Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Fuite : accès depuis le proxy d'anonymisation

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.

Présentation

Les accès anormaux d'un proxy anonyme sont détectés en consultant les Cloud Audit Logs pour Google Cloud examiner les modifications apportées aux services provenant d'une adresse IP associée au réseau Tor.

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Pour traiter ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

Ouvrez le résultat Evasion: Access from Anonymizing Proxy comme indiqué dans Examiner un résultat. Le panneau des détails du résultat s'ouvre et affiche l'onglet Résumé.
Dans l'onglet Résumé du panneau "Détails du résultat", examinez les valeurs listées dans les sections suivantes :
- Risque détecté, en particulier les champs suivants :
  - Adresse e-mail du compte principal : compte ayant effectué les modifications (compte potentiellement compromis).
  - IP : adresse IP du proxy à partir duquel les modifications sont effectuées.
- Ressource concernée
- Liens associés, en particulier les champs suivants :
  - URI Cloud Logging : lien vers les entrées Logging.
  - Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
  - Résultats associés : liens vers les éventuels résultats associés.
Si vous le souhaitez, cliquez sur l'onglet JSON pour afficher des champs de résultat supplémentaires.

Étape 2 : Étudier les méthodes d'attaque et de réponse

Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Proxy : proxy à sauts multiples.
Contactez le propriétaire du compte dans le champ principalEmail. Confirmez si l'action a été effectuée par le propriétaire légitime.
Pour élaborer un plan d'intervention, combinez vos résultats d'enquête avec les recherches MITRE.

Exemple de code JSON du résultat

Voici un exemple de code JSON du résultat.

{
  "finding": {
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "resourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "state": "ACTIVE",
    "category": "Evasion: Access from Anonymizing Proxy",
    "sourceProperties": {
      "sourceId": {
        "projectNumber": "PROJECT_NUMBER",
        "customerOrganizationNumber": "ORGANIZATION_ID"
      },
      "detectionCategory": {
        "technique": "persistence",
        "indicator": "audit_log",
        "ruleName": "proxy_access"
      },
      "detectionPriority": "MEDIUM",
      "affectedResources": [{
        "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER"
      }],
      "evidence": [{
        "sourceLogId": {
          "resourceContainer": "projects/PROJECT_ID",
          "timestamp": {
            "seconds": "1633625631",
            "nanos": 1.78978E8
          },
          "insertId": "INSERT_ID"
        }
      }],
      "properties": {
        "changeFromBadIp": {
          "principalEmail": "PRINCIPAL_EMAIL",
          "ip": "SOURCE_IP_ADDRESS"
        }
      },
      "findingId": "FINDING_ID",
      "contextUris": {
        "mitreUri": {
          "displayName": "MITRE Link",
          "url": "https://attack.mitre.org/techniques/T1090/003/"
        },
        "cloudLoggingQueryUri": [{
          "displayName": "Cloud Logging Query Link",
          "url": "https://console.cloud.google.com/logs/query;query\u003dtimestamp%3D%222021-10-07T16:53:51.178978Z%22%0AinsertId%3D%22-INSERT_ID%22%0Aresource.labels.project_id%3D%22%22?project\u003d"
        }]
      }
    },
    "securityMarks": {
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
    },
    "eventTime": "2021-10-07T16:53:53.875Z",
    "createTime": "2021-10-07T16:53:54.411Z",
    "severity": "MEDIUM",
    "workflowState": "NEW",
    "canonicalName": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "mute": "UNDEFINED",
    "findingClass": "THREAT"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "projectDisplayName": "PROJECT_ID",
    "parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parentDisplayName": "PARENT_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "displayName": "PROJECT_ID"
  }
}

Étape suivante

Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
Consultez l'index des résultats de détection de menace.
Découvrez comment examiner un résultat dans la console Google Cloud .
Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.