Se filtraron credenciales de la cuenta

En este documento, se describe un tipo de hallazgo de amenazas de Security Command Center. Los detectores de amenazas generan hallazgos de amenazas cuando identifican una posible amenaza en tus recursos de la nube. Para obtener una lista completa de los hallazgos de amenazas disponibles, consulta el Índice de hallazgos de amenazas.

Descripción general

Este hallazgo se genera cuando las credenciales de la cuenta de servicio de Google Cloud se filtran en línea por accidente o se ven vulneradas.

La detección de anomalías es la fuente de este hallazgo.

Cómo se debe responder

Para responder a este hallazgo, haz lo que se indica a continuación:

Paso 1: Revisa los detalles del hallazgo

1. Abre un hallazgo account_has_leaked_credentials como se indica en Revisa detalles de hallazgos. Se abrirá el panel de detalles del hallazgo en la pestaña Resumen.

2. En la pestaña Resumen, revisa la información de las secciones siguientes:

• Qué se detectó
• Recurso afectado

1. Haz clic en la pestaña Propiedades de la fuente y observa los campos siguientes:

   • Compromised_account: Es la cuenta de servicio potencialmente comprometida.
   • Project_identifier: Es el proyecto que contiene las credenciales de la cuenta que se podrían filtrar.
   • URL: Es el vínculo al repositorio de GitHub.

2. Para ver el archivo JSON completo del hallazgo, haz clic en la pestaña JSON.

Paso 2: Revisa los permisos del proyecto y de la cuenta de servicio

1. En la consola de Google Cloud , accede a la página IAM.

   Ir a IAM

2. Si es necesario, elige el proyecto que aparece en Project_identifier.

3. En la página que se abre, en el cuadro Filtro, escribe el nombre de la cuenta que aparece en Compromised_account y comprueba los permisos asignados.

4. En la consola de Google Cloud , accede a la página Cuentas de servicio.

   Ir a cuentas de servicio

5. En la página que se abre, en el cuadro Filtro, escribe el nombre de la cuenta de servicio comprometida y comprueba las claves y las fechas de creación de las claves de la cuenta de servicio.

Paso 3: Comprueba los registros

1. En la consola de Google Cloud , accede al Explorador de registros.

   Ir al Explorador de registros

2. En la barra de herramientas de la consola de Google Cloud , elige el proyecto.

3. En la página que se carga, usa los filtros siguientes para comprobar los registros en busca de actividad de los recursos de IAM nuevos o actualizados:

   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • resource.type="gce_instance" AND log_name="projects/Project_identifier/logs/cloudaudit.googleapis.com%2Factivity"
   • protoPayload.methodName="InsertProjectOwnershipInvite"
   • protoPayload.authenticationInfo.principalEmail="Compromised_account"

Paso 4: Investiga los métodos de ataque y respuesta

1. Revisa la entrada del framework de MITRE ATT&CK para este tipo de hallazgo: Cuentas válidas: Cuentas de Cloud.
2. Para revisar los hallazgos relacionados, haz clic en el vínculo en el relatedFindingURI. Los hallazgos relacionados son del mismo tipo y tienen la misma instancia y red.
3. Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación de MITRE.

Paso 5: Implementa la respuesta

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas durante la investigación para determinar la mejor manera de resolver los hallazgos.

• Comunícate con el propietario del proyecto cuyas credenciales se filtraron.
• Considera borrar la cuenta de servicio vulnerada, además de rotar y borrar todas las claves de acceso de la cuenta de servicio del proyecto vulnerado. Después de la eliminación, los recursos que usan la cuenta de servicio para la autenticación perderán el acceso. Antes de continuar, el equipo de seguridad debe identificar todos los recursos afectados y trabajar con los propietarios de los recursos para garantizar la continuidad empresarial.
• Trabaja con el equipo de seguridad para identificar recursos desconocidos, incluidos instancias de Compute Engine, instantáneas, cuentas de servicio y usuarios de IAM. Borra los recursos que no se crearon con cuentas autorizadas.
• Responde a las notificaciones de la asistencia de Google Cloud .
• Para limitar quién puede crear cuentas de servicio, usa el Servicio de políticas de la organización.
• Para identificar y corregir los roles demasiado permisivos, usa el recomendador de IAM.
• Abre el vínculo URL y borra las credenciales filtradas. Recopila más información sobre la cuenta vulnerada y comunícate con el propietario.

¿Qué sigue?

• Obtén más información para trabajar con hallazgos de amenazas en Security Command Center.
• Consulta el Índice de hallazgos de amenazas.
• Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
• Obtén información sobre los servicios que generan hallazgos de amenazas.