Découverte : Appel d'API de compte de service par Agent Engine non autorisé

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.

Présentation

Une identité d'agent a effectué un appel d'API non autorisé entre projets. Par défaut, les résultats sont classés dans le niveau de gravité faible.

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Pour traiter ce résultat, procédez comme suit :

Examiner les détails des résultats

1. Ouvrez le résultat Discovery: Agent Engine Unauthorized Service Account API Call comme indiqué dans Examiner un résultat. Examinez les détails dans les onglets Résumé et JSON.

   • Risque détecté, en particulier les champs suivants :
     • Adresse e-mail du compte principal : compte ayant effectué la modification.
     • Nom de la méthode : méthode appelée.
   • Ressource concernée, en particulier le champ suivant :
     • Nom à afficher de la ressource : ressource à laquelle le compte de service a tenté d'accéder ou qu'il a tenté de modifier.
   • Liens associés :
     • URI Cloud Logging : lien vers les entrées Logging.
     • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.

2. Identifiez d'autres résultats détectés à peu près au même moment pour cette ressource. Les résultats associés peuvent indiquer que cette activité était malveillante, et non qu'il s'agissait d'un manquement aux bonnes pratiques.

3. Vérifiez les paramètres de la ressource concernée.

4. Consultez les journaux de la ressource concernée.

   1. Dans l'onglet Résumé des détails du résultat dans la consoleGoogle Cloud , accédez à l'explorateur de journaux en cliquant sur le lien dans le champ URI Cloud Logging.
   2. Examinez les champs protoPayload.methodName et protoPayload.resourceName pour comprendre l'appel d'API et la ressource qu'il ciblait.

   3. Vérifiez les autres actions effectuées par le compte principal à l'aide des filtres suivants :

      • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
      • protoPayload.methodName="METHOD_NAME"
      • protoPayload.resourceName="RESOURCE_NAME"

      Remplacez les éléments suivants :

      • PRINCIPAL_EMAIL : valeur que vous avez notée dans le champ Adresse e-mail du compte principal des résultats détaillés.
      • METHOD_NAME : valeur du champ Nom de la méthode dans les détails du résultat.
      • RESOURCE_NAME : valeur du champ Nom complet de la ressource dans les détails du résultat.

Étudier les méthodes d'attaque et de réponse

Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Découverte de l'infrastructure cloud.

Mettre en œuvre votre réponse

Pour obtenir des recommandations de réponse, consultez Répondre aux résultats de détection des menaces d'IA.

Étape suivante

• Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
• Consultez l'index des résultats de détection de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.