发现：Agent Engine 未经授权的服务账号 API 调用

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时，会生成威胁发现结果。如需查看可用威胁发现结果的完整列表，请参阅威胁发现结果索引。

概览

某个代理身份进行了未经授权的跨项目 API 调用。默认情况下，发现结果会被归类为低严重程度。

Event Threat Detection 是此发现结果的来源。

如何应答

如需响应此发现结果，请执行以下操作：

查看发现结果详细信息

1. 按照查看发现结果中所述，打开 Discovery: Agent Engine Unauthorized Service Account API Call 发现结果。查看摘要和 JSON 标签页中的详细信息。

   • 检测到的内容，尤其是以下字段：
     • 主账号电子邮件地址：执行修改操作的账号。
     • 方法名称：所调用的方法。
   • 受影响的资源，尤其是以下字段：
     • 资源显示名称：服务账号尝试访问或修改的资源。
   • 相关链接：
     • Cloud Logging URI：指向 Logging 条目的链接。
     • MITRE ATT&CK 方法：指向 MITRE ATT&CK 文档的链接。

2. 找出系统在接近的时间为此资源生成的其他发现结果。相关发现结果可能表明此活动是恶意活动，而不是未遵循最佳实践。

3. 查看受影响资源的设置。

4. 检查受影响资源的日志。

   1. 在Google Cloud 控制台中发现结果详细信息的摘要标签页上，通过点击 Cloud Logging URI 字段中的链接转到日志浏览器。
   2. 查看 protoPayload.methodName 和 protoPayload.resourceName 字段，了解 API 调用及其目标资源。

   3. 使用以下过滤条件检查主账号执行的其他操作：

      • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
      • protoPayload.methodName="METHOD_NAME"
      • protoPayload.resourceName="RESOURCE_NAME"

      替换以下内容：

      • PRINCIPAL_EMAIL：您在发现结果详情的主账号电子邮件地址字段中记下的值。
      • METHOD_NAME：发现结果详情中方法名称字段的值。
      • RESOURCE_NAME：发现结果详情中资源全名字段的值。

研究攻击和响应方法

查看此发现结果类型的 MITRE ATT&CK 框架条目：云基础设施发现。

实施响应

如需了解响应建议，请参阅响应 AI 威胁发现结果。

后续步骤

• 了解如何在 Security Command Center 中处理威胁发现结果。
• 请参阅威胁发现结果索引。
• 了解如何通过 Google Cloud 控制台查看发现结果。
• 了解生成威胁发现结果的服务。