Discovery: Agent Engine Service Account Self-Investigation

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das deteções de ameaças disponíveis, consulte o Índice de deteções de ameaças.

Vista geral

Estão a ser usadas credenciais de uma conta de serviço para investigar as funções e as autorizações associadas a essa mesma conta de serviço iniciada por um agente implementado no Vertex AI Agent Engine. Esta descoberta indica que as credenciais da conta de serviço podem estar comprometidas e que deve tomar medidas imediatas.

A Deteção de ameaças de eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

1. Abra uma descoberta Discovery: Agent Engine Service Account Self-Investigation, conforme indicado em Rever detalhes da descoberta anteriormente nesta página. O painel de detalhes da deteção é aberto no separador Resumo.

2. No separador Resumo, reveja as informações nas seguintes secções:

   • O que foi detetado, especialmente os seguintes campos:
     • Gravidade: o nível de risco atribuído à descoberta. A gravidade é HIGH se a chamada API que acionou esta descoberta não estiver autorizada. A conta de serviço não tem autorização para consultar as suas próprias autorizações do IAM com a API projects.getIamPolicy.
     • Email principal: a conta de serviço potencialmente comprometida.
     • IP do autor da chamada: o endereço IP interno ou externo
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do recurso:
     • Nome completo do projeto: o projeto que contém as credenciais da conta potencialmente roubadas.
   • Links relacionados, especialmente os seguintes campos:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Resultados relacionados: links para resultados relacionados.
   1. Para ver o JSON completo da descoberta, clique no separador JSON.

Passo 2: reveja as autorizações do projeto e da conta de serviço

1. Na Google Cloud consola, aceda à página IAM.

   Aceda ao IAM

2. Se necessário, selecione o projeto indicado no campo projectID do JSON de deteção.

3. Na página apresentada, na caixa Filtro, introduza o nome da conta indicado em Email principal e verifique as autorizações atribuídas. Se não conseguir ver a conta de serviço, pode tratar-se de uma conta de serviço do Vertex AI Agent Engine fornecida pela Google. Neste caso, selecione Incluir concessões de funções fornecidas pela Google para ver a conta de serviço.

4. Para a conta de serviço do Vertex AI Agent Engine não fornecida pela Google, na Google Cloud consola, aceda à página Contas de serviço.

   Aceda a Contas de serviço

5. Para a conta de serviço do Vertex AI Agent Engine não fornecida pela Google, na página apresentada, na caixa Filtro, introduza o nome da conta de serviço comprometida e verifique as chaves e as datas de criação das chaves da conta de serviço.

Passo 3: verifique os registos

1. No separador Resumo do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o explorador de registos.
2. Se necessário, selecione o seu projeto.
3. Na página carregada, verifique os registos de atividade de recursos do IAM novos ou atualizados através dos seguintes filtros:
   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Passo 4: pesquise métodos de ataque e resposta

1. Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Permission Groups Discovery: Cloud Groups.
2. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

Passo 5: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

• Contacte o proprietário do projeto com a conta comprometida.
• Se a conta de serviço comprometida for uma conta de serviço do Vertex AI Agent Engine fornecida pela Google, não pode eliminá-la diretamente. Neste caso, limite as autorizações da conta de serviço ao mínimo necessário. Caso contrário, elimine a conta de serviço comprometida e altere e elimine todas as chaves de acesso da conta de serviço para o projeto comprometido. Após a eliminação, os recursos que usam a conta de serviço para autenticação perdem o acesso.
• Elimine os recursos do projeto criados pela conta comprometida, como instâncias do Compute Engine, instantâneos, contas de serviço e utilizadores do IAM desconhecidos.

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.