本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱威脅發現項目索引。
總覽
代理程式身分使用
serviceAccounts.signJwt 方法,為另一個服務帳戶產生存取權杖。發現項目預設為低嚴重程度。
Event Threat Detection 是這項發現項目的來源。
回應方式
如要回應這項發現,請按照下列步驟操作:
查看發現項目詳細資料
按照「查看結果」一文的指示,開啟
Privilege Escalation: Agent Engine Suspicious Token Generation發現項目。查看「摘要」和「JSON」分頁中的詳細資料。- 偵測到的內容,尤其是下列欄位:
- 主體電子郵件地址:呼叫
signJwt的帳戶。 - 方法名稱:呼叫的方法 (
iam.serviceAccounts.signJwt)。
- 主體電子郵件地址:呼叫
- 受影響的資源,尤其是下列欄位:
- 資源顯示名稱:服務帳戶嘗試存取或修改的資源。
- 相關連結:
- Cloud Logging URI:記錄項目連結。
- MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
- 偵測到的內容,尤其是下列欄位:
找出此資源在類似時間發生的其他發現事項。 相關發現可能指出這項活動是惡意活動,而非未遵循最佳做法。
查看受影響資源的設定。
查看受影響資源的記錄。
- 在Google Cloud 控制台的「發現項目詳細資料」分頁中,按一下「Cloud Logging URI」欄位中的連結,前往「Logs Explorer」。
使用下列篩選條件,檢查主體執行的其他動作:
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
將
PRINCIPAL_EMAIL換成您在調查結果詳細資料的「主體電子郵件地址」欄位中記下的值。
研究攻擊和回應方法
請參閱這項發現類型的 MITRE ATT&CK 框架項目: 竊取應用程式存取權杖。
實作回覆內容
如需回應建議,請參閱「回應 AI 威脅發現結果」。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅調查結果的服務。