Esta página foi traduzida pela API Cloud Translation.

Persistência: novo método da API

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Foi detetada atividade de administrador anómala por parte de um ator potencialmente malicioso numa organização, numa pasta ou num projeto. A atividade anómala pode ser qualquer uma das seguintes:

Nova atividade de um principal numa organização, numa pasta ou num projeto
Atividade que não é vista há algum tempo por um principal numa organização, numa pasta ou num projeto

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

Abra a descoberta Persistence: New API Method conforme indicado em Rever descobertas.
Nos detalhes da deteção, no separador Resumo, repare nos valores dos seguintes campos:
- Em O que foi detetado:
  - Email principal: a conta que fez a chamada
  - Nome do serviço: o nome da API do serviço Google Cloud usado na ação
  - Nome do método: o método que foi chamado
- Em Recurso afetado:
  - Nome a apresentar do recurso: o nome do recurso afetado, que pode ser igual ao nome da organização, da pasta ou do projeto
  - Caminho do recurso: a localização na hierarquia de recursos onde a atividade ocorreu

Passo 2: pesquise métodos de ataque e resposta

Reveja as entradas da framework MITRE ATT&CK para este tipo de descoberta: Persistência.
Investigue se a ação foi justificada na organização, na pasta ou no projeto e se foi tomada pelo proprietário legítimo da conta. A organização, a pasta ou o projeto são apresentados na linha Caminho do recurso e a conta é apresentada na linha Email principal.
Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

O que se segue?

Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
Consulte o índice de resultados de ameaças.
Saiba como rever uma descoberta através da Google Cloud consola.
Saiba mais sobre os serviços que geram resultados de ameaças.