Penemuan: Investigasi Mandiri Akun Layanan Agent Engine

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk mengetahui daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Kredensial akun layanan sedang digunakan untuk menyelidiki peran dan izin yang terkait dengan akun layanan yang sama yang dimulai oleh agen yang di-deploy ke Vertex AI Agent Engine. Temuan ini menunjukkan bahwa kredensial akun layanan mungkin disusupi dan tindakan segera harus dilakukan.

Event Threat Detection adalah sumber temuan ini.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Discovery: Agent Engine Service Account Self-Investigation, seperti yang diarahkan di Meninjau detail temuan sebelumnya di halaman ini. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Severity: tingkat risiko yang ditetapkan ke temuan. Tingkat keparahan adalah HIGH jika panggilan API yang memicu temuan ini tidak sah—akun layanan tidak memiliki izin untuk mengkueri izin IAM-nya sendiri dengan API projects.getIamPolicy.
     • Email akun utama: akun layanan yang berpotensi disusupi.
     • IP pemanggil: alamat IP internal atau eksternal
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource:
     • Nama lengkap project: project yang berisi kredensial akun yang berpotensi bocor.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.
   1. Untuk melihat JSON lengkap temuan, klik tab JSON.

Langkah 2: Tinjau izin akun layanan dan project

1. Di konsol Google Cloud , buka halaman IAM.

   Buka IAM

2. Jika perlu, pilih project yang tercantum di kolom projectID pada JSON temuan.

3. Di halaman yang muncul, pada kotak Filter, masukkan nama akun yang tercantum di Email pemilik dan periksa izin yang ditetapkan. Jika Anda tidak dapat melihat akun layanan, akun tersebut mungkin merupakan akun layanan Vertex AI Agent Engine yang disediakan Google. Dalam hal ini, pilih Sertakan pemberian peran yang disediakan Google untuk melihat akun layanan.

4. Untuk akun layanan Vertex AI Agent Engine yang tidak disediakan Google, di Google Cloud konsol, buka halaman Service Accounts.

   Buka Akun Layanan

5. Untuk akun layanan Vertex AI Agent Engine yang tidak disediakan Google, di halaman yang muncul, di kotak Filter, masukkan nama akun layanan yang disusupi dan periksa kunci akun layanan serta tanggal pembuatan kunci.

Langkah 3: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.
2. Jika perlu, pilih project Anda.
3. Di halaman yang dimuat, periksa log untuk aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:
   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Penemuan Grup Izin: Grup Cloud.
2. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project dengan akun yang disusupi.
• Jika akun layanan yang disusupi adalah akun layanan Vertex AI Agent Engine yang disediakan Google, Anda tidak dapat menghapusnya secara langsung. Dalam hal ini, batasi izin akun layanan ke minimum yang diperlukan. Jika tidak, hapus akun layanan yang disusupi, lalu ganti dan hapus semua kunci akses akun layanan untuk project yang disusupi. Setelah penghapusan, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses.
• Hapus resource project yang dibuat oleh akun yang disusupi, seperti instance Compute Engine, snapshot, akun layanan, dan pengguna IAM yang tidak dikenal.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.