Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati di minaccia vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle risorse cloud. Per un elenco completo dei risultati di minaccia disponibili, consulta l'indice dei risultati di minaccia.
Panoramica
Il risultato Anomalous Multistep Service Account Delegation viene rilevato quando i log di controllo dell'attività di amministrazione di un servizio AI mostrano che si è verificata un'anomalia in una richiesta di simulazione dell'identità di un account di servizio.
Event Threat Detection è l'origine di questo risultato.
Come rispondere
Per rispondere a questo risultato:
Passaggio 1: esamina i dettagli del risultato
Apri il risultato
Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access, come indicato in Esaminare i risultati. Si apre il riquadro dei dettagli del risultato nella scheda Riepilogo.Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni:
- Che cosa è stato rilevato, in particolare i seguenti campi:
- Indirizzo email dell'entità: l'account di servizio finale nella richiesta di simulazione dell'identità che è stato utilizzato per accedere Google Cloud
- Nome metodo: il metodo che è stato chiamato
- Informazioni relative alla delega per il service account: dettagli dei service account nella catena di delega. L'entità in fondo all'elenco è il chiamante della richiesta di simulazione dell'identità
- Risorse AI: le risorse AI potenzialmente interessate, come le risorse della piattaforma dell'agente e il modello AI.
- Risorsa interessata
- Link correlati, in particolare i seguenti campi:
- URI Cloud Logging: link alle voci di log.
- Metodo MITRE ATT&CK: link alla documentazione MITRE ATT&CK.
- Risultati correlati: link a eventuali risultati correlati.
- Che cosa è stato rilevato, in particolare i seguenti campi:
Passaggio 2: ricerca i metodi di attacco e risposta
- Contatta il proprietario del account di servizio nel campo Indirizzo email dell'entità. Verifica se l'azione è stata eseguita dal proprietario legittimo.
- Esamina le entità nella catena di delega per verificare se la richiesta è anomala e se un account è stato compromesso.
- Contatta il proprietario del chiamante della simulazione dell'identità nell'elenco Informazioni sulla delega per il service account. Verifica se l'azione è stata eseguita dal proprietario legittimo.
Passaggio 3: implementa la risposta
Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.
- Contatta il proprietario del progetto in cui è stata eseguita l'azione.
- Valuta la possibilità di eliminare il service account potenzialmente compromesso, di ruotare ed eliminare tutte le chiavi di accesso del account di servizio per il progetto potenzialmente compromesso. Dopo l'eliminazione, le risorse che utilizzano il account di servizio per l'autenticazione perdono l'accesso. Prima di procedere, il team di sicurezza deve identificare tutte le risorse interessate e collaborare con i proprietari delle risorse per garantire la continuità operativa.
- Collabora con il tuo team di sicurezza per identificare le risorse sconosciute, tra cui istanze Compute Engine, snapshot, service account e utenti IAM. Elimina le risorse non create con account autorizzati.
- Rispondi a eventuali notifiche dell'assistenza clienti Google Cloud.
- Per limitare chi può creare service account, utilizza il servizio Policy dell'organizzazione.
- Per identificare e correggere i ruoli eccessivamente permissivi, utilizza IAM Recommender.
Passaggi successivi
- Scopri come utilizzare i risultati di minaccia in Security Command Center.
- Consulta l'indice dei risultati di minaccia.
- Scopri come esaminare un risultato tramite la Google Cloud console.
- Scopri i servizi che generano risultati di minaccia.