Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הסלמת הרשאות: התחזות חריגה לחשבון שירות לצורך גישה לנתונים

במסמך הזה מתואר סוג של ממצא איום ב-Security Command Center. ממצאי איומים נוצרים על ידי מזהי איומים כשהם מזהים איום פוטנציאלי במשאבי הענן שלכם. רשימה מלאה של ממצאי האיומים הזמינים מופיעה באינדקס ממצאי האיומים.

סקירה כללית

המערכת מזהה את Anomalous Service Account Impersonator על ידי בדיקת יומני הביקורת של גישה לנתונים, כדי לראות אם חלה אנומליה כלשהי בבקשה להתחזות לחשבון שירות.

Event Threat Detection הוא המקור של הממצא הזה.

איך מגיבים

כדי להגיב לממצא הזה:

שלב 1: בדיקת פרטי הממצא

פותחים את הממצא Privilege Escalation: Anomalous Service Account Impersonator for Data Access לפי ההוראות שבמאמר בדיקת הממצאים.
בפרטי הממצא, בכרטיסייה סיכום, מציינים את הערכים של השדות הבאים.

בקטע מה זוהה:
- אימייל של הגורם המורשה: חשבון השירות הסופי בבקשת ההתחזות ששימש לגישה ל-Google Cloud
- שם השירות: שם ה-API של שירות Google Cloud שמעורב בבקשת ההתחזות
- שם השיטה: השיטה שהופעלה
- פרטי הענקת גישה לחשבון שירות: פרטים של חשבונות שירות בשרשרת הענקת הגישה. חשבון המשתמש שמופיע בתחתית הרשימה הוא זה שביצע את הקריאה החוזרת של בקשת ההתחזות.

שלב 2: מחקר על שיטות התקפה ותגובה

פונים לבעלים של חשבון השירות בשדה Principal email. בודקים אם הבעלים החוקי ביצע את הפעולה.
בודקים את הגורמים העיקריים בשרשרת ההעברה כדי לוודא שהבקשה לא חריגה וששום חשבון לא נפרץ.
פונים לבעלים של החשבון שמתחזה לחשבון השירות ברשימה Service account delegation info. צריך לוודא שהבעלים החוקי ביצע את הפעולה.

שלב 3: מיישמים את התגובה

תוכנית התגובה הבאה עשויה להתאים לממצא הזה, אבל היא עלולה גם להשפיע על הפעולות. חשוב לבדוק בקפידה את המידע שאספתם במהלך החקירה כדי להבין מהי הדרך הטובה ביותר לפתור את הבעיות.

צריך לפנות לבעלים של הפרויקט שבו בוצעה הפעולה.
מומלץ למחוק את חשבון השירות שייתכן שנפרץ, לעדכן את כל מפתחות הגישה של חשבונות השירות בפרויקט שייתכן שנפרץ ולמחוק אותם. אחרי המחיקה, המשאבים שמשתמשים בחשבון השירות לצורך אימות מאבדים את הגישה. לפני שממשיכים, צוות האבטחה צריך לזהות את כל המשאבים המושפעים ולעבוד עם בעלי המשאבים כדי להבטיח את המשכיות העסקית.
כדאי לעבוד עם צוות האבטחה כדי לזהות משאבים לא מוכרים, כולל מכונות ב-Compute Engine, תמונות מצב, חשבונות שירות ומשתמשי IAM. למחוק משאבים שלא נוצרו באמצעות חשבונות מורשים.
להשיב לכל ההתראות מ Google Cloud התמיכה.
כדי להגביל את האנשים שיכולים ליצור חשבונות שירות, משתמשים בשירות מדיניות הארגון.
כדי לזהות ולתקן תפקידים עם יותר מדי הרשאות, אפשר להשתמש בשירות המלצות IAM.

המאמרים הבאים

איך עובדים עם ממצאי איומים ב-Security Command Center
אפשר לעיין באינדקס של ממצאי איומים.
איך בודקים ממצא דרך מסוף Google Cloud .
מידע על השירותים שמפיקים ממצאים לגבי איומים