Descoberta: chamada de API não autorizada de conta de serviço do Agent Engine

Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.

Visão geral

Uma identidade de agente fez uma chamada de API não autorizada entre projetos. As descobertas são classificadas com gravidade baixa por padrão.

O Event Threat Detection é a origem dessa descoberta.

Como responder

Para responder a essa descoberta:

Analisar os detalhes da descoberta

1. Abra a descoberta Discovery: Agent Engine Unauthorized Service Account API Call, conforme explicado em Analisar uma descoberta. Confira os detalhes nas guias Resumo e JSON.

   • O que foi detectado, especialmente os seguintes campos:
     • E-mail principal: a conta que realizou a modificação.
     • Nome do método: o método que foi chamado.
   • Recurso afetado, especialmente o seguinte campo:
     • Nome de exibição do recurso: o recurso que a conta de serviço tentou acessar ou modificar.
   • Links relacionados:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.

2. Identifique outras descobertas que ocorreram em um momento semelhante para esse recurso. As descobertas relacionadas podem indicar que essa atividade era mal-intencionada, e não uma falha em seguir as práticas recomendadas.

3. Revise as configurações do recurso afetado.

4. Verifique os registros desse recurso.

   1. Na guia Resumo dos detalhes da descoberta no console doGoogle Cloud , acesse o Explorador de registros clicando no link no campo URI do Cloud Logging.
   2. Analise os campos protoPayload.methodName e protoPayload.resourceName para entender a chamada de API e o recurso que ela segmentou.

   3. Verifique se há outras ações realizadas pelo principal usando os seguintes filtros:

      • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
      • protoPayload.methodName="METHOD_NAME"
      • protoPayload.resourceName="RESOURCE_NAME"

      Substitua:

      • PRINCIPAL_EMAIL: o valor que você anotou no campo E-mail principal nos detalhes da descoberta.
      • METHOD_NAME: o valor do campo Nome do método nos detalhes da descoberta.
      • RESOURCE_NAME: o valor do campo Nome completo do recurso nos detalhes da descoberta.

Pesquisar métodos de ataque e resposta

Verifique a entrada do framework do MITRE ATT&CK em busca deste tipo de descoberta: Descoberta de infraestrutura de nuvem.

Implementar a resposta

Para recomendações de resposta, consulte Responder a descobertas de ameaças de IA.

A seguir

• Saiba como usar descobertas de ameaças no Security Command Center.
• Consulte Índice de descobertas de ameaças.
• Aprenda a analisar uma descoberta no console do Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.