Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

העלאת רמת הרשאה: חשבון שירות רדום קיבל תפקיד רגיש

במסמך הזה מתואר סוג של ממצא איום ב-Security Command Center. ממצאי איומים נוצרים על ידי מזהי איומים כשהם מזהים איום פוטנציאלי במשאבי הענן שלכם. רשימה מלאה של ממצאי האיומים הזמינים מופיעה באינדקס ממצאי האיומים.

סקירה כללית

תפקיד רגיש ב-IAM הוקצה לחשבון שירות שמנוהל על ידי משתמש במצב לא פעיל. בהקשר הזה, חשבון שירות נחשב רדום אם הוא לא היה פעיל במשך יותר מ-180 יום.

Event Threat Detection הוא המקור של הממצא הזה.

איך מגיבים

כדי להגיב לממצא הזה:

שלב 1: בדיקת פרטי הממצא

פותחים את הממצא Privilege Escalation: Dormant Service Account Granted Sensitive Role כמו שמתואר במאמר בדיקת ממצאים.
בפרטי הממצא, בכרטיסייה סיכום, מציינים את הערכים של השדות הבאים.

בקטע מה זוהה:
- כתובת האימייל של הגורם המרכזי: המשתמש שביצע את פעולת ההענקה
- Offending access grants.Principal name: חשבון השירות הלא פעיל שקיבל את התפקיד הרגיש
- הרשאות גישה בעייתיות.התפקיד שניתן: תפקיד ה-IAM הרגיש שהוקצה
בקטע מקור המידע שהושפע:
- שם התצוגה של המשאב: הארגון, התיקייה או הפרויקט שבהם הוקצה לחשבון השירות הלא פעיל תפקיד רגיש ב-IAM.

שלב 2: מחקר על שיטות התקפה ותגובה

כדי לבדוק את הפעילות של חשבון השירות הרדום, אפשר להשתמש בכלים לחשבונות שירות, כמו כלי לניתוח פעילות.
פונים לבעלים של השדה כתובת אימייל ראשית. בודקים אם הבעלים החוקי ביצע את הפעולה.

שלב 3: בדיקת היומנים

בכרטיסיית הסיכום של חלונית פרטי הממצא, בקטע קישורים קשורים, לוחצים על הקישור Cloud Logging URI כדי לפתוח את Logs Explorer.

שלב 4: מיישמים את התגובה

תוכנית התגובה הבאה עשויה להתאים לממצא הזה, אבל היא עלולה גם להשפיע על הפעולות. חשוב לבדוק בקפידה את המידע שאספתם במהלך החקירה כדי להבין מהי הדרך הטובה ביותר לפתור את הבעיות.

צריך לפנות לבעלים של הפרויקט שבו בוצעה הפעולה.
אם יש פריצה לחשבון של הבעלים של כתובת האימייל של חשבון המשתמש, צריך להסיר את הגישה שלו.
מסירים את תפקיד ה-IAM הרגיש שהוקצה לאחרונה מחשבון השירות הלא פעיל.
מומלץ למחוק את חשבון השירות שייתכן שנפרץ, לעדכן את כל מפתחות הגישה של חשבונות השירות בפרויקט שייתכן שנפרץ ולמחוק אותם. אחרי המחיקה, המשאבים שמשתמשים בחשבון השירות לצורך אימות מאבדים את הגישה. לפני שממשיכים, צוות האבטחה צריך לזהות את כל המשאבים המושפעים ולעבוד עם בעלי המשאבים כדי להבטיח את המשכיות העסקית.
כדאי לעבוד עם צוות האבטחה כדי לזהות משאבים לא מוכרים, כולל מכונות ב-Compute Engine, תמונות מצב, חשבונות שירות ומשתמשי IAM. למחוק משאבים שלא נוצרו באמצעות חשבונות מורשים.
להשיב לכל ההודעות מ-Cloud Customer Care.
כדי להגביל את האפשרות ליצור חשבונות שירות, משתמשים בשירות מדיניות הארגון.
כדי לזהות ולתקן תפקידים עם יותר מדי הרשאות, אפשר להשתמש בשירות המלצות של IAM.

המאמרים הבאים

איך עובדים עם ממצאי איומים ב-Security Command Center
אפשר לעיין באינדקס של ממצאי איומים.
איך בודקים ממצא דרך מסוף Google Cloud .
מידע על השירותים שמפיקים ממצאים לגבי איומים