En este documento, se describe un tipo de hallazgo de amenazas de Security Command Center. Los detectores de amenazas generan hallazgos de amenazas cuando identifican una posible amenaza en tus recursos de Cloud. Para obtener una lista completa de los hallazgos de amenazas disponibles, consulta el Índice de hallazgos de amenazas.
Descripción general
Un agente de IA activó repetidamente errores de permiso denegado en varios métodos y servicios.
Event Threat Detection es la fuente de este hallazgo.
Cómo se debe responder
Para responder a este hallazgo, sigue los pasos que se indican a continuación:
Paso 1: Revisa los detalles del hallazgo
- Abre un hallazgo de
Initial Access: AI Agent Identity Excessive Permission Denied Actionscomo se indica en Revisa los hallazgos. En los detalles del hallazgo, en la pestaña Resumen, anota los valores de los siguientes campos.
En Qué se detectó, se muestra lo siguiente:
- Correo electrónico principal: Es la principal que activó varios errores de permiso denegado.
- Nombre del servicio: Es el nombre de la API del servicio de Google Cloud en el que ocurrió el último error de permiso denegado.
- Nombre del método: Es el método al que se llamó cuando ocurrió el último error de permiso denegado.
En los detalles del hallazgo, en la pestaña Propiedades de la fuente, observa los valores de los siguientes campos en el JSON:
- properties.failedActions: Son los errores de permiso denegado que se produjeron. En cada entrada, los detalles incluyen el nombre del servicio, el nombre del método, la cantidad de intentos fallidos y la hora en que ocurrió el error por última vez. Se muestra un máximo de 10 entradas.
Paso 2: Revisa los registros
- En la consola de Google Cloud , ve al Explorador de registros y haz clic en el vínculo en URI de Cloud Logging.
- En la barra de herramientas de la consola de Google Cloud , elige el proyecto.
En la página que se carga, busca los registros relacionados con el siguiente filtro:
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"protoPayload.status.code=7
Reemplaza PRINCIPAL_EMAIL por el valor que anotaste en el campo Correo electrónico principal en los detalles del hallazgo.
Paso 3: Investiga los métodos de ataque y respuesta
- Revisa la entrada del framework de MITRE ATT&CK para este tipo de hallazgo: Cuentas válidas: Cuentas de Cloud.
- Para elaborar un plan de respuesta, combina los resultados de la investigación con la investigación de MITRE.
Paso 4: Implementa la respuesta
El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas durante la investigación para determinar la mejor manera de resolver los hallazgos.
- Comunícate con el propietario de la cuenta en el campo Correo electrónico principal. Confirma si el propietario legítimo realizó la acción.
- Borra los recursos del proyecto que creó esa cuenta, como instancias desconocidas de Compute Engine, instantáneas, cuentas de servicio y usuarios de IAM, etcétera.
- Comunícate con el propietario del proyecto en el que se encuentra la cuenta y, posiblemente, borra o inhabilita la cuenta.
¿Qué sigue?
- Aprende a trabajar con los hallazgos de amenazas en Security Command Center.
- Consulta el Índice de hallazgos de amenazas.
- Aprende a revisar un hallazgo con la consola de Google Cloud .
- Obtén información sobre los servicios que generan hallazgos de amenazas.