Erkennung: Agent Engine-Selbstprüfung des Dienstkontos

In diesem Dokument wird ein bestimmter Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Die Anmeldedaten eines Dienstkontos werden verwendet, um die Rollen und Berechtigungen zu untersuchen, die mit diesem Dienstkonto verknüpft sind, das von einem Agenten initiiert wurde, der in Vertex AI Agent Engine bereitgestellt wird. Dieses Ergebnis deutet darauf hin, dass die Anmeldedaten des Dienstkontos gehackt wurden und sofort Maßnahmen ergriffen werden sollten.

Die Quelle dieses Ergebnisses ist Event Threat Detection.

Maßnahmen

So reagieren Sie auf dieses Ergebnis:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie ein Discovery: Agent Engine Service Account Self-Investigation-Ergebnis, wie unter Ergebnisdetails prüfen weiter oben auf dieser Seite beschrieben. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.

2. Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

   • Was erkannt wurde, insbesondere die folgenden Felder:
     • Schweregrad: Die dem Ergebnis zugewiesene Risikostufe. Die Schwere ist HIGH, wenn der API-Aufruf, der dieses Ergebnis ausgelöst hat, nicht autorisiert war. Das Dienstkonto ist nicht berechtigt, seine eigenen IAM-Berechtigungen mit der projects.getIamPolicy-API abzufragen.
     • Hauptkonto-E-Mail-Adresse: das potenziell manipulierte Dienstkonto.
     • Anrufer-IP: die interne oder externe IP-Adresse
   • Betroffene Ressource, insbesondere die folgenden Felder:
     • Vollständiger Ressourcenname:
     • Vollständiger Projektname: Das Projekt, das die potenziell gehackten Kontoanmeldedaten enthält.
   • Weitere Informationen, insbesondere die folgenden Felder:
     • Cloud Logging-URI: Link zu Logging-Einträgen.
     • MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
     • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.
   1. Klicken Sie auf den Tab JSON, um das vollständige JSON für das Ergebnis aufzurufen.

Schritt 2: Projekt- und Dienstkontoberechtigungen prüfen

1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

   IAM aufrufen

2. Wählen Sie bei Bedarf das Projekt aus, das im Feld projectID des JSON-Ergebnisses aufgeführt ist.

3. Geben Sie auf der angezeigten Seite im Feld Filter den in E-Mail-Adresse des Hauptkontos aufgeführten Kontonamen ein und prüfen Sie die zugewiesenen Berechtigungen. Wenn Sie das Dienstkonto nicht sehen, handelt es sich möglicherweise um ein von Google bereitgestelltes Vertex AI Agent Engine-Dienstkonto. Wählen Sie in diesem Fall Von Google bereitgestellte Rollenzuweisungen einschließen aus, um das Dienstkonto zu sehen.

4. Rufen Sie für das nicht von Google bereitgestellte Vertex AI Agent Engine-Dienstkonto in der Google Cloud Console die Seite Dienstkonten auf.

   Zur Seite „Dienstkonten“

5. Geben Sie für das nicht von Google bereitgestellte Vertex AI Agent Engine-Dienstkonto auf der angezeigten Seite im Feld Filter den Namen des manipulierten Dienstkontos ein und prüfen Sie die Schlüssel und das Datum der Erstellung des Dienstkontos.

Schritt 3: Protokolle prüfen

1. Klicken Sie im Detailbereich für das Ergebnis auf dem Tab „Zusammenfassung“ auf den Link Cloud Logging-URI, um den Log-Explorer zu öffnen.
2. Wählen Sie bei Bedarf Ihr Projekt aus.
3. Prüfen Sie auf der Seite, die geladen wird, die Logs von Aktivitäten aus neuen oder aktualisierten IAM-Ressourcen mithilfe der folgenden Filter:
   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Schritt 4: Angriffs- und Reaktionsmethoden untersuchen

1. Sehen Sie sich den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp an: Permission Groups Discovery: Cloud Groups.
2. Um einen Antwortplan zu entwickeln, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Studie.

Schritt 5: Antwort implementieren

Der folgende Reaktionplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Abläufe auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Behebung der Ergebnisse zu finden.

• Wenden Sie sich an den Inhaber des Projekts mit dem manipulierten Konto.
• Wenn das kompromittierte Dienstkonto ein von Google bereitgestelltes Vertex AI Agent Engine-Dienstkonto ist, können Sie es nicht direkt löschen. Beschränken Sie in diesem Fall die Berechtigungen des Dienstkontos auf das erforderliche Minimum. Andernfalls löschen Sie das manipulierte Dienstkonto und rotieren und löschen Sie alle Zugriffsschlüssel des Dienstkontos für das manipulierte Projekt. Nach dem Löschen verlieren Ressourcen, die das Dienstkonto für die Authentifizierung verwenden, den Zugriff.
• Löschen Sie Projektressourcen, die vom manipulierten Konto erstellt wurden, z. B. unbekannte Compute Engine-Instanzen, Snapshots, Dienstkonten und IAM-Nutzer.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsergebnisse generieren