi kueri yang dijalankan oleh pengguna super, dengan menggunakan filter berikut:
   • protoPayload.request.user="SUPERUSER"

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exfiltrasi Melalui Layanan Web.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Tinjau pengguna yang diizinkan untuk terhubung ke database.

  • Untuk PostgreSQL, lihat Membuat dan mengelola pengguna
  • Untuk MySQL, lihat Mengelola pengguna dengan autentikasi bawaan

• Pertimbangkan untuk mengubah sandi superuser.

  • Untuk PostgreSQL, lihat Menyetel sandi untuk pengguna default
  • Untuk MySQL, lihat Menyetel sandi untuk pengguna default

• Pertimbangkan untuk membuat pengguna baru dengan akses terbatas untuk berbagai jenis kueri yang digunakan di instance.

  • Hanya berikan izin yang diperlukan kepada pengguna baru untuk menjalankan kuerinya.

    • Untuk PostgreSQL, lihat Grant (command)
    • Untuk MySQL, lihat Kontrol Akses dan Pengelolaan Akun

  • Perbarui kredensial untuk klien yang terhubung ke instance Cloud SQL

Initial Access: Dormant Service Account Action

Mendeteksi peristiwa saat akun layanan yang dikelola pengguna yang tidak aktif memicu tindakan. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Initial Access: Dormant Service Account Action, seperti yang diarahkan dalam Meninjau temuan.

2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

   Di bagian Yang terdeteksi:

   • Email utama: akun layanan tidak aktif yang melakukan tindakan
   • Nama layanan: nama API layanan Google Cloud yang diakses oleh akun layanan
   • Nama metode: metode yang dipanggil

Langkah 2: Meneliti metode serangan dan respons

1. Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang tidak aktif.
2. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi dan ganti serta hapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Google Cloud Dukungan.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Initial Access: Dormant Service Account Activity in AI Service

Mendeteksi peristiwa saat akun layanan yang dikelola pengguna yang tidak aktif memicu tindakan di layanan AI. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Initial Access: Dormant Service Account Activity in AI Service, seperti yang diarahkan dalam Meninjau temuan.

2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

   Di bagian Yang terdeteksi:

   • Email utama: akun layanan tidak aktif yang melakukan tindakan
   • Nama metode: metode yang dipanggil
   • Resource AI: resource AI yang berpotensi terpengaruh, seperti resource Vertex AI dan model AI.

Langkah 2: Meneliti metode serangan dan respons

1. Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang tidak aktif.
2. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta mengganti dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Merespons notifikasi apa pun dari Cloud Customer Care.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Initial Access: Dormant Service Account Key Created

Mendeteksi peristiwa saat kunci akun layanan yang dikelola pengguna yang tidak aktif dibuat. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Initial Access: Dormant Service Account Key Created, seperti yang diarahkan dalam Meninjau temuan.

2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

   Di bagian Yang terdeteksi:

   • Email utama: pengguna yang membuat kunci akun layanan

   Di bagian Resource yang terpengaruh:

   • Nama tampilan resource: kunci akun layanan tidak aktif yang baru dibuat
   • Nama lengkap project: project tempat akun layanan tidak aktif tersebut berada

Langkah 2: Meneliti metode serangan dan respons

1. Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang tidak aktif.
2. Hubungi pemilik kolom Email utama. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Hapus akses pemilik Email utama jika email tersebut disusupi.
• Batalkan validasi kunci akun layanan yang baru dibuat di Halaman Akun Layanan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta mengganti dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Merespons notifikasi apa pun dari Cloud Customer Care.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi rekomendasi IAM.

Initial Access: Excessive Permission Denied Actions

Mendeteksi peristiwa saat prinsipal berulang kali memicu error izin ditolak di beberapa metode dan layanan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Initial Access: Excessive Permission Denied Actions, seperti yang diarahkan dalam Meninjau temuan.

2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

   Di bagian Yang terdeteksi:

   • Email akun utama: akun utama yang memicu beberapa error izin ditolak
   • Nama layanan: nama API layanan Google Cloud yang menyebabkan error penolakan izin terakhir
   • Nama metode: metode yang dipanggil saat terjadi error penolakan izin terakhir

3. Dalam detail temuan, di tab Properti Sumber, catat nilai kolom berikut dalam JSON:

   • properties.failedActions: error izin ditolak yang terjadi. Untuk setiap entri, detail mencakup nama layanan, nama metode, jumlah upaya yang gagal, dan waktu terakhir terjadinya error. Maksimum 10 entri yang ditampilkan.

Langkah 2: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di Cloud Logging URI.
2. Di toolbar konsol Google Cloud , pilih project Anda.

3. Di halaman yang terbuka, temukan log terkait menggunakan filter berikut:

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
   • protoPayload.status.code=7

   Ganti PRINCIPAL_EMAIL dengan nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid: Akun Cloud.
2. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik akun di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
• Hapus resource project yang dibuat oleh akun tersebut, seperti instance, snapshot, akun layanan, dan pengguna IAM Compute Engine yang tidak dikenal, dll.
• Hubungi pemilik project dengan akun tersebut, dan mungkin hapus atau nonaktifkan akun tersebut.

Initial Access: GKE NodePort service created

Seseorang membuat layanan NodePort. Layanan NodePort mengekspos Pod secara langsung di alamat IP dan port statis node, yang membuat Pod dapat diakses dari luar cluster. Hal ini dapat menimbulkan risiko keamanan yang signifikan karena dapat memungkinkan penyerang mengeksploitasi kerentanan dalam layanan yang terekspos untuk mendapatkan akses ke cluster atau data sensitif.

1. Tinjau konfigurasi layanan untuk menentukan tujuannya.
2. Pertimbangkan untuk membatasi kebijakan jaringan guna mengamankan layanan.

Initial Access: GKE resource modified anonymously from the internet

Mendeteksi saat aktor yang berpotensi berbahaya menggunakan salah satu pengguna atau grup pengguna default Kubernetes berikut untuk mengubah resource Kubernetes di cluster:

• system:anonymous
• system:authenticated
• system:unauthenticated

Pengguna dan grup ini secara efektif bersifat anonim. Binding kontrol akses berbasis peran (RBAC) di cluster Anda memberikan izin kepada pengguna tersebut untuk mengubah resource tersebut di cluster.

Tinjau resource yang diubah dan binding RBAC terkait untuk memastikan bahwa binding tersebut diperlukan. Jika pengikatan tidak diperlukan, hapus pengikatan. Untuk detail selengkapnya, lihat pesan log untuk temuan ini.

Untuk mengatasi temuan ini, lihat Menghindari peran dan grup default.

Initial Access: Leaked Service Account Key Used

Mendeteksi peristiwa saat kunci akun layanan yang bocor digunakan untuk mengautentikasi tindakan. Dalam konteks ini, kunci akun layanan yang bocor adalah kunci yang diposting di internet publik. Misalnya, kunci akun layanan sering kali salah diposting di repositori GitHub publik.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Initial Access: Leaked Service Account Key Used, seperti yang diarahkan dalam Meninjau temuan.

2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

   Di bagian Yang terdeteksi:

   • Email utama: akun layanan yang digunakan dalam tindakan ini
   • Nama layanan: nama API layanan Google Cloud yang diakses oleh akun layanan
   • Nama metode: nama metode tindakan
   • Nama kunci akun layanan: kunci akun layanan yang bocor dan digunakan untuk mengautentikasi tindakan ini
   • Deskripsi: deskripsi tentang apa yang terdeteksi, termasuk lokasi di internet publik tempat kunci akun layanan dapat ditemukan

   Di bagian Resource yang terpengaruh:

   • Nama tampilan resource: resource yang terlibat dalam tindakan

Langkah 2: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di Cloud Logging URI.
2. Di toolbar konsol Google Cloud , pilih project atau organisasi Anda.

3. Di halaman yang terbuka, temukan log terkait menggunakan filter berikut:

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
   • protoPayload.authenticationInfo.serviceAccountKeyName="SERVICE_ACCOUNT_KEY_NAME"

   Ganti PRINCIPAL_EMAIL dengan nilai yang Anda catat di kolom Email utama dalam detail temuan. Ganti SERVICE_ACCOUNT_KEY_NAME dengan nilai yang Anda catat di kolom Service account key name dalam detail temuan.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Segera batalkan kunci akun layanan di halaman Akun Layanan.
• Menghapus halaman web atau repositori GitHub tempat kunci akun layanan diposting.
• Pertimbangkan untuk menghapus akun layanan yang disusupi.
• Merotasi dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum menghapus, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Merespons notifikasi apa pun dari Cloud Customer Care.

Initial Access: Log4j Compromise Attempt

Temuan ini dibuat saat pencarian Java Naming and Directory Interface (JNDI) dalam header atau parameter URL terdeteksi. Pencarian ini dapat menunjukkan upaya eksploitasi Log4Shell. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Initial Access: Log4j Compromise Attempt, seperti yang diarahkan dalam Meninjau detail temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Yang terdeteksi
   • Resource yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.
   • Di tampilan detail temuan, klik tab JSON.

   • Dalam JSON, perhatikan kolom berikut.

   • properties

     • loadBalancerName: nama load balancer yang menerima pencarian JNDI
     • requestUrl: URL permintaan dari permintaan HTTP. Jika ada, ini berisi pencarian JNDI.
     • requestUserAgent: agen pengguna yang mengirim permintaan HTTP. Jika ada, kolom ini berisi pencarian JNDI.
     • refererUrl: URL halaman yang mengirim permintaan HTTP. Jika ada, kolom ini berisi pencarian JNDI.

Langkah 2: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI dari langkah 1.

2. Di halaman yang dimuat, periksa kolom httpRequest untuk menemukan token string seperti ${jndi:ldap:// yang dapat mengindikasikan kemungkinan upaya eksploitasi.

   Lihat CVE-2021-44228: Mendeteksi eksploitasi Log4Shell dalam dokumentasi Logging untuk mengetahui contoh string yang akan ditelusuri dan contoh kueri.

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eksploitasi Aplikasi yang Terhubung ke Publik.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait pada tab Ringkasan di detail temuan. Temuan terkait adalah jenis temuan yang sama dan instance dan jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Lakukan upgrade ke versi terbaru Log4j2.
• Ikuti rekomendasi Google Clouduntuk menyelidiki dan merespons kerentanan "Apache Log4j 2".
• Terapkan teknik mitigasi yang direkomendasikan dalam Kerentanan Keamanan Apache Log4j.
• Jika Anda menggunakan Google Cloud Armor, deploy cve-canary rule ke kebijakan keamanan Google Cloud Armor baru atau yang sudah ada. Untuk mengetahui informasi selengkapnya, lihat Aturan WAF Google Cloud Armor untuk membantu mengurangi kerentanan Apache Log4j.

Initial Access: Successful API call made from a TOR proxy IP

Panggilan API yang berhasil dilakukan ke cluster GKE Anda dari alamat IP yang terkait dengan jaringan Tor. Tor memberikan anonimitas, yang sering dimanfaatkan penyerang untuk menyembunyikan identitas mereka.

1. Selidiki sifat panggilan API dan resource yang diakses.
2. Tinjau kebijakan jaringan dan aturan firewall Anda untuk memblokir akses dari alamat IP proxy Tor.

Lateral Movement: Modified Boot Disk Attached to Instance

Log audit diperiksa untuk mendeteksi pergerakan disk yang mencurigakan di antara resource instance Compute Engine. Boot disk yang berpotensi dimodifikasi telah dilampirkan ke Compute Engine Anda.

Langkah 1: Tinjau detail temuan

1. Buka temuan Lateral Movement: Modify Boot Disk Attaching to Instance, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, catat nilai kolom berikut.

   Di bagian Yang terdeteksi:

   • Email utama: akun layanan yang melakukan tindakan
   • Nama layanan: nama API dari Google Cloud layanan yang diakses oleh akun layanan
   • Nama metode: metode yang dipanggil

Langkah 2: Meneliti metode serangan dan respons

1. Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan terkait.
2. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Pertimbangkan untuk menggunakan Boot Aman untuk instance VM Compute Engine Anda.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta mengganti dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Google Cloud Dukungan.

Leaked credentials

Temuan ini tidak tersedia untuk aktivasi level project.

Temuan ini dibuat saat Google Cloud kredensial akun layanan secara tidak sengaja bocor secara online atau disusupi. Untuk menanggapi temuan ini, lakukan langkah berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan account_has_leaked_credentials, seperti yang diarahkan dalam Meninjau detail temuan. Panel detail temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

• Yang terdeteksi
• Resource yang terpengaruh

1. Klik tab Properti Sumber dan perhatikan kolom berikut:

   • Compromised_account: akun layanan yang berpotensi disusupi
   • Project_identifier: project yang berisi kredensial akun yang berpotensi bocor
   • URL: link ke repositori GitHub

2. Untuk melihat JSON lengkap temuan, klik tab JSON.

Langkah 2: Tinjau izin project dan akun layanan

1. Di konsol Google Cloud , buka halaman IAM.

   Buka IAM

2. Jika perlu, pilih project yang tercantum di Project_identifier.

3. Di halaman yang muncul, pada kotak Filter, masukkan nama akun yang tercantum di Compromised_account dan periksa izin yang ditetapkan.

4. Di konsol Google Cloud , buka halaman Service Accounts.

   Buka Akun Layanan

5. Di halaman yang muncul, di kotak Filter, masukkan nama akun layanan yang disusupi, lalu periksa kunci akun layanan dan tanggal pembuatan kunci.

Langkah 3: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar konsol Google Cloud , pilih project Anda.

3. Di halaman yang dimuat, periksa log untuk aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:

   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • resource.type="gce_instance" AND log_name="projects/Project_identifier/logs/cloudaudit.googleapis.com%2Factivity"
   • protoPayload.methodName="InsertProjectOwnershipInvite"
   • protoPayload.authenticationInfo.principalEmail="Compromised_account"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid: Akun Cloud.
2. Tinjau temuan terkait dengan mengklik link di relatedFindingURI. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project dengan kredensial yang bocor.
• Pertimbangkan untuk menghapus akun layanan yang disusupi, serta merotasi dan menghapus semua kunci akses akun layanan untuk project yang disusupi. Setelah penghapusan, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Menanggapi notifikasi dari Google Cloud Dukungan.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
• Buka link URL dan hapus kredensial yang bocor. Kumpulkan informasi selengkapnya tentang akun yang disusupi dan hubungi pemiliknya.

Malware

Malware terdeteksi dengan memeriksa Log Alur VPC dan log Cloud DNS untuk koneksi ke domain dan alamat IP perintah dan kontrol yang diketahui. Saat ini, Event Threat Detection menyediakan deteksi malware umum (Malware: Bad IP dan Malware: Bad Domain) serta detektor khususnya untuk malware terkait Log4j (Log4j Malware: Bad IP dan Log4j Malware: Bad Domain).

Langkah-langkah berikut menjelaskan cara menyelidiki dan merespons temuan berbasis IP. Langkah-langkah perbaikan serupa untuk temuan berbasis domain.

Langkah 1: Tinjau detail temuan

1. Buka temuan malware yang relevan. Langkah-langkah berikut menggunakan temuan Malware: Bad IP, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Domain indikator: untuk temuan Bad domain, domain yang memicu temuan.
     • IP Indikator: untuk temuan Bad IP, alamat IP yang memicu temuan.
     • IP sumber: untuk temuan Bad IP, alamat IP perintah dan kontrol malware yang diketahui.
     • Port sumber: untuk temuan Bad IP, port sumber koneksi.
     • IP Tujuan: untuk temuan Bad IP, alamat IP target malware.
     • Port tujuan: untuk temuan Bad IP, port tujuan koneksi.
     • Protokol: untuk temuan Bad IP, nomor protokol IANA yang terkait dengan koneksi.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource instance Compute Engine yang terpengaruh.
     • Nama lengkap project: nama lengkap resource project yang berisi temuan.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.
     • Indikator VirusTotal: link ke halaman analisis VirusTotal.
     • Flow Analyzer: link ke fitur Flow Analyzer di Network Intelligence Center. Kolom ini hanya ditampilkan jika VPC Flow Logs diaktifkan.

   1. Klik tab JSON dan perhatikan kolom berikut:

      • evidence:
      • sourceLogId:
        • projectID: ID project tempat masalah terdeteksi.
      • properties:
      • InstanceDetails: alamat resource untuk instance Compute Engine.

Langkah 2: Tinjau izin dan setelan

1. Di konsol Google Cloud , buka halaman Dasbor.

   Buka Dasbor

2. Pilih project yang ditentukan di baris Project full name pada tab Summary.

3. Buka kartu Resources, lalu klik Compute Engine.

4. Klik instance VM yang cocok dengan nama dan zona di Nama lengkap resource. Tinjau detail instance, termasuk setelan jaringan dan akses.

5. Di panel navigasi, klik VPC Network, lalu klik Firewall. Hapus atau nonaktifkan aturan firewall yang terlalu permisif.

Langkah 3: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.

2. Di halaman yang dimuat, temukan VPC Flow Logs yang terkait dengan alamat IP di Source IP menggunakan filter berikut:

   • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")

     Ganti kode berikut:

     • PROJECT_ID dengan memilih project yang tercantum di projectId.
     • SOURCE_IP dengan alamat IP yang tercantum di baris Source IP pada tab Summary di detail temuan.

Langkah 4: Periksa Flow Analyzer

Anda harus mengaktifkan Log Alur VPC untuk melakukan proses berikut.

1. Pastikan Anda telah mengupgrade bucket log untuk menggunakan Log Analytics. Untuk mengetahui petunjuknya, lihat Mengupgrade bucket untuk menggunakan Log Analytics. Tidak ada biaya tambahan untuk melakukan upgrade.

2. Di konsol Google Cloud , buka halaman Flow Analyzer:

   Buka Flow Analyzer

   Anda juga dapat mengakses Flow Analyzer melalui link URL Flow Analyzer di bagian Link Terkait pada tab Ringkasan di panel Detail temuan.

3. Untuk menyelidiki lebih lanjut informasi terkait temuan Event Threat Detection, gunakan pemilih rentang waktu di panel tindakan untuk mengubah jangka waktu. Periode waktu harus mencerminkan saat temuan pertama kali dilaporkan. Misalnya, jika temuan dilaporkan dalam 2 jam terakhir, Anda dapat menetapkan jangka waktu ke 6 jam terakhir. Hal ini memastikan jangka waktu di Flow Analyzer mencakup waktu saat temuan dilaporkan.

4. Memfilter Flow Analyzer untuk menampilkan hasil yang sesuai untuk alamat IP yang terkait dengan temuan IP berbahaya:

   1. Dari menu Filter di baris Sumber pada bagian Kueri, pilih IP.

   2. Di kolom Nilai, masukkan alamat IP yang terkait dengan temuan dan klik Jalankan Kueri Baru.

      Jika Flow Analyzer tidak menampilkan hasil apa pun untuk alamat IP, hapus filter dari baris Sumber, lalu jalankan kueri lagi dengan filter yang sama di baris Tujuan.

5. Analisis hasilnya. Untuk informasi tambahan tentang alur tertentu, klik Detail di tabel Semua alur data untuk membuka panel Detail alur.

Langkah 5: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Resolusi Dinamis dan Perintah dan Kontrol.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait pada tab Ringkasan di detail temuan. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama.
3. Periksa URL dan domain yang ditandai di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
4. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 6: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project yang berisi malware.
• Selidiki instance yang berpotensi disusupi dan hapus malware yang ditemukan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
• Untuk melacak aktivitas dan kerentanan yang memungkinkan penyisipan malware, periksa log audit dan syslog yang terkait dengan instance yang disusupi.
• Jika perlu, hentikan instance yang disusupi dan ganti dengan instance baru.
• Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Google Cloud Armor. Anda dapat mengaktifkan Google Cloud Armor di halaman Layanan Terintegrasi Security Command Center. Bergantung pada volume data, biaya Google Cloud Armor bisa cukup besar. Lihat panduan harga Google Cloud Armor untuk mengetahui informasi selengkapnya.
• Untuk mengontrol akses dan penggunaan image VM, gunakan kebijakan IAM Shielded VM dan Trusted Images.

Malware: Cryptomining Bad IP

Malware terdeteksi dengan memeriksa log Alur VPC dan log Cloud DNS untuk koneksi ke domain dan alamat IP perintah dan kontrol yang diketahui. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Malware: Cryptomining Bad IP, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • IP Sumber: alamat IP cryptomining yang dicurigai.
     • Port sumber: port sumber koneksi, jika tersedia.
     • IP Tujuan: alamat IP target.
     • Port tujuan: port tujuan koneksi, jika tersedia.
     • Protocol: protokol IANA yang terkait dengan koneksi.
   • Resource yang terpengaruh
   • Link terkait, termasuk kolom berikut:
     • URI Logging: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.
     • Flow Analyzer: link ke fitur Flow Analyzer di Network Intelligence Center. Kolom ini hanya ditampilkan jika VPC Flow Logs diaktifkan.

3. Dalam tampilan detail temuan, klik tab Properti sumber.

4. Luaskan properties dan catat nilai project dan instance di kolom berikut:

   • instanceDetails: catat project ID dan nama instance Compute Engine. Project ID dan nama instance akan muncul seperti yang ditunjukkan dalam contoh berikut:

     /projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME

5. Untuk melihat JSON lengkap temuan, klik tab JSON.

Langkah 2: Tinjau izin dan setelan

1. Di konsol Google Cloud , buka halaman Dasbor.

   Buka Dasbor

2. Pilih project yang ditentukan di properties_project_id.

3. Buka kartu Resources, lalu klik Compute Engine.

4. Klik instance VM yang cocok dengan properties_sourceInstance. Selidiki instance yang berpotensi disusupi untuk menemukan malware.

5. Di panel navigasi, klik VPC Network, lalu klik Firewall. Hapus atau nonaktifkan aturan firewall yang terlalu permisif.

Langkah 3: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar konsol Google Cloud , pilih project Anda.

3. Di halaman yang dimuat, temukan Log Aliran VPC yang terkait dengan Properties_ip_0 dengan menggunakan filter berikut:

   • logName="projects/properties_project_id/logs/compute.googleapis.com%2Fvpc_flows"
   • (jsonPayload.connection.src_ip="Properties_ip_0" OR jsonPayload.connection.dest_ip="Properties_ip_0")

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pembajakan Resource.
2. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project yang berisi malware.
• Selidiki instance yang berpotensi disusupi dan hapus malware yang ditemukan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
• Jika perlu, hentikan instance yang disusupi dan ganti dengan instance baru.
• Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Google Cloud Armor. Anda dapat mengaktifkan Google Cloud Armor di halaman Layanan Terintegrasi Security Command Center. Bergantung pada volume data, biaya Google Cloud Armor bisa cukup besar. Lihat panduan harga Google Cloud Armor untuk mengetahui informasi selengkapnya.

Persistence: GKE Webhook Configuration Detected

Konfigurasi webhook telah terdeteksi di cluster GKE Anda. Webhook dapat mencegat dan mengubah permintaan Kubernetes API, yang berpotensi memungkinkan penyerang bertahan dalam cluster Anda atau memanipulasi resource.

1. Identifikasi tujuan dan asal konfigurasi webhook. Verifikasi bahwa aplikasi tersebut berasal dari sumber tepercaya dan memiliki tujuan yang sah.
2. Tinjau konfigurasi webhook untuk memahami cakupan dan jenis permintaan yang dicegatnya.
3. Pantau aktivitas webhook untuk mengetahui tindakan yang mencurigakan atau tidak sah.
4. Jika webhook tidak diperlukan atau perilakunya mengkhawatirkan, pertimbangkan untuk menghapus atau menonaktifkannya.

Persistence: IAM Anomalous Grant

Log audit diperiksa untuk mendeteksi penambahan pemberian peran IAM (IAM) yang mungkin dianggap mencurigakan.

Berikut adalah contoh pemberian yang tidak normal:

• Mengundang pengguna eksternal, seperti pengguna gmail.com, sebagai pemilik project dari konsol Google Cloud
• Akun layanan yang memberikan izin sensitif
• Peran khusus yang memberikan izin sensitif
• Akun layanan yang ditambahkan dari luar organisasi atau project Anda

Temuan IAM Anomalous Grant unik karena mencakup sub-aturan yang memberikan informasi lebih spesifik tentang setiap instance temuan ini. Klasifikasi tingkat keparahan temuan ini bergantung pada sub-aturan. Setiap sub-aturan mungkin memerlukan respons yang berbeda.

Daftar berikut menunjukkan semua kemungkinan sub-aturan dan tingkat keparahannya:

• external_service_account_added_to_policy:
  • HIGH, jika peran yang sangat sensitif diberikan atau jika peran dengan sensitivitas sedang diberikan di tingkat organisasi. Untuk mengetahui informasi selengkapnya, lihat Peran yang sangat sensitif.
  • MEDIUM, jika peran sensitivitas sedang diberikan. Untuk mengetahui informasi selengkapnya, lihat Peran dengan sensitivitas sedang.
• external_member_invited_to_policy: HIGH
• external_member_added_to_policy:
  • HIGH, jika peran yang sangat sensitif diberikan atau jika peran dengan sensitivitas sedang diberikan di tingkat organisasi. Untuk mengetahui informasi selengkapnya, lihat Peran yang sangat sensitif.
  • MEDIUM, jika peran sensitivitas sedang diberikan. Untuk mengetahui informasi selengkapnya, lihat Peran dengan sensitivitas sedang.
• custom_role_given_sensitive_permissions: MEDIUM
• service_account_granted_sensitive_role_to_member: HIGH
• policy_modified_by_default_compute_service_account: HIGH

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Persistence: IAM Anomalous Grant seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email akun utama: alamat email untuk pengguna atau akun layanan yang menetapkan peran.

   • Resource yang terpengaruh

   • Link terkait, terutama kolom berikut:

     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.
     • Indikator VirusTotal: link ke halaman analisis VirusTotal.

3. Klik tab JSON. JSON lengkap temuan ditampilkan.

4. Dalam JSON untuk temuan, perhatikan kolom berikut:

   • detectionCategory:
     • subRuleName: informasi yang lebih spesifik tentang jenis pemberian akses yang anomali yang terjadi. Sub-aturan menentukan klasifikasi tingkat keparahan temuan ini.
   • evidence:
     • sourceLogId:
     • projectId: ID project yang berisi temuan.
   • properties:
     • sensitiveRoleGrant:
       • bindingDeltas:
       • Action: tindakan yang dilakukan oleh pengguna.
       • Role: peran yang ditetapkan kepada pengguna.
       • member: alamat email pengguna yang menerima peran.

Langkah 2: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.
2. Di halaman yang dimuat, cari resource IAM baru atau yang diperbarui menggunakan filter berikut:
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid: Akun Cloud.
2. Tinjau temuan terkait dengan mengklik link di baris Temuan terkait di tab Ringkasan pada detail temuan. Temuan terkait adalah jenis temuan yang sama dan instance serta jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project dengan akun yang disusupi.
• Hapus akun layanan yang disusupi, lalu ganti dan hapus semua kunci akses akun layanan untuk project yang disusupi. Setelah penghapusan, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses.
• Hapus resource project yang dibuat oleh akun yang tidak sah, seperti instance, snapshot, akun layanan, dan pengguna IAM Compute Engine yang tidak dikenal.
• Untuk membatasi penambahan pengguna gmail.com, gunakan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Persistence: New AI API Method

Aktivitas admin yang tidak normal untuk layanan AI oleh aktor yang berpotensi berbahaya terdeteksi di organisasi, folder, atau project. Aktivitas yang tidak wajar dapat berupa salah satu dari hal berikut:

• Aktivitas baru oleh akun utama di organisasi, folder, atau project
• Aktivitas yang sudah lama tidak terlihat, yang dilakukan oleh prinsipal dalam organisasi, folder, atau project

Langkah 1: Tinjau detail temuan

1. Buka temuan Persistence: New AI API Method seperti yang diarahkan dalam Meninjau temuan.

2. Di detail temuan, pada tab Ringkasan, catat nilai kolom berikut:

   • Di bagian Yang terdeteksi:
     • Email utama: akun yang melakukan panggilan
     • Nama metode: metode yang dipanggil
     • Resource AI: resource AI yang berpotensi terpengaruh, seperti resource Vertex AI dan model AI.
   • Di bagian Resource yang terpengaruh:
     • Nama tampilan resource: nama resource yang terpengaruh, yang dapat sama dengan nama organisasi, folder, atau project
     • Jalur resource: lokasi dalam hierarki resource tempat aktivitas terjadi

Langkah 2: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Persistensi.
2. Selidiki apakah tindakan tersebut diperlukan di organisasi, folder, atau project dan apakah tindakan tersebut dilakukan oleh pemilik akun yang sah. Organisasi, folder, atau project ditampilkan di kolom Jalur resource dan akun ditampilkan di baris Email utama.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Persistence: New API Method

Aktivitas admin yang tidak biasa oleh aktor yang berpotensi berbahaya terdeteksi di organisasi, folder, atau project. Aktivitas tidak normal dapat berupa salah satu dari hal berikut:

• Aktivitas baru oleh akun utama di organisasi, folder, atau project
• Aktivitas yang belum dilihat dalam waktu lama oleh prinsipal dalam organisasi, folder, atau project

Langkah 1: Tinjau detail temuan

1. Buka temuan Persistence: New API Method seperti yang diarahkan dalam Meninjau temuan.

2. Di detail temuan, pada tab Ringkasan, catat nilai kolom berikut:

   • Di bagian Yang terdeteksi:
     • Email utama: akun yang melakukan panggilan
     • Nama layanan: nama API layanan Google Cloud yang digunakan dalam tindakan
     • Nama metode: metode yang dipanggil
   • Di bagian Resource yang terpengaruh:
     • Nama tampilan resource: nama resource yang terpengaruh, yang bisa sama dengan nama organisasi, folder, atau project
     • Jalur resource: lokasi dalam hierarki resource tempat aktivitas terjadi

Langkah 2: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Persistensi.
2. Selidiki apakah tindakan tersebut diperlukan di organisasi, folder, atau project dan apakah tindakan tersebut dilakukan oleh pemilik akun yang sah. Organisasi, folder, atau project ditampilkan di baris Jalur resource dan akun ditampilkan di baris Email utama.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.

Persistence: New Geography

Temuan ini tidak tersedia untuk aktivasi level project.

Pengguna atau akun layanan IAM mengakses Google Cloud dari lokasi yang tidak biasa, berdasarkan geolokasi alamat IP yang meminta.

Langkah 1: Tinjau detail temuan

1. Buka temuan Persistence: New Geography, seperti yang diarahkan di bagian Meninjau detail temuan sebelumnya di halaman ini. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

• Apa yang terdeteksi, terutama kolom berikut:
  • Email utama: akun pengguna yang berpotensi disusupi.
• Resource yang terpengaruh, terutama kolom berikut:
  • Nama lengkap project: project yang berisi akun pengguna yang berpotensi disusupi.
• Link terkait, terutama kolom berikut:
  • Cloud Logging URI: link ke entri Logging.
  • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
  • Temuan terkait: link ke temuan terkait.

1. Di tampilan detail temuan, klik tab JSON.

2. Dalam JSON, perhatikan kolom sourceProperties berikut:

   • affectedResources:
     • gcpResourceName: resource yang terpengaruh
   • evidence:
     • sourceLogId:
     • projectId: ID project yang berisi temuan.
   • properties:
     • anomalousLocation:
     • anomalousLocation: perkiraan lokasi pengguna saat ini.
     • callerIp: alamat IP eksternal.
     • notSeenInLast: jangka waktu yang digunakan untuk menetapkan dasar pengukuran perilaku normal.
     • typicalGeolocations: lokasi tempat pengguna biasanya mengakses resourceGoogle Cloud .

Langkah 2: Tinjau izin project dan akun

1. Di konsol Google Cloud , buka halaman IAM.

   Buka IAM

2. Jika perlu, pilih project yang tercantum di kolom projectID dalam JSON temuan.

3. Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di Email akun utama dan periksa peran yang diberikan.

Langkah 3: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.
2. Jika perlu, pilih project Anda.
3. Di halaman yang dimuat, periksa log untuk aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid: Akun Cloud.
2. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project dengan akun yang disusupi.
• Tinjau kolom anomalousLocation, typicalGeolocations, dan notSeenInLast untuk memverifikasi apakah aksesnya tidak normal dan apakah akun telah disusupi.
• Hapus resource project yang dibuat oleh akun yang tidak sah, seperti instance, snapshot, akun layanan, dan pengguna IAM Compute Engine yang tidak dikenal.
• Untuk membatasi pembuatan resource baru ke region tertentu, lihat Membatasi lokasi resource.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Persistence: New Geography for AI Service

Temuan ini tidak tersedia untuk aktivasi level project.

Pengguna atau akun layanan IAM mengakses layanan AI dari lokasi yang tidak biasa, berdasarkan geolokasi alamat IP yang membuat permintaan. Google Cloud

Langkah 1: Tinjau detail temuan

1. Buka temuan Persistence: New Geography for AI Service, seperti yang diarahkan di bagian Meninjau detail temuan sebelumnya di halaman ini. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

• Apa yang terdeteksi, terutama kolom berikut:
  • Email utama: akun pengguna yang berpotensi disusupi.
  • Resource AI: resource AI yang berpotensi terpengaruh, seperti resource Vertex AI dan model AI.
• Resource yang terpengaruh, terutama kolom berikut:
  • Nama lengkap project: project yang berisi akun pengguna yang berpotensi disusupi.
• Link terkait, terutama kolom berikut:
  • Cloud Logging URI: link ke entri Logging.
  • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
  • Temuan terkait: link ke temuan terkait.

1. Di tampilan detail temuan, klik tab JSON.

2. Dalam JSON, perhatikan kolom sourceProperties berikut:

   • affectedResources:
     • gcpResourceName: resource yang terpengaruh
   • evidence:
     • sourceLogId:
     • projectId: ID project yang berisi temuan.
   • properties:
     • anomalousLocation:
     • anomalousLocation: perkiraan lokasi pengguna saat ini.
     • callerIp: alamat IP eksternal.
     • notSeenInLast: jangka waktu yang digunakan untuk menetapkan dasar pengukuran perilaku normal.
     • typicalGeolocations: lokasi tempat pengguna biasanya mengakses resourceGoogle Cloud .
   • aiModel:
     • name: AI yang terpengaruh Model
   • vertexAi:
     • datasets: set data Vertex AI yang terpengaruh
     • pipelines: pipeline pelatihan Vertex AI yang terpengaruh

Langkah 2: Tinjau izin project dan akun

1. Di konsol Google Cloud , buka halaman IAM.

   Buka IAM

2. Jika perlu, pilih project yang tercantum di kolom projectID dalam JSON temuan.

3. Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di Email akun utama dan periksa peran yang diberikan.

Langkah 3: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.
2. Jika perlu, pilih project Anda.
3. Di halaman yang dimuat, periksa log untuk aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid: Akun Cloud.
2. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project dengan akun yang disusupi.
• Tinjau kolom anomalousLocation, typicalGeolocations, dan notSeenInLast untuk memverifikasi apakah aksesnya tidak normal dan apakah akun telah disusupi.
• Hapus resource project yang dibuat oleh akun yang tidak sah, seperti instance, snapshot, akun layanan, dan pengguna IAM Compute Engine yang tidak dikenal.
• Untuk membatasi pembuatan resource baru ke region tertentu, lihat Membatasi lokasi resource.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Persistence: New User Agent

Temuan ini tidak tersedia untuk aktivasi level project.

Akun layanan IAM mengakses Google Cloud menggunakan software yang mencurigakan, seperti yang ditunjukkan oleh agen pengguna yang anomali.

Langkah 1: Tinjau detail temuan

1. Buka temuan Persistence: New User Agent, seperti yang diarahkan di Meninjau detail temuan sebelumnya di halaman ini. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email akun utama: akun layanan yang berpotensi disusupi.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap project: project yang berisi akun layanan yang berpotensi disusupi.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.
   1. Di tampilan detail temuan, klik tab JSON.
   2. Dalam JSON, perhatikan kolom berikut.
   • projectId: project yang berisi akun layanan yang berpotensi disusupi.
   • callerUserAgent: agen pengguna yang anomali.
   • anomalousSoftwareClassification: jenis software.
   • notSeenInLast: jangka waktu yang digunakan untuk menetapkan dasar pengukuran perilaku normal.

Langkah 2: Tinjau izin project dan akun

1. Di konsol Google Cloud , buka halaman IAM.

   Buka IAM

2. Jika perlu, pilih project yang tercantum di projectId.

3. Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di baris Email akun utama di tab Ringkasan pada detail temuan dan periksa peran yang diberikan.

4. Di konsol Google Cloud , buka halaman Service Accounts.

   Buka Akun Layanan

5. Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di baris Email utama di tab Ringkasan pada detail temuan.

6. Periksa kunci akun layanan dan tanggal pembuatan kunci.

Langkah 3: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.
2. Jika perlu, pilih project Anda.
3. Di halaman yang dimuat, periksa log untuk aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:
   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid: Akun Cloud.
2. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project dengan akun yang disusupi.
• Tinjau kolom anomalousSoftwareClassification, callerUserAgent, dan behaviorPeriod untuk memverifikasi apakah akses tidak normal dan apakah akun telah disusupi.
• Hapus resource project yang dibuat oleh akun yang tidak sah, seperti instance, snapshot, akun layanan, dan pengguna IAM Compute Engine yang tidak dikenal.
• Untuk membatasi pembuatan resource baru ke region tertentu, lihat Membatasi lokasi resource.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Persistence: Service Account Created in sensitive namespace

Seseorang membuat akun layanan di namespace yang sensitif. Namespacekube-system dan kube-public sangat penting untuk operasi cluster GKE, dan akun layanan yang tidak sah dapat membahayakan stabilitas dan keamanan cluster. 1. Jika akun layanan tidak sah, hapus akun tersebut dan selidiki metode pembuatannya.

Persistence: Unmanaged Account Granted Sensitive Role

Mendeteksi peristiwa saat peran sensitif diberikan ke akun yang tidak dikelola Akun yang tidak dikelola tidak dapat dikontrol oleh administrator sistem. Misalnya, saat karyawan yang bersangkutan keluar dari perusahaan, administrator tidak dapat menghapus akun tersebut. Oleh karena itu, memberikan peran sensitif ke akun yang tidak dikelola akan menimbulkan potensi risiko keamanan bagi organisasi.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Persistence: Unmanaged Account Granted Sensitive Role, seperti yang diarahkan dalam Meninjau temuan.

2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

   Di bagian Yang terdeteksi:

   • Email utama: pengguna yang melakukan tindakan pemberian
   • Pemberian akses yang melanggar.Nama prinsipal: akun yang tidak dikelola yang menerima pemberian akses
   • Pemberian akses yang melanggar.Peran yang diberikan: peran sensitif yang diberikan

Langkah 2: Meneliti metode serangan dan respons

1. Hubungi pemilik kolom Email utama. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
2. Tanyakan kepada pemilik kolom Pemberian akses yang melanggar.Nama prinsipal, pahami asal akun yang tidak dikelola.

Langkah 3: Periksa log

1. Di tab Ringkasan pada panel detail temuan, di bagian Link terkait, klik link URI Cloud Logging untuk membuka Logs Explorer.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Hapus akses pemilik Email utama jika akunnya disusupi.
• Hapus peran sensitif yang baru diberikan dari akun yang tidak dikelola.
• Pertimbangkan untuk mengonversi akun yang tidak dikelola menjadi akun terkelola menggunakan alat transfer, dan memindahkan akun ini di bawah kontrol administrator sistem.

Privilege Escalation: AlloyDB Database Superuser Writes to User Tables

Mendeteksi saat akun superuser database AlloyDB untuk PostgreSQL (postgres) menulis ke tabel pengguna. Pengguna super (peran dengan akses yang sangat luas) umumnya tidak boleh digunakan untuk menulis ke tabel pengguna. Akun pengguna dengan akses yang lebih terbatas harus digunakan untuk aktivitas harian normal. Saat superuser menulis ke tabel pengguna, hal itu dapat menunjukkan bahwa penyerang telah meningkatkan hak istimewa atau telah membahayakan pengguna database default dan sedang mengubah data. Hal ini juga dapat menunjukkan praktik yang normal tetapi tidak aman.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: AlloyDB Database Superuser Writes to User Tables seperti yang diarahkan dalam Meninjau temuan.

2. Di tab Ringkasan pada panel detail temuan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Nama tampilan database: nama database di instance AlloyDB untuk PostgreSQL yang terpengaruh.
     • Nama pengguna database: superuser.
     • Kueri database: kueri SQL yang dijalankan saat menulis ke tabel pengguna.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama resource instance AlloyDB untuk PostgreSQL yang terpengaruh.
     • Nama lengkap induk: nama resource instance AlloyDB untuk PostgreSQL.
     • Nama lengkap project: project Google Cloud yang berisi instance AlloyDB untuk PostgreSQL.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.

3. Untuk melihat JSON lengkap temuan, klik tab JSON.

Langkah 2: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di cloudLoggingQueryURI (dari Langkah 1). Halaman Logs Explorer mencakup semua log yang terkait dengan instance AlloyDB for PostgreSQL yang relevan.
2. Periksa log pgaudit PostgreSQL, yang berisi kueri yang dijalankan oleh superuser, dengan menggunakan filter berikut:
   • protoPayload.request.user="postgres"

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exfiltrasi Melalui Layanan Web.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Tinjau pengguna yang diizinkan untuk terhubung ke database.
• Pertimbangkan untuk mengubah sandi untuk pengguna super.
• Pertimbangkan pembuatan pengguna baru dengan akses terbatas untuk berbagai jenis kueri yang digunakan di instance.
  • Hanya berikan izin yang diperlukan kepada pengguna baru untuk menjalankan kueri mereka.
  • Perbarui kredensial untuk klien yang terhubung ke instance AlloyDB untuk PostgreSQL

Privilege Escalation: AlloyDB Over-Privileged Grant

Mendeteksi saat semua hak istimewa atas database AlloyDB untuk PostgreSQL (atau semua fungsi atau prosedur dalam database) diberikan kepada satu atau beberapa pengguna database.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: AlloyDB Over-Privileged Grant seperti yang diarahkan dalam Meninjau temuan.

2. Di tab Ringkasan pada panel detail temuan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Nama tampilan database: nama database di instance AlloyDB untuk PostgreSQL yang terpengaruh.
     • Nama pengguna database: pengguna PostgreSQL yang memberikan hak istimewa berlebih.
     • Kueri database: kueri PostgreSQL yang dijalankan dan memberikan hak istimewa.
     • Penerima akses database: penerima akses hak istimewa yang terlalu luas.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama resource instance AlloyDB untuk PostgreSQL yang terpengaruh.
     • Nama lengkap induk: nama resource instance AlloyDB untuk PostgreSQL.
     • Nama lengkap project: project Google Cloud yang berisi instance AlloyDB untuk PostgreSQL.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.

3. Untuk melihat JSON lengkap temuan, klik tab JSON.

Langkah 2: Tinjau hak istimewa database

1. Hubungkan ke instance AlloyDB untuk PostgreSQL.
2. Mencantumkan dan menampilkan hak istimewa akses untuk hal berikut:
   • Database. Gunakan metacommand \l atau \list dan periksa hak istimewa yang ditetapkan untuk database yang tercantum di Nama tampilan database (dari Langkah 1).
   • Fungsi atau prosedur. Gunakan metaperintah \df dan periksa hak istimewa yang ditetapkan untuk fungsi atau prosedur dalam database yang tercantum di Nama tampilan database (dari Langkah 1).

Langkah 3: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer mencakup semua log yang terkait dengan instance Cloud SQL yang relevan.
2. Di Logs Explorer, periksa log pgaudit PostgreSQL, yang mencatat kueri yang dijalankan ke database, dengan menggunakan filter berikut:
   • protoPayload.request.database="var class="edit">database"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exfiltrasi Melalui Layanan Web.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik instance dengan pemberian hak istimewa berlebih.
• Pertimbangkan untuk mencabut semua izin untuk penerima hibah yang tercantum di Penerima hibah database hingga penyelidikan selesai.
• Untuk membatasi akses ke database (dari Nama tampilan database di Langkah 1, cabut izin yang tidak perlu dari penerima (dari Penerima akses database di Langkah 1.

Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity

Anomalous Impersonation of Service Account terdeteksi dengan memeriksa Log Audit Aktivitas Admin untuk melihat apakah ada anomali dalam permintaan peniruan identitas akun layanan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud.
     • Nama layanan: nama API dari layanan Google Cloud yang terlibat dalam permintaan peniruan identitas.
     • Nama metode: metode yang dipanggil.
     • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: Nama cluster.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

Langkah 2: Meneliti metode serangan dan respons

1. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
2. Selidiki penerima hak istimewa dalam rantai pendelegasian untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang disusupi.
3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta mengganti dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Google Cloud Dukungan.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Privilege Escalation: Anomalous Impersonation of Service Account for AI Admin Activity

Anomalous Impersonation of Service Account terdeteksi saat log audit Aktivitas Admin layanan AI menunjukkan bahwa anomali terjadi dalam permintaan peniruan identitas akun layanan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Anomalous Impersonation of Service Account for AI Admin Activity, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud.
     • Nama metode: metode yang dipanggil.
     • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi. Akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas.
     • Resource AI: resource AI yang berpotensi terpengaruh, seperti resource Vertex AI dan model AI.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama cluster.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

Langkah 2: Meneliti metode serangan dan respons

1. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
2. Selidiki penerima hak istimewa dalam rantai pendelegasian untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang disusupi.
3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi dan ganti serta hapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Merespons notifikasi apa pun dari Cloud Customer Care.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity

Anomalous Multistep Service Account Delegation terdeteksi dengan memeriksa log audit Aktivitas Admin untuk melihat apakah ada anomali dalam permintaan peniruan identitas akun layanan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud.
     • Nama layanan: nama API dari layanan Google Cloud yang terlibat dalam permintaan peniruan identitas.
     • Nama metode: metode yang dipanggil.
     • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas.
   • Resource yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

Langkah 2: Meneliti metode serangan dan respons

1. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
2. Selidiki penerima hak istimewa dalam rantai pendelegasian untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang disusupi.
3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta mengganti dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Google Cloud Dukungan.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Admin Activity

Anomalous Multistep Service Account Delegation terdeteksi saat log audit Aktivitas Admin layanan AI menunjukkan bahwa anomali terjadi dalam permintaan peniruan akun layanan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Admin Activity, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud.
     • Nama metode: metode yang dipanggil.
     • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi. Akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas.
     • Resource AI: resource AI yang berpotensi terpengaruh, seperti resource Vertex AI dan model AI.
   • Resource yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

Langkah 2: Meneliti metode serangan dan respons

1. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
2. Selidiki penerima hak istimewa dalam rantai pendelegasian untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang disusupi.
3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta mengganti dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Merespons notifikasi apa pun dari Cloud Customer Care.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access

Anomalous Multistep Service Account Delegation terdeteksi saat log audit Aktivitas Admin layanan AI menunjukkan bahwa anomali terjadi dalam permintaan peniruan akun layanan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud
     • Nama metode: metode yang dipanggil
     • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi. Principal di bagian bawah daftar adalah pemanggil permintaan peniruan identitas
     • Resource AI: resource AI yang berpotensi terpengaruh, seperti resource Vertex AI dan model AI.
   • Resource yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

Langkah 2: Meneliti metode serangan dan respons

1. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
2. Selidiki penerima hak istimewa dalam rantai pendelegasian untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang disusupi.
3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi dan ganti serta hapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Merespons notifikasi apa pun dari Cloud Customer Care.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access

Anomalous Multistep Service Account Delegation terdeteksi dengan memeriksa Log Audit Akses Data untuk melihat apakah ada anomali dalam permintaan peniruan identitas akun layanan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud
     • Nama layanan: nama API dari layanan Google Cloud yang terlibat dalam permintaan peniruan identitas
     • Nama metode: metode yang dipanggil
     • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas
   • Resource yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

Langkah 2: Meneliti metode serangan dan respons

1. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
2. Selidiki penerima hak istimewa dalam rantai pendelegasian untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang disusupi.
3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta mengganti dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Google Cloud Dukungan.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity

Anomalous Service Account Impersonator terdeteksi dengan memeriksa Log Audit Aktivitas Admin untuk melihat apakah ada anomali dalam permintaan peniruan identitas akun layanan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:

     • Email akun utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud
     • Nama layanan: nama API layanan Google Cloud yang terlibat dalam permintaan peniruan identitas
     • Nama metode: metode yang dipanggil
     • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas

   • Resource yang terpengaruh

   • Link terkait, terutama kolom berikut:

     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

Langkah 2: Meneliti metode serangan dan respons

1. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
2. Selidiki penerima hak istimewa dalam rantai pendelegasian untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang disusupi.
3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta mengganti dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Google Cloud Dukungan.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity

Anomalous Service Account Impersonator terdeteksi saat log audit Aktivitas Admin layanan AI menunjukkan bahwa anomali terjadi dalam permintaan peniruan identitas akun layanan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud
     • Nama metode: metode yang dipanggil
     • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi. Principal di bagian bawah daftar adalah pemanggil permintaan peniruan identitas
     • Resource AI: resource AI yang berpotensi terpengaruh, seperti resource Vertex AI dan model AI.
   • Resource yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

Langkah 2: Meneliti metode serangan dan respons

1. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
2. Selidiki penerima hak istimewa dalam rantai pendelegasian untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang disusupi.
3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi dan ganti serta hapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Merespons notifikasi apa pun dari Cloud Customer Care.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access

Anomalous Service Account Impersonator terdeteksi saat log audit Aktivitas Admin layanan AI menunjukkan bahwa anomali terjadi dalam permintaan peniruan identitas akun layanan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access, seperti yang diarahkan dalam Meninjau temuan.

2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

   Di bagian Yang terdeteksi:

   • Email utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud
   • Nama metode: metode yang dipanggil
   • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi. Akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas
   • Resource AI: resource AI yang berpotensi terpengaruh, seperti resource Vertex AI dan model AI.

Langkah 2: Meneliti metode serangan dan respons

1. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
2. Selidiki penerima hak istimewa dalam rantai pendelegasian untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang disusupi.
3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta mengganti dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Merespons notifikasi apa pun dari Cloud Customer Care.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Privilege Escalation: Anomalous Service Account Impersonator for Data Access

Anomalous Service Account Impersonator terdeteksi dengan memeriksa Log Audit Akses Data untuk melihat apakah ada anomali dalam permintaan peniruan identitas akun layanan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Anomalous Service Account Impersonator for Data Access, seperti yang diarahkan dalam Meninjau temuan.

2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

   Di bagian Yang terdeteksi:

   • Email akun utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud
   • Nama layanan: nama API layanan Google Cloud yang terlibat dalam permintaan peniruan identitas
   • Nama metode: metode yang dipanggil
   • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas

Langkah 2: Meneliti metode serangan dan respons

1. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
2. Selidiki penerima hak istimewa dalam rantai pendelegasian untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang disusupi.
3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi dan ganti serta hapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Google Cloud Dukungan.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Privilege Escalation: Changes to sensitive Kubernetes RBAC objects

Untuk meningkatkan hak istimewa, aktor yang berpotensi berbahaya mencoba mengubah objek kontrol akses berbasis peran (RBAC) ClusterRole, RoleBinding, atau ClusterRoleBinding dari peran cluster-admin yang sensitif dengan menggunakan permintaan PUT atau PATCH.

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Changes to sensitive Kubernetes RBAC objects seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan panggilan.
     • Nama metode: metode yang dipanggil.
     • Binding Kubernetes: binding Kubernetes sensitif atau ClusterRoleBinding yang diubah.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Di bagian Yang terdeteksi, klik nama binding di baris Binding Kubernetes. Detail binding akan ditampilkan.

4. Dalam binding yang ditampilkan, perhatikan detail binding.

Langkah 2: Periksa log

1. Di tab Ringkasan detail temuan di konsol Google Cloud , buka Logs Explorer dengan mengklik link di kolom URI Cloud Logging.

2. Jika nilai di Nama metode adalah metode PATCH, periksa isi permintaan untuk melihat properti yang diubah.

   Dalam panggilan update (PUT), seluruh objek dikirim dalam permintaan, sehingga perubahannya tidak terlalu jelas.

3. Periksa tindakan lain yang dilakukan oleh kepala sekolah menggunakan filter berikut:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ganti kode berikut:

   • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

   • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Akses
2. Konfirmasi sensitivitas objek dan apakah modifikasi diperlukan.
3. Untuk binding, Anda dapat memeriksa subjek dan menyelidiki apakah subjek memerlukan peran yang terikat dengannya.
4. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh principal dalam log.

5. Jika email utama bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

   Jika email akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber modifikasi untuk menentukan keabsahannya.

6. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Privilege Escalation: ClusterRole with Privileged Verbs

Seseorang membuat objek ClusterRole RBAC yang berisi kata kerja bind, escalate, atau impersonate. Subjek yang terikat ke peran dengan kata kerja ini dapat meniru identitas pengguna lain dengan hak istimewa yang lebih tinggi, terikat ke objek Role atau ClusterRole tambahan yang berisi izin tambahan, atau mengubah izin ClusterRole mereka sendiri. Hal ini dapat menyebabkan subjek tersebut mendapatkan hak istimewa cluster-admin. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.

1. Tinjau ClusterRole dan ClusterRoleBindings terkait untuk memeriksa apakah subjek benar-benar memerlukan izin ini.
2. Jika memungkinkan, hindari membuat peran yang melibatkan kata kerja bind, escalate, atau impersonate.
3. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh principal dalam log audit di Cloud Logging.
4. Saat menetapkan izin dalam peran RBAC, gunakan prinsip hak istimewa terendah dan berikan izin minimum yang diperlukan untuk melakukan tugas. Menggunakan prinsip hak istimewa terendah akan mengurangi potensi eskalasi hak istimewa jika cluster Anda disusupi, dan mengurangi kemungkinan akses yang berlebihan menyebabkan insiden keamanan.

Privilege Escalation: ClusterRoleBinding to Privileged Role

Seseorang membuat ClusterRoleBinding RBAC yang mereferensikan system:controller:clusterrole-aggregation-controller ClusterRole default. ClusterRole default ini memiliki kata kerja escalate, yang memungkinkan subjek mengubah hak istimewa perannya sendiri, sehingga memungkinkan eskalasi hak istimewa. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.

1. Tinjau ClusterRoleBinding yang mereferensikan system:controller:clusterrole-aggregation-controller ClusterRole.
2. Tinjau setiap modifikasi pada system:controller:clusterrole-aggregation-controller ClusterRole.
3. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh principal yang membuat ClusterRoleBinding di log audit di Cloud Logging.

Privilege Escalation: Create Kubernetes CSR for master cert

Untuk mengeskalasikan hak istimewa, aktor yang berpotensi berbahaya membuat permintaan penandatanganan sertifikat (CSR) master Kubernetes, yang memberi mereka akses cluster-admin.

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Create Kubernetes CSR for master cert seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan panggilan.
     • Nama metode: metode yang dipanggil.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

Langkah 2: Periksa log

1. Di tab Ringkasan detail temuan di konsol Google Cloud , buka Logs Explorer dengan mengklik link di kolom URI Cloud Logging.
2. Periksa nilai di kolom protoPayload.resourceName untuk mengidentifikasi permintaan penandatanganan sertifikat tertentu.

3. Periksa tindakan lain yang dilakukan oleh kepala sekolah menggunakan filter berikut:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ganti kode berikut:

   • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

   • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Akses.
2. Selidiki apakah pemberian akses cluster-admin dapat dibenarkan.

3. Jika email utama bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

   Jika email akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan keabsahannya.

4. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Privilege Escalation: Creation of sensitive Kubernetes bindings

Untuk meningkatkan hak istimewa, pihak yang berpotensi jahat mencoba membuat objek RoleBinding atau ClusterRoleBinding baru untuk peran cluster-admin.

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Creation of sensitive Kubernetes bindings seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan panggilan.
     • Binding Kubernetes: binding Kubernetes sensitif atau ClusterRoleBinding yang dibuat.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

Langkah 2: Periksa log

1. Di tab Ringkasan detail temuan di konsol Google Cloud , buka Logs Explorer dengan mengklik link di kolom URI Cloud Logging.

2. Periksa tindakan lain yang dilakukan oleh kepala sekolah menggunakan filter berikut:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ganti kode berikut:

   • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

   • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Akses.
2. Konfirmasi sensitivitas binding yang dibuat dan apakah peran diperlukan untuk subjek.
3. Untuk binding, Anda dapat memeriksa subjek dan menyelidiki apakah subjek memerlukan peran yang terikat dengannya.
4. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh principal dalam log.

5. Jika email utama bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

   Jika email akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan keabsahannya.

6. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Privilege Escalation: Default Compute Engine Service Account SetIAMPolicy

Mendeteksi saat akun layanan Compute Engine default digunakan untuk menetapkan kebijakan IAM untuk layanan Cloud Run. Ini adalah potensi tindakan pasca-eksploitasi saat token Compute Engine disusupi dari layanan serverless.

Untuk menanggapi temuan ini, lakukan hal berikut:

1. Tinjau log audit di Cloud Logging untuk menentukan apakah ini adalah aktivitas yang diharapkan oleh akun utama.
2. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh principal dalam log.

Privilege Escalation: Dormant Service Account Granted Sensitive Role

Mendeteksi peristiwa saat peran IAM sensitif diberikan ke akun layanan yang dikelola pengguna yang tidak aktif. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Dormant Service Account Granted Sensitive Role seperti yang diarahkan dalam Meninjau temuan.

2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

   Di bagian Yang terdeteksi:

   • Email utama: pengguna yang melakukan tindakan pemberian
   • Pemberian akses yang melanggar.Nama akun utama: Akun layanan tidak aktif yang menerima peran sensitif
   • Pemberian akses yang melanggar.Peran yang diberikan: Peran IAM sensitif yang ditetapkan

   Di bagian Resource yang terpengaruh:

   • Nama tampilan resource: organisasi, folder, atau project tempat peran IAM sensitif diberikan kepada akun layanan tidak aktif.

Langkah 2: Meneliti metode serangan dan respons

1. Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang tidak aktif.
2. Hubungi pemilik kolom Email utama. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Periksa log

1. Di tab Ringkasan pada panel detail temuan, di bagian Link terkait, klik link URI Cloud Logging untuk membuka Logs Explorer.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Hapus akses pemilik Email utama jika akunnya disusupi.
• Hapus peran IAM sensitif yang baru ditetapkan dari akun layanan tidak aktif.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta mengganti dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Merespons notifikasi apa pun dari Cloud Customer Care.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi rekomendasi IAM.

Privilege Escalation: Effectively Anonymous Users Granted GKE Cluster Access

Seseorang membuat binding RBAC yang mereferensikan salah satu pengguna atau grup berikut:

• system:anonymous
• system:authenticated
• system:unauthenticated

Pengguna dan grup ini secara efektif bersifat anonim dan harus dihindari saat membuat binding peran atau binding peran cluster ke peran RBAC apa pun. Tinjau pengikatan untuk memastikan bahwa pengikatan tersebut diperlukan. Jika pengikatan tidak diperlukan, hapus pengikatan. Untuk mengetahui detail selengkapnya, lihat pesan log untuk temuan ini.

1. Tinjau semua binding yang dibuat yang memberikan izin kepada pengguna system:anonymous, system:unauthenticated group, atau system:authenticated grup.
2. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh principal dalam log audit di Cloud Logging.

Jika ada tanda-tanda aktivitas berbahaya, tinjau panduan untuk menyelidiki dan menghapus binding yang memungkinkan akses ini.

Privilege Escalation: External Member Added To Privileged Group

Temuan ini tidak tersedia untuk aktivasi level project.

Mendeteksi saat anggota eksternal ditambahkan ke Grup Google yang memiliki hak istimewa (grup yang diberi peran atau izin sensitif). Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: External Member Added To Privileged Group seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan perubahan.
   • Resource yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Di panel detail, klik tab JSON.

4. Dalam JSON, perhatikan kolom berikut.

   • groupName: Google Grup tempat perubahan dilakukan
   • externalMember: anggota eksternal yang baru ditambahkan
   • sensitiveRoles: peran sensitif yang terkait dengan grup ini

Langkah 2: Tinjau anggota grup

1. Buka Google Grup.

   Buka Google Grup

2. Klik nama grup yang ingin Anda tinjau.

3. Di menu navigasi, klik Anggota.

4. Jika anggota eksternal yang baru ditambahkan tidak boleh berada dalam grup ini, klik kotak centang di samping nama anggota, lalu pilih remove_circle_outline Hapus anggota atau not_interested Blokir anggota.

   Untuk menghapus anggota, Anda harus menjadi Admin Google Workspace, atau diberi peran Pemilik atau Pengelola di Grup Google. Untuk mengetahui informasi selengkapnya, lihat Menetapkan peran ke anggota grup.

Langkah 3: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.

2. Jika perlu, pilih project Anda.

3. Di halaman yang dimuat, periksa log untuk perubahan keanggotaan Grup Google menggunakan filter berikut:

   • protoPayload.methodName="google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials

Untuk mengeskalasikan hak istimewa, aktor yang berpotensi berbahaya membuat kueri untuk permintaan penandatanganan sertifikat (CSR), dengan perintah kubectl, menggunakan kredensial bootstrap yang disusupi.

Berikut adalah contoh perintah yang dideteksi oleh aturan ini:

kubectl --client-certificate kubelet.crt --client-key kubelet.key --server YOUR_SERVER get csr CSR_NAME

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan panggilan.
     • Nama metode: metode yang dipanggil.
   • Di bagian Resource yang terpengaruh:
     • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

Langkah 2: Periksa log

Jika nama metode, yang Anda catat di kolom Nama metode dalam detail temuan, adalah metode GET, lakukan hal berikut:

1. Di tab Ringkasan detail temuan di konsol Google Cloud , buka Logs Explorer dengan mengklik link di kolom URI Cloud Logging.
2. Periksa nilai di kolom protoPayload.resourceName untuk mengidentifikasi permintaan penandatanganan sertifikat tertentu.

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Akses.
2. Jika CSR tertentu tersedia di entri log, selidiki sensitivitas sertifikat dan apakah tindakan tersebut diperlukan.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Privilege Escalation: Impersonation Role Granted for Dormant Service Account

Mendeteksi peristiwa saat peran peniruan identitas diberikan kepada akun utama yang memungkinkan akun utama tersebut meniru identitas akun layanan yang dikelola pengguna yang tidak aktif. Dalam temuan ini, akun layanan yang tidak aktif adalah resource yang terpengaruh, dan akun layanan dianggap tidak aktif jika telah tidak aktif selama lebih dari 180 hari.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Impersonation Role Granted for Dormant Service Account seperti yang diarahkan dalam Meninjau temuan.

2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

   Di bagian Yang terdeteksi:

   • Email utama: pengguna yang melakukan tindakan pemberian
   • Pemberian akses yang melanggar.Nama akun utama: akun utama yang diberi peran peniruan identitas

   Di bagian Resource yang terpengaruh:

   • Nama tampilan resource: akun layanan tidak aktif sebagai resource
   • Nama lengkap project: project tempat akun layanan tidak aktif tersebut berada

Langkah 2: Meneliti metode serangan dan respons

1. Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang tidak aktif.
2. Hubungi pemilik kolom Email utama. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Periksa log

1. Di tab Ringkasan pada panel detail temuan, di bagian Link terkait, klik link URI Cloud Logging untuk membuka Logs Explorer.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Hapus akses pemilik Email utama jika akunnya disusupi.
• Hapus peran peniruan identitas yang baru diberikan dari anggota target.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta mengganti dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Merespons notifikasi apa pun dari Cloud Customer Care.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi rekomendasi IAM.

Privilege Escalation: Launch of privileged Kubernetes container

Pihak yang berpotensi jahat membuat Pod yang berisi container dengan hak istimewa atau container dengan kemampuan eskalasi hak istimewa.

Container dengan hak istimewa memiliki kolom privileged yang ditetapkan ke true. Container dengan kemampuan eskalasi hak istimewa memiliki kolom allowPrivilegeEscalation yang ditetapkan ke true. Untuk mengetahui informasi selengkapnya, lihat referensi API SecurityContext v1 core dalam dokumentasi Kubernetes.

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Launch of privileged Kubernetes container seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan panggilan.
     • Pod Kubernetes: Pod yang baru dibuat dengan container istimewa.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Di tab JSON, perhatikan nilai kolom temuan:

   • findings.kubernetes.pods[].containers: container dengan hak istimewa yang muncul dalam Pod.

Langkah 2: Periksa log

1. Di tab Ringkasan detail temuan di konsol Google Cloud , buka Logs Explorer dengan mengklik link di kolom URI Cloud Logging.

2. Periksa tindakan lain yang dilakukan oleh kepala sekolah menggunakan filter berikut:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ganti kode berikut:

   • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

   • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Akses.
2. Konfirmasi bahwa penampung yang dibuat memerlukan akses ke resource host dan kemampuan kernel.
3. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh principal dalam log.

4. Jika email akun utama bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

   Jika email akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan keabsahannya.

5. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Privilege Escalation: Privileged Group Opened To Public

Temuan ini tidak tersedia untuk aktivasi level project.

Mendeteksi saat Grup Google istimewa (grup yang diberi peran atau izin sensitif) diubah agar dapat diakses oleh publik. Untuk menanggapi temuan ini, lakukan langkah berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Privileged Group Opened To Public seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan perubahan, yang mungkin disusupi.
   • Resource yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.
   1. Klik tab JSON.
   2. Dalam JSON, perhatikan kolom berikut.
   • groupName: Google Grup tempat perubahan dilakukan
   • sensitiveRoles: peran sensitif yang terkait dengan grup ini
   • whoCanJoin: setelan kemampuan bergabung grup

Langkah 2: Tinjau setelan akses grup

1. Buka Konsol Admin untuk Google Grup. Anda harus menjadi Admin Google Workspace untuk login ke konsol.

   Buka Konsol Admin

2. Di panel navigasi, klik Direktori, lalu pilih Grup.

3. Klik nama grup yang ingin Anda tinjau.

4. Klik Setelan Akses, lalu, di bagian Siapa yang dapat bergabung ke grup, tinjau setelan kemampuan bergabung grup.

5. Di menu drop-down, jika perlu, ubah setelan kemampuan bergabung.

Langkah 3: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.

2. Jika perlu, pilih project Anda.

3. Di halaman yang dimuat, periksa log untuk perubahan setelan Grup Google menggunakan filter berikut:

   • protoPayload.methodName="google.admin.AdminService.changeGroupSetting"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Privilege Escalation: Sensitive Role Granted To Hybrid Group

Mendeteksi saat peran atau izin sensitif diberikan kepada Grup Google dengan anggota eksternal. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Sensitive Role Granted To Hybrid Group seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan perubahan, yang mungkin disusupi.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: resource tempat peran baru diberikan.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.
   1. Klik tab JSON.
   2. Dalam JSON, perhatikan kolom berikut.
   • groupName: Google Grup tempat perubahan dilakukan
   • bindingDeltas: peran sensitif yang baru diberikan kepada grup ini.

Langkah 2: Tinjau izin grup

1. Buka halaman IAM di konsol Google Cloud .

   Buka IAM

2. Di kolom Filter, masukkan nama akun yang tercantum di groupName.

3. Tinjau peran sensitif yang diberikan kepada grup.

4. Jika peran sensitif yang baru ditambahkan tidak diperlukan, cabut peran tersebut.

   Anda memerlukan izin tertentu untuk mengelola peran di organisasi atau project Anda. Untuk informasi selengkapnya, lihat Izin yang diperlukan.

Langkah 3: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.

2. Jika perlu, pilih project Anda.

3. Di halaman yang dimuat, periksa log untuk perubahan setelan Grup Google menggunakan filter berikut:

   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Privilege Escalation: Suspicious Kubernetes Container Names - Exploitation and Escape

Seseorang men-deploy Pod dengan konvensi penamaan yang mirip dengan alat umum yang digunakan untuk pelepasan container atau untuk mengeksekusi serangan lain pada cluster. Untuk mengetahui detail selengkapnya, lihat pesan log untuk notifikasi ini.

1. Pastikan bahwa Pod tersebut sah.
2. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya dari Pod atau principal dalam log audit di Cloud Logging.
3. Jika akun utama bukan akun layanan (IAM atau Kubernetes), hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
4. Jika akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan keabsahannya.
5. Jika Pod tidak sah, hapus Pod tersebut, beserta binding RBAC dan akun layanan terkait yang digunakan beban kerja dan yang memungkinkan pembuatannya.

Privilege Escalation: Workload Created with a Sensitive Host Path Mount

Seseorang membuat workload yang berisi pemasangan volume hostPath ke jalur sensitif pada sistem file node host. Akses ke jalur ini di sistem file host dapat digunakan untuk mengakses informasi sensitif atau istimewa di node dan untuk container escape. Jika memungkinkan, jangan izinkan volume hostPath apa pun di cluster Anda. Untuk mengetahui detail selengkapnya, lihat pesan log untuk notifikasi ini.

1. Tinjau beban kerja untuk menentukan apakah volume hostPath ini diperlukan untuk fungsi yang dimaksud. Jika ya, pastikan jalur tersebut menuju direktori yang paling spesifik. Misalnya, /etc/myapp/myfiles, bukan / atau /etc.
2. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya yang terkait dengan beban kerja ini dalam log audit di Cloud Logging.

Untuk memblokir pemasangan volume hostPath di cluster, lihat panduan untuk menerapkan Standar Keamanan Pod.

Privilege Escalation: Workload with shareProcessNamespace enabled

Seseorang men-deploy workload dengan opsi shareProcessNamespace yang ditetapkan ke true, sehingga semua container dapat berbagi namespace proses Linux yang sama. Hal ini dapat memungkinkan penampung yang tidak tepercaya atau disusupi untuk melakukan eskalasi hak istimewa dengan mengakses dan mengontrol variabel lingkungan, memori, dan data sensitif lainnya dari proses yang berjalan di penampung lain. Beberapa workload mungkin memerlukan fungsi ini untuk beroperasi karena alasan yang sah, seperti penanganan log container pendamping atau container pen-debug. Untuk mengetahui detail selengkapnya, lihat pesan log untuk notifikasi ini.

1. Pastikan bahwa workload benar-benar memerlukan akses ke namespace proses bersama untuk semua container dalam workload.
2. Periksa apakah ada tanda-tanda lain dari aktivitas berbahaya oleh akun utama di log audit di Cloud Logging.
3. Jika akun utama bukan akun layanan (IAM atau Kubernetes), hubungi pemilik akun untuk mengonfirmasi apakah mereka melakukan tindakan tersebut.
4. Jika akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi keabsahan penyebab akun layanan tersebut melakukan tindakan ini.

Service account self-investigation

Kredensial akun layanan sedang digunakan untuk menyelidiki peran dan izin yang terkait dengan akun layanan yang sama. Temuan ini menunjukkan bahwa kredensial akun layanan mungkin disusupi dan tindakan segera harus diambil.

Langkah 1: Tinjau detail temuan

1. Buka temuan Discovery: Service Account Self-Investigation, seperti yang diarahkan di Meninjau detail temuan sebelumnya di halaman ini. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Keparahan: tingkat risiko yang ditetapkan untuk temuan. Tingkat keparahan adalah HIGH jika panggilan API yang memicu temuan ini tidak sah—akun layanan tidak memiliki izin untuk mengkueri izin IAM-nya sendiri dengan projects.getIamPolicy API.
     • Email akun utama: akun layanan yang berpotensi disusupi.
     • IP pemanggil: alamat IP internal atau eksternal
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource:
     • Nama lengkap project: project yang berisi kredensial akun yang berpotensi bocor.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.
   1. Untuk melihat JSON lengkap temuan, klik tab JSON.

Langkah 2: Tinjau izin project dan akun layanan

1. Di konsol Google Cloud , buka halaman IAM.

   Buka IAM

2. Jika perlu, pilih project yang tercantum di kolom projectID pada JSON temuan.

3. Di halaman yang muncul, pada kotak Filter, masukkan nama akun yang tercantum di Email akun utama dan periksa izin yang ditetapkan.

4. Di konsol Google Cloud , buka halaman Service Accounts.

   Buka Akun Layanan

5. Di halaman yang muncul, di kotak Filter, masukkan nama akun layanan yang disusupi, lalu periksa kunci akun layanan dan tanggal pembuatan kunci.

Langkah 3: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.
2. Jika perlu, pilih project Anda.
3. Di halaman yang dimuat, periksa log untuk aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:
   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Penemuan Grup Izin: Grup Cloud.
2. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project dengan akun yang disusupi.
• Hapus akun layanan yang disusupi, lalu ganti dan hapus semua kunci akses akun layanan untuk project yang disusupi. Setelah penghapusan, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses.
• Hapus resource project yang dibuat oleh akun yang disusupi, seperti instance, snapshot, akun layanan, dan pengguna IAM Compute Engine yang tidak dikenal.

Deteksi Metadata Admin Compute Engine

Persistence: GCE Admin Added SSH Key

Persistence: GCE Admin Added Startup Script

Deteksi log Google Workspace

Jika Anda membagikan log Google Workspace ke Cloud Logging, Event Threat Detection akan membuat temuan untuk beberapa ancaman Google Workspace. Karena log Google Workspace berada di tingkat organisasi, Event Threat Detection hanya dapat memindainya jika Anda mengaktifkan Security Command Center di tingkat organisasi.

Event Threat Detection memperkaya peristiwa log dan menulis temuan ke Security Command Center. Tabel berikut berisi ancaman Google Workspace, entri framework MITRE ATT&CK yang relevan, dan detail tentang peristiwa yang memicu temuan. Anda juga dapat memeriksa log menggunakan filter tertentu, dan menggabungkan semua informasi untuk merespons ancaman Google Workspace.

Initial Access: Disabled Password Leak

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Initial Access: Suspicious Login Blocked

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Initial Access: Account Disabled Hijacked

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Impair Defenses: Two Step Verification Disabled

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Initial Access: Government Based Attack

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Persistence: SSO Enablement Toggle

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Persistence: SSO Settings Changed

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Impair Defenses: Strong Authentication Disabled

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Merespons ancaman Google Workspace

Temuan untuk Google Workspace hanya tersedia untuk aktivasi Security Command Center tingkat organisasi. Log Google Workspace tidak dapat dipindai untuk aktivasi tingkat project.

Jika Anda adalah Admin Google Workspace, Anda dapat menggunakan alat keamanan layanan untuk mengatasi ancaman ini:

• Pusat Pemberitahuan Google Workspace
• Pusat Keamanan Google Workspace

Alat ini mencakup notifikasi, dasbor keamanan, rekomendasi keamanan, dan dapat membantu Anda menginvestigasi serta memulihkan ancaman.

Jika Anda bukan Admin Google Workspace, lakukan hal berikut:

• Jika Anda masih memiliki akses ke akun Anda, ubah atau reset sandi Anda dan aktifkan Verifikasi 2 Langkah.
• Hubungi Admin Google Workspace Anda atau tim di perusahaan Anda yang mengelola akun Google Workspace Anda. Gunakan temuan ini sebagai indikasi bahwa akun mungkin disusupi.

Deteksi ancaman Cloud IDS

Cloud IDS: THREAT_ID

Temuan Cloud IDS dibuat oleh Cloud IDS, yang merupakan layanan keamanan yang memantau traffic ke dan dari resourceGoogle Cloud Anda untuk mendeteksi ancaman. Saat mendeteksi ancaman, Cloud IDS akan mengirimkan informasi tentang ancaman tersebut, seperti alamat IP sumber, alamat tujuan, dan nomor port, ke Event Threat Detection, yang kemudian akan membuat temuan ancaman.

Langkah 1: Tinjau detail temuan

1. Buka temuan Cloud IDS: THREAT_ID, seperti yang diarahkan dalam Meninjau temuan.

2. Dalam detail temuan, di tab Ringkasan, tinjau nilai yang tercantum di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Protokol: protokol jaringan yang digunakan
     • Waktu peristiwa: Kapan peristiwa terjadi
     • Deskripsi: Informasi selengkapnya tentang temuan
     • Tingkat keparahan: Tingkat keparahan notifikasi
     • IP Tujuan: IP target traffic jaringan
     • Port Tujuan: Port target traffic jaringan
     • IP Sumber: IP sumber traffic jaringan
     • Port Sumber: Port sumber traffic jaringan
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: Project yang berisi jaringan dengan ancaman
   • Link terkait, terutama kolom berikut:
     • URI Cloud Logging: link ke entri Logging Cloud IDS - entri ini memiliki informasi yang diperlukan untuk menelusuri Threat Vault Palo Alto Networks
   • Detection Service
     • Kategori Temuan Nama ancaman Cloud IDS

3. Untuk melihat JSON lengkap temuan, klik tab JSON.

Langkah 2: Cari metode serangan dan respons

Setelah Anda meninjau detail temuan, lihat dokumentasi Cloud IDS tentang menyelidiki pemberitahuan ancaman untuk menentukan respons yang sesuai.

Anda dapat menemukan informasi selengkapnya tentang peristiwa yang terdeteksi di entri log asli dengan mengklik link di kolom Cloud Logging URI dalam detail temuan.

Respons Container Threat Detection

Untuk mempelajari lebih lanjut Container Threat Detection, lihat cara kerja Container Threat Detection.

Added Binary Executed

Biner yang bukan bagian dari image penampung asli dieksekusi. Penyerang biasanya menginstal alat eksploitasi dan malware setelah penyusupan awal. Memastikan bahwa container Anda tidak dapat diubah adalah praktik terbaik yang penting. Ini adalah temuan tingkat keparahan rendah, karena organisasi Anda mungkin tidak mengikuti praktik terbaik ini. Ada temuan Execution: Added Malicious Binary Executed yang sesuai saat hash biner adalah indikator gangguan (IoC) yang diketahui. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Added Binary Executed seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur absolut biner yang ditambahkan.
     • Arguments: argumen yang diberikan saat memanggil biner yang ditambahkan.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource cluster termasuk nomor project, lokasi, dan nama cluster.
   • Link terkait, terutama kolom berikut:
     • Indikator VirusTotal: link ke halaman analisis VirusTotal.

3. Klik JSON dan perhatikan kolom berikut:

   • resource:
     • project_display_name: nama project yang berisi cluster.
   • sourceProperties:
     • Pod_Namespace: nama namespace Kubernetes Pod.
     • Pod_Name: nama Pod GKE.
     • Container_Name: nama container yang terpengaruh.
     • Container_Image_Uri: nama image container yang di-deploy.
     • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.

4. Identifikasi temuan lain yang terjadi pada waktu yang serupa untuk penampung ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan karena tidak mengikuti praktik terbaik.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud , buka halaman Kubernetes clusters.

   Buka cluster Kubernetes

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Pilih cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan pada detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

5. Klik tab Detail dan perhatikan anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud , buka halaman Kubernetes Workloads.

   Buka Workload Kubernetes

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Filter pada cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

4. Pilih Pod yang tercantum di Pod_Name. Catat metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Setel Pilih rentang waktu ke periode yang diinginkan.

4. Di halaman yang terbuka, lakukan hal berikut:

   1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
   2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
   3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Buka konsol Google Cloud .

   Buka Google Cloud konsol

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Klik Aktifkan Cloud Shell

4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

   Untuk cluster zona:

     gcloud container clusters get-credentials cluster_name --zone location --project project_name
   

   Untuk cluster regional:

     gcloud container clusters get-credentials cluster_name --region location --project project_name
   

   Ganti kode berikut:

   • cluster_name: cluster yang tercantum di resource.labels.cluster_name
   • location: lokasi yang tercantum di resource.labels.location
   • project_name: nama project yang tercantum di resource.project_display_name

5. Ambil biner yang ditambahkan dengan menjalankan:

     kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name  local_file
   

   Ganti local_file dengan jalur file lokal untuk menyimpan biner yang ditambahkan.

6. Hubungkan ke lingkungan container dengan menjalankan:

     kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
   

   Perintah ini mengharuskan container memiliki shell yang diinstal di /bin/sh.

Langkah 6: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Transfer Alat Masuk, Native API.
2. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks pada file, URL, domain, dan alamat IP yang berpotensi berbahaya.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE dan analisis VirusTotal.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Jika biner dimaksudkan untuk disertakan dalam container, bangun ulang image container dengan menyertakan biner. Dengan cara ini, penampung dapat bersifat tetap.
• Jika tidak, hubungi pemilik project dengan penampung yang terkompromi.
• Hentikan atau hapus container yang terkompromi dan ganti dengan container baru.

Added Library Loaded

Library yang bukan bagian dari image container asli dimuat. Penyerang dapat memuat library berbahaya ke dalam program yang ada untuk melewati perlindungan eksekusi kode dan menyembunyikan kode berbahaya. Memastikan bahwa container Anda tidak dapat diubah adalah praktik terbaik yang penting. Ini adalah temuan tingkat keparahan rendah, karena organisasi Anda mungkin tidak mengikuti praktik terbaik ini. Ada temuan Execution: Added Malicious Library Loaded yang sesuai jika hash biner adalah indikator kompromi (IoC) yang diketahui. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Added Library Loaded seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur lengkap biner proses yang memuat library.
     • Library: detail tentang library yang ditambahkan.
     • Argumen: argumen yang diberikan saat memanggil biner proses.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource cluster.
   • Link terkait, terutama kolom berikut:
     • Indikator VirusTotal: link ke halaman analisis VirusTotal.

3. Klik tab JSON dan perhatikan kolom berikut:

   • resource:
     • project_display_name: nama project yang berisi aset.
   • sourceProperties:
     • Pod_Namespace: nama namespace Kubernetes Pod.
     • Pod_Name: nama Pod GKE.
     • Container_Name: nama container yang terpengaruh.
     • Container_Image_Uri: nama image container yang sedang dieksekusi.
     • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.

4. Identifikasi temuan lain yang terjadi pada waktu yang serupa untuk penampung ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan karena tidak mengikuti praktik terbaik.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud , buka halaman Kubernetes clusters.

   Buka cluster Kubernetes

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Pilih cluster yang tercantum di resource.name. Catat metadata apa pun tentang cluster dan pemiliknya.

4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

5. Klik tab Detail dan perhatikan anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud , buka halaman Kubernetes Workloads.

   Buka Workload Kubernetes

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Filter pada cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

4. Pilih Pod yang tercantum di Pod_Name. Catat metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Setel Pilih rentang waktu ke periode yang diinginkan.

4. Di halaman yang terbuka, lakukan hal berikut:

   1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
   2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
   3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Buka konsol Google Cloud .

   Buka Google Cloud konsol

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Klik Activate Cloud Shell.

4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

   Untuk cluster zona:

     gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name
   

   Untuk cluster regional:

     gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name
   

5. Ambil library yang ditambahkan dengan menjalankan:

     kubectl cp Pod_Namespace/Pod_Name: Added_Library_Fullpath -c Container_Name  local_file
   

   Ganti local_file dengan jalur file lokal untuk menyimpan library yang ditambahkan.

6. Hubungkan ke lingkungan container dengan menjalankan:

     kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
   

   Perintah ini mengharuskan container memiliki shell yang diinstal di /bin/sh.

Langkah 6: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Ingress Tool Transfer, Shared Modules.
2. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks pada file, URL, domain, dan alamat IP yang berpotensi berbahaya.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE dan analisis VirusTotal.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Jika library dimaksudkan untuk disertakan dalam container, bangun ulang image container dengan menyertakan library. Dengan cara ini, penampung dapat bersifat tetap.
• Jika tidak, hubungi pemilik project dengan penampung yang terkompromi.
• Hentikan atau hapus container yang terkompromi dan ganti dengan container baru.

Command and Control: Steganography Tool Detected

Terdeteksi proses yang menggunakan alat steganografi yang umumnya ditemukan dalam distribusi mirip Unix untuk berpotensi menyembunyikan komunikasi. Perilaku ini menunjukkan upaya untuk menyembunyikan traffic perintah dan kontrol (C2) atau data sensitif dalam pesan digital yang tampaknya tidak berbahaya yang dikirimkan kepada entitas eksternal. Penyerang sering menggunakan steganografi untuk menghindari pemantauan jaringan dan membuat aktivitas berbahaya tidak terlalu mencolok. Keberadaan alat ini menunjukkan upaya yang disengaja untuk meng-obfuscate transfer data terlarang. Perilaku ini dapat menyebabkan kompromi lebih lanjut atau pemindahan informasi sensitif secara tidak sah. Mengidentifikasi konten tersembunyi sangat penting untuk menilai risiko yang terlibat secara akurat.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Command and Control: Steganography Tool Detected seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur absolut biner yang dieksekusi.
     • Argumen: argumen yang diteruskan selama eksekusi biner.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource cluster termasuk nomor project, lokasi, dan nama cluster.

3. Di tampilan detail temuan, klik tab JSON.

4. Dalam JSON, perhatikan kolom berikut.

   • resource:
     • project_display_name: nama project yang berisi cluster.
   • finding:
     • processes:
     • binary:
       • path: jalur lengkap biner yang dieksekusi.
     • args: argumen yang diberikan saat menjalankan biner.
   • sourceProperties:
     • Pod_Namespace: nama namespace Kubernetes Pod.
     • Pod_Name: nama Pod GKE.
     • Container_Name: nama container yang terpengaruh.
     • Container_Image_Uri: nama image container yang di-deploy.
     • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.

5. Identifikasi temuan lain yang terjadi pada waktu yang serupa untuk penampung ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan karena kegagalan mengikuti praktik terbaik.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud , buka halaman Kubernetes clusters.

   Buka cluster Kubernetes

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Pilih cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

5. Klik tab Detail dan perhatikan anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud , buka halaman Kubernetes Workloads.

   Buka Workload Kubernetes

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Filter pada cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan pada detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

4. Pilih Pod yang tercantum di Pod_Name. Catat metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Setel Pilih rentang waktu ke periode yang diinginkan.

4. Di halaman yang terbuka, lakukan hal berikut:

   1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • resource.labels.namespace_name="POD_NAMESPACE"
      • resource.labels.pod_name="POD_NAME"
   2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/RESOURCE.PROJECT_DISPLAY_NAME/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • POD_NAME
   3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="INSTANCE_ID"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Buka konsol Google Cloud .

   Buka Google Cloud konsol

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Klik Aktifkan Cloud Shell

4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

   Untuk cluster zona:

   gcloud container clusters get-credentials CLUSTER_NAME \
         --zone LOCATION \
         --project PROJECT_NAME
   

   Untuk cluster regional:

   gcloud container clusters get-credentials CLUSTER_NAME \
         --region LOCATION \
         --project PROJECT_NAME
   

   Ganti kode berikut:

   • CLUSTER_NAME: cluster yang tercantum di resource.labels.cluster_name
   • LOCATION: lokasi yang tercantum di resource.labels.location
   • PROJECT_NAME: nama project yang tercantum di resource.project_display_name

5. Mengambil biner yang dieksekusi:

   kubectl cp \
         POD_NAMESPACE/POD_NAME:PROCESS_BINARY_FULLPATH \
         -c CONTAINER_NAME \
         LOCAL_FILE
   

   Ganti local_file dengan jalur file lokal untuk menyimpan biner yang ditambahkan.

6. Hubungkan ke lingkungan container dengan menjalankan perintah berikut:

   kubectl exec \
         --namespace=POD_NAMESPACE \
         -ti POD_NAME \
         -c CONTAINER_NAME \
         -- /bin/sh
   

   Perintah ini mengharuskan container memiliki shell yang diinstal di /bin/sh.

Langkah 6: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pengaburan Data: Steganografi.
2. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project dengan penampung yang disusupi.
• Hentikan atau hapus container yang terkompromi dan ganti dengan container baru.

Credential Access: Find Google Cloud Credentials

Terdeteksi proses yang menelusuri kredensial Google Cloud . Perilaku ini menunjukkan upaya untuk menemukan dan mengekstrak rahasia tersimpan yang dapat digunakan untuk meningkatkan hak istimewa, mengakses resource yang dibatasi, atau bergerak secara lateral dalam lingkungan. Penyerang sering memindai kredensial untuk mendapatkan akses tidak sah ke resource cloud guna mengeskalasikan hak istimewa atau menjalankan perilaku berbahaya.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Credential Access: Find Google Cloud Credentials seperti yang diinstruksikan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur absolut biner yang dieksekusi.
     • Argumen: argumen yang diteruskan selama eksekusi biner.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource cluster termasuk nomor project, lokasi, dan nama cluster.

3. Di tampilan detail temuan, klik tab JSON.

4. Dalam JSON, perhatikan kolom berikut.

   • resource:
     • project_display_name: nama project yang berisi cluster.
   • finding:
     • processes:
     • binary:
       • path: jalur lengkap biner yang dieksekusi.
     • args: argumen yang diberikan saat menjalankan biner.
   • sourceProperties:
     • Pod_Namespace: nama namespace Kubernetes Pod.
     • Pod_Name: nama Pod GKE.
     • Container_Name: nama container yang terpengaruh.
     • Container_Image_Uri: nama image container yang di-deploy.
     • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.

5. Identifikasi temuan lain yang terjadi pada waktu yang serupa untuk penampung ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan karena kegagalan mengikuti praktik terbaik.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud , buka halaman Kubernetes clusters.

   Buka cluster Kubernetes

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Pilih cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

5. Klik tab Detail dan perhatikan anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud , buka halaman Kubernetes Workloads.

   Buka Workload Kubernetes

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Filter pada cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan pada detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

4. Pilih Pod yang tercantum di Pod_Name. Catat metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Setel Pilih rentang waktu ke periode yang diinginkan.

4. Di halaman yang terbuka, lakukan hal berikut:

   1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • resource.labels.namespace_name="POD_NAMESPACE"
      • resource.labels.pod_name="POD_NAME"
   2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/RESOURCE.PROJECT_DISPLAY_NAME/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • POD_NAME
   3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="INSTANCE_ID"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Buka konsol Google Cloud .

   Buka Google Cloud konsol

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Klik Aktifkan Cloud Shell

4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

   Untuk cluster zona:

   gcloud container clusters get-credentials CLUSTER_NAME \
         --zone LOCATION \
         --project PROJECT_NAME
   

   Untuk cluster regional:

   gcloud container clusters get-credentials CLUSTER_NAME \
         --region LOCATION \
         --project PROJECT_NAME
   

   Ganti kode berikut:

   • CLUSTER_NAME: cluster yang tercantum di resource.labels.cluster_name
   • LOCATION: lokasi yang tercantum di resource.labels.location
   • PROJECT_NAME: nama project yang tercantum di resource.project_display_name

5. Hubungkan ke lingkungan container dengan menjalankan perintah berikut:

   kubectl exec \
         --namespace=POD_NAMESPACE \
         -ti POD_NAME \
         -c CONTAINER_NAME \
         -- /bin/sh
   

   Perintah ini mengharuskan container memiliki shell yang diinstal di /bin/sh.

Langkah 6: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Kredensial Tidak Aman: Kunci Pribadi.
2. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project dengan penampung yang disusupi.
• Hentikan atau hapus container yang terkompromi dan ganti dengan container baru.

Credential Access: GPG Key Reconnaissance

Proses terdeteksi sedang mencari kunci GPG. Perilaku ini menunjukkan upaya untuk menemukan dan mengekstrak kunci keamanan tersimpan yang digunakan untuk mengenkripsi dan mendekripsi dokumen, serta mengautentikasi dokumen dengan tanda tangan digital. Penyerang menggunakan kunci keamanan untuk mendapatkan akses tidak sah ke informasi dan sistem penting, sehingga menjadikannya deteksi tingkat keparahan tinggi yang memerlukan investigasi segera.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Credential Access: GPG Key Reconnaissance seperti yang diinstruksikan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur absolut biner yang dieksekusi.
     • Argumen: argumen yang diteruskan selama eksekusi biner.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource cluster termasuk nomor project, lokasi, dan nama cluster.

3. Di tampilan detail temuan, klik tab JSON.

4. Dalam JSON, perhatikan kolom berikut.

   • resource:
     • project_display_name: nama project yang berisi cluster.
   • finding:
     • processes:
     • binary:
       • path: jalur lengkap biner yang dieksekusi.
     • args: argumen yang diberikan saat menjalankan biner.
   • sourceProperties:
     • Pod_Namespace: nama namespace Kubernetes Pod.
     • Pod_Name: nama Pod GKE.
     • Container_Name: nama container yang terpengaruh.
     • Container_Image_Uri: nama image container yang di-deploy.
     • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.

5. Identifikasi temuan lain yang terjadi pada waktu yang serupa untuk penampung ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan karena kegagalan mengikuti praktik terbaik.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud , buka halaman Kubernetes clusters.

   Buka cluster Kubernetes

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Pilih cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan pada detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

5. Klik tab Detail dan perhatikan anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud , buka halaman Kubernetes Workloads.

   Buka Workload Kubernetes

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Filter pada cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan pada detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

4. Pilih Pod yang tercantum di Pod_Name. Catat metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Setel Pilih rentang waktu ke periode yang diinginkan.

4. Di halaman yang terbuka, lakukan hal berikut:

   1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • resource.labels.namespace_name="POD_NAMESPACE"
      • resource.labels.pod_name="POD_NAME"
   2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/RESOURCE.PROJECT_DISPLAY_NAME/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • POD_NAME
   3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="INSTANCE_ID"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Buka konsol Google Cloud .

   Buka Google Cloud konsol

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Klik Aktifkan Cloud Shell

4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

   Untuk cluster zona:

   gcloud container clusters get-credentials CLUSTER_NAME \
         --zone LOCATION \
         --project PROJECT_NAME
   

   Untuk cluster regional:

   gcloud container clusters get-credentials CLUSTER_NAME \
         --region LOCATION \
         --project PROJECT_NAME
   

   Ganti kode berikut:

   • CLUSTER_NAME: cluster yang tercantum di resource.labels.cluster_name
   • LOCATION: lokasi yang tercantum di resource.labels.location
   • PROJECT_NAME: nama project yang tercantum di resource.project_display_name

5. Hubungkan ke lingkungan container dengan menjalankan perintah berikut:

   kubectl exec \
         --namespace=POD_NAMESPACE \
         -ti POD_NAME \
         -c CONTAINER_NAME \
         -- /bin/sh
   

   Perintah ini mengharuskan container memiliki shell yang diinstal di /bin/sh.

Langkah 6: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Kredensial Tidak Aman: Kunci Pribadi.
2. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project dengan penampung yang disusupi.
• Hentikan atau hapus container yang terkompromi dan ganti dengan container baru.

Credential Access: Search Private Keys or Passwords

Proses terdeteksi sedang menelusuri kunci pribadi, kredensial, atau informasi autentikasi sensitif lainnya dalam penampung. Perilaku ini menunjukkan upaya untuk menemukan dan mengekstrak rahasia tersimpan yang dapat digunakan untuk meningkatkan hak istimewa, mengakses resource yang dibatasi, atau bergerak secara lateral dalam lingkungan. Penyerang sering kali memindai kunci SSH, token API, atau kredensial database untuk mendapatkan akses tidak sah ke sistem penting, sehingga menjadikannya deteksi tingkat keparahan tinggi yang memerlukan penyelidikan segera.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Credential Access: Search Private Keys or Passwords seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur absolut biner yang dieksekusi.
     • Argumen: argumen yang diteruskan selama eksekusi biner.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource cluster termasuk nomor project, lokasi, dan nama cluster.

3. Di tampilan detail temuan, klik tab JSON.

4. Dalam JSON, perhatikan kolom berikut.

   • resource:
     • project_display_name: nama project yang berisi cluster.
   • finding:
     • processes:
     • binary:
       • path: jalur lengkap biner yang dieksekusi.
     • args: argumen yang diberikan saat menjalankan biner.
   • sourceProperties:
     • Pod_Namespace: nama namespace Kubernetes Pod.
     • Pod_Name: nama Pod GKE.
     • Container_Name: nama container yang terpengaruh.
     • Container_Image_Uri: nama image container yang di-deploy.
     • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.

5. Identifikasi temuan lain yang terjadi pada waktu yang serupa untuk penampung ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan karena kegagalan mengikuti praktik terbaik.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud , buka halaman Kubernetes clusters.

   Buka cluster Kubernetes

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Pilih cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

5. Klik tab Detail dan perhatikan anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud , buka halaman Kubernetes Workloads.

   Buka Workload Kubernetes

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Filter pada cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan pada detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

4. Pilih Pod yang tercantum di Pod_Name. Catat metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Setel Pilih rentang waktu ke periode yang diinginkan.

4. Di halaman yang terbuka, lakukan hal berikut:

   1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • resource.labels.namespace_name="POD_NAMESPACE"
      • resource.labels.pod_name="POD_NAME"
   2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/RESOURCE.PROJECT_DISPLAY_NAME/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • POD_NAME
   3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="INSTANCE_ID"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Buka konsol Google Cloud .

   Buka Google Cloud konsol

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Klik Aktifkan Cloud Shell

4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

   Untuk cluster zona:

   gcloud container clusters get-credentials CLUSTER_NAME \
         --zone LOCATION \
         --project PROJECT_NAME
   

   Untuk cluster regional:

   gcloud container clusters get-credentials CLUSTER_NAME \
         --region LOCATION \
         --project PROJECT_NAME
   

   Ganti kode berikut:

   • CLUSTER_NAME: cluster yang tercantum di resource.labels.cluster_name
   • LOCATION: lokasi yang tercantum di resource.labels.location
   • PROJECT_NAME: nama project yang tercantum di resource.project_display_name

5. Mengambil biner yang dieksekusi:

   kubectl cp \
         POD_NAMESPACE/POD_NAME:PROCESS_BINARY_FULLPATH \
         -c CONTAINER_NAME \
         LOCAL_FILE
   

   Ganti local_file dengan jalur file lokal untuk menyimpan biner yang ditambahkan.

6. Hubungkan ke lingkungan container dengan menjalankan perintah berikut:

   kubectl exec \
         --namespace=POD_NAMESPACE \
         -ti POD_NAME \
         -c CONTAINER_NAME \
         -- /bin/sh
   

   Perintah ini mengharuskan container memiliki shell yang diinstal di /bin/sh.

Langkah 6: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Kredensial Tidak Aman: Kredensial Dalam File.
2. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project dengan penampung yang disusupi.
• Hentikan atau hapus container yang terkompromi dan ganti dengan container baru.

Defense Evasion: Base64 ELF File Command Line

Proses yang dijalankan berisi argumen yang merupakan file ELF (Executable and Linkable Format). Jika eksekusi file ELF yang dienkode terdeteksi, hal ini merupakan sinyal bahwa penyerang sedang mencoba mengenkode data biner untuk ditransfer ke command line khusus ASCII. Penyerang dapat menggunakan teknik ini untuk menghindari deteksi dan menjalankan kode berbahaya yang disematkan dalam file ELF.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Defense Evasion: Base64 ELF File Command Line seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur absolut biner yang dieksekusi.
     • Argumen: argumen yang diteruskan selama eksekusi biner.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource cluster termasuk nomor project, lokasi, dan nama cluster.

3. Di tampilan detail temuan, klik tab JSON.

4. Dalam JSON, perhatikan kolom berikut.

   • resource:
     • project_display_name: nama project yang berisi cluster.
   • finding:
     • processes:
     • binary:
       • path: jalur lengkap biner yang dieksekusi.
     • args: argumen yang diberikan saat menjalankan biner.
   • sourceProperties:
     • Pod_Namespace: nama namespace Kubernetes Pod.
     • Pod_Name: nama Pod GKE.
     • Container_Name: nama container yang terpengaruh.
     • Container_Image_Uri: nama image container yang di-deploy.
     • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.

5. Identifikasi temuan lain yang terjadi pada waktu yang serupa untuk penampung ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan karena kegagalan mengikuti praktik terbaik.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud , buka halaman Kubernetes clusters.

   Buka cluster Kubernetes

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Pilih cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan pada detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

5. Klik tab Detail dan perhatikan anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud , buka halaman Kubernetes Workloads.

   Buka Workload Kubernetes

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Filter pada cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan pada detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

4. Pilih Pod yang tercantum di Pod_Name. Catat metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Setel Pilih rentang waktu ke periode yang diinginkan.

4. Di halaman yang terbuka, lakukan hal berikut:

   1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • resource.labels.namespace_name="POD_NAMESPACE"
      • resource.labels.pod_name="POD_NAME"
   2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/RESOURCE.PROJECT_DISPLAY_NAME/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • POD_NAME
   3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="INSTANCE_ID"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Buka konsol Google Cloud .

   Buka Google Cloud konsol

2. Di toolbar konsol Google Cloud , pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Klik Aktifkan Cloud Shell

4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

   Untuk cluster zona:

   gcloud container clusters get-credentials CLUSTER_NAME \
         --zone LOCATION \
         --project PROJECT_NAME
   

   Untuk cluster regional:

   gcloud container clusters get-credentials CLUSTER_NAME \
         --region LOCATION \
         --project PROJECT_NAME
   

   Ganti kode berikut:

   • CLUSTER_NAME: cluster yang tercantum di resource.labels.cluster_name
   • LOCATION: lokasi yang tercantum di resource.labels.location
   • PROJECT_NAME: nama project yang tercantum di resource.project_display_name

5. Mengambil biner yang dieksekusi:

   kubectl cp \
         POD_NAMESPACE/POD_NAME:PROCESS_BINARY_FULLPATH \
         -c CONTAINER_NAME \
         LOCAL_FILE
   

   Ganti local_file dengan jalur file lokal untuk menyimpan biner yang ditambahkan.

6. Hubungkan ke lingkungan container dengan menjalankan perintah berikut:

   kubectl exec \
         --namespace=POD_NAMESPACE \
         -ti POD_NAME \
         -c CONTAINER_NAME \
         -- /bin/sh
   

   Perintah ini mengharuskan container memiliki shell yang diinstal di /bin/sh.