Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.
Présentation
Un compte principal a déclenché à plusieurs reprises des erreurs Autorisation refusée dans plusieurs méthodes et services.
Event Threat Detection est la source de ce résultat.
Actions à mettre en place
Pour traiter ce résultat, procédez comme suit :
Étape 1 : Examiner les détails du résultat
- Ouvrez le résultat
Initial Access: Agent Engine Identity Excessive Permission Denied Actionscomme indiqué dans Examiner un résultat. Dans les détails du résultat, dans l'onglet Résumé, notez les valeurs des champs suivants.
Sous Risque détecté :
- Adresse e-mail du compte principal : compte principal ayant déclenché plusieurs erreurs "Autorisation refusée"
- Nom du service : nom de l'API du service Google Cloud pour lequel la dernière erreur d'autorisation refusée s'est produite
- Nom de la méthode : méthode appelée lorsque la dernière erreur d'autorisation refusée s'est produite
Dans les détails du résultat, dans l'onglet Propriétés sources, notez les valeurs des champs suivants dans le JSON :
- properties.failedActions : erreurs d'autorisation refusée qui se sont produites. Pour chaque entrée, les détails incluent le nom du service, le nom de la méthode, le nombre de tentatives infructueuses et l'heure à laquelle l'erreur s'est produite pour la dernière fois. Un maximum de 10 entrées est affiché.
Étape 2 : Vérifier les journaux
- Dans la console Google Cloud , accédez à l'explorateur de journaux en cliquant sur le lien URI Cloud Logging.
- Dans la barre d'outils de la console Google Cloud , sélectionnez votre projet.
Sur la page qui s'affiche, recherchez les journaux associés à l'aide du filtre suivant :
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"protoPayload.status.code=7
Remplacez PRINCIPAL_EMAIL par la valeur que vous avez notée dans le champ Adresse e-mail du principal des détails du résultat.
Étape 3 : Rechercher des méthodes d'attaque et de réponse
- Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Comptes valides : comptes Cloud.
- Pour élaborer votre plan de réponse, combinez les résultats de votre enquête aux recherches de MITRE.
Étape 4 : Mettre en œuvre votre réponse
Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par les résultats.
- Contactez le propriétaire du compte indiqué dans le champ Adresse e-mail du compte principal. Confirmez si le propriétaire légitime est bien à l'origine de l'action.
- Supprimez les ressources de projet créées par ce compte, telles que les instances Compute Engine, les instantanés, les comptes de service et les utilisateurs IAM inconnus.
- Contactez le propriétaire du projet contenant le compte, et supprimez ou désactivez éventuellement le compte.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
- Consultez l'index des résultats de détection de menace.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.