A conta tem credenciais roubadas

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Esta descoberta é gerada quando as Google Cloud credenciais da conta de serviço são divulgadas acidentalmente online ou comprometidas.

A Deteção de anomalias é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

1. Abra uma deteção account_has_leaked_credentials, conforme indicado em Rever detalhes da deteção. O painel de detalhes da descoberta é aberto no separador Resumo.

2. No separador Resumo, reveja as informações nas seguintes secções:

• O que foi detetado
• Recurso afetado

1. Clique no separador Propriedades de origem e tome nota dos seguintes campos:

   • Compromised_account: a conta de serviço potencialmente comprometida
   • Project_identifier: o projeto que contém as credenciais da conta potencialmente roubadas
   • URL: o link para o repositório do GitHub

2. Para ver o JSON completo da descoberta, clique no separador JSON.

Passo 2: reveja as autorizações do projeto e da conta de serviço

1. Na Google Cloud consola, aceda à página IAM.

   Aceda ao IAM

2. Se necessário, selecione o projeto apresentado em Project_identifier.

3. Na página apresentada, na caixa Filtro, introduza o nome da conta indicado em Compromised_account e verifique as autorizações atribuídas.

4. Na Google Cloud consola, aceda à página Contas de serviço.

   Aceda a Contas de serviço

5. Na página apresentada, na caixa Filtro, introduza o nome da conta de serviço comprometida e verifique as chaves da conta de serviço e as datas de criação das chaves.

Passo 3: verifique os registos

1. Na Google Cloud consola, aceda ao Explorador de registos.

   Aceda ao Explorador de registos

2. Na Google Cloud barra de ferramentas da consola, selecione o seu projeto.

3. Na página carregada, verifique os registos de atividade de recursos do IAM novos ou atualizados através dos seguintes filtros:

   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • resource.type="gce_instance" AND log_name="projects/Project_identifier/logs/cloudaudit.googleapis.com%2Factivity"
   • protoPayload.methodName="InsertProjectOwnershipInvite"
   • protoPayload.authenticationInfo.principalEmail="Compromised_account"

Passo 4: pesquise métodos de ataque e resposta

1. Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Contas válidas: contas na nuvem.
2. Reveja as conclusões relacionadas clicando no link em relatedFindingURI. As conclusões relacionadas são do mesmo tipo de conclusão e da mesma instância e rede.
3. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

Passo 5: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

• Contacte o proprietário do projeto com credenciais roubadas.
• Considere eliminar a conta de serviço comprometida, rodar e eliminar todas as chaves de acesso da conta de serviço para o projeto comprometido. Após a eliminação, os recursos que usam a conta de serviço para autenticação perdem o acesso. Antes de continuar, a sua equipa de segurança deve identificar todos os recursos afetados e trabalhar com os proprietários dos recursos para garantir a continuidade da empresa.
• Colabore com a sua equipa de segurança para identificar recursos desconhecidos, incluindo instâncias do Compute Engine, instantâneos, contas de serviço e utilizadores do IAM. Elimine recursos que não foram criados com contas autorizadas.
• Responda a notificações do Google Cloud apoio técnico.
• Para limitar quem pode criar contas de serviço, use o serviço de políticas da organização.
• Para identificar e corrigir funções excessivamente permissivas, use o IAM Recommender.
• Abra o link do URL e elimine as credenciais divulgadas. Recolha mais informações sobre a conta comprometida e contacte o proprietário.

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.