探索：Agent Engine 未經授權的服務帳戶 API 呼叫

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱威脅發現項目索引。

總覽

代理程式身分未經授權進行跨專案 API 呼叫。發現項目預設為「低」嚴重程度。

Event Threat Detection 是這項發現項目的來源。

回應方式

如要回應這項發現，請按照下列步驟操作：

查看發現項目詳細資料

1. 按照「查看結果」一文的指示，開啟 Discovery: Agent Engine Unauthorized Service Account API Call 發現項目。查看「摘要」和「JSON」分頁中的詳細資料。

   • 偵測到的內容，尤其是下列欄位：
     • 主體電子郵件地址：執行修改的帳戶。
     • 方法名稱：呼叫的方法。
   • 受影響的資源，尤其是下列欄位：
     • 資源顯示名稱：服務帳戶嘗試存取或修改的資源。
   • 相關連結：
     • Cloud Logging URI：記錄項目連結。
     • MITRE ATT&CK 方法：連結至 MITRE ATT&CK 文件。

2. 找出此資源在類似時間發生的其他發現事項。 相關發現可能指出這項活動是惡意活動，而非未遵循最佳做法。

3. 查看受影響資源的設定。

4. 查看受影響資源的記錄。

   1. 在Google Cloud 控制台的「發現項目詳細資料」分頁中，按一下「Cloud Logging URI」欄位中的連結，前往「Logs Explorer」。
   2. 查看 protoPayload.methodName 和 protoPayload.resourceName 欄位，瞭解 API 呼叫和目標資源。

   3. 使用下列篩選條件，檢查主體執行的其他動作：

      • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
      • protoPayload.methodName="METHOD_NAME"
      • protoPayload.resourceName="RESOURCE_NAME"

      更改下列內容：

      • PRINCIPAL_EMAIL：您在調查結果詳細資料的「主體電子郵件」欄位中記下的值。
      • METHOD_NAME：發現詳細資料中「方法名稱」欄位的值。
      • RESOURCE_NAME：調查結果詳細資料中「資源完整名稱」欄位的值。

研究攻擊和回應方法

查看這類發現項目的 MITRE ATT&CK 架構項目： Cloud Infrastructure Discovery。

實作回覆內容

如需回應建議，請參閱「回應 AI 威脅發現結果」。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅調查結果的服務。