Eskalasi Hak Istimewa: Pembuatan Token Mencurigakan Agent Engine (signJwt)

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk mengetahui daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Identitas agen menggunakan metode serviceAccounts.signJwt untuk membuat token akses bagi akun layanan lain. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.

Event Threat Detection adalah sumber temuan ini.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Meninjau detail temuan

1. Buka temuan Privilege Escalation: Agent Engine Suspicious Token Generation seperti yang diarahkan dalam Meninjau temuan. Tinjau detail di tab Ringkasan dan JSON.

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang memanggil signJwt.
     • Nama metode: metode yang dipanggil (iam.serviceAccounts.signJwt).
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: resource yang coba diakses atau diubah oleh akun layanan.
   • Link terkait:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.

2. Identifikasi temuan lain yang terjadi pada waktu yang serupa untuk resource ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan karena kegagalan mengikuti praktik terbaik.

3. Tinjau setelan resource yang terpengaruh.

4. Periksa log untuk resource yang terpengaruh.

   1. Di tab Summary pada detail temuan di konsol Google Cloud , buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.

   2. Periksa tindakan lain yang dilakukan oleh pihak yang berwenang menggunakan filter berikut:

      • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

      Ganti PRINCIPAL_EMAIL dengan nilai yang Anda catat di kolom Email utama dalam detail temuan.

Meneliti metode serangan dan respons

Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Mencuri Token Akses Aplikasi.

Menerapkan respons Anda

Untuk rekomendasi respons, lihat Merespons temuan ancaman AI.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.