Penemuan: Panggilan API Akun Layanan Tidak Sah Agent Engine

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk mengetahui daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Identitas agen melakukan panggilan API lintas project yang tidak sah. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.

Event Threat Detection adalah sumber temuan ini.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Meninjau detail temuan

1. Buka temuan Discovery: Agent Engine Unauthorized Service Account API Call seperti yang diarahkan dalam Meninjau temuan. Tinjau detail di tab Ringkasan dan JSON.

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan modifikasi.
     • Nama metode: metode yang dipanggil.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: resource yang coba diakses atau diubah oleh akun layanan.
   • Link terkait:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.

2. Identifikasi temuan lain yang terjadi pada waktu yang serupa untuk resource ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan karena kegagalan mengikuti praktik terbaik.

3. Tinjau setelan resource yang terpengaruh.

4. Periksa log untuk resource yang terpengaruh.

   1. Di tab Summary pada detail temuan di konsol Google Cloud , buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
   2. Tinjau kolom protoPayload.methodName dan protoPayload.resourceName untuk memahami panggilan API dan resource yang ditargetkan.

   3. Periksa tindakan lain yang dilakukan oleh pihak yang berwenang menggunakan filter berikut:

      • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
      • protoPayload.methodName="METHOD_NAME"
      • protoPayload.resourceName="RESOURCE_NAME"

      Ganti kode berikut:

      • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.
      • METHOD_NAME: nilai dari kolom Nama metode di detail temuan.
      • RESOURCE_NAME: nilai dari kolom Nama lengkap resource di detail temuan.

Meneliti metode serangan dan respons

Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Penemuan Infrastruktur Cloud.

Menerapkan respons Anda

Untuk rekomendasi respons, lihat Merespons temuan ancaman AI.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.