Élévation des privilèges : rôle autorisant l'emprunt d'identité attribué à un compte de service inactif

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.

Présentation

Un rôle permettant l'emprunt d'identité a été attribué à un compte principal, l'autorisant à emprunter l'identité d'un compte de service géré par l'utilisateur qui est actuellement inactif. Dans ce résultat, la ressource concernée est le compte de service inactif. Un compte de service est considéré comme inactif lorsqu’il n’a pas été utilisé depuis plus de 180 jours.

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Pour traiter ce résultat, procédez comme suit :

Étape 1 : Examiner les résultats détaillés

  1. Ouvrez le résultat Privilege Escalation: Impersonation Role Granted for Dormant Service Account comme indiqué dans Examiner les résultats.

  2. Dans l'onglet Résumé des résultats détaillées, notez les valeurs des champs suivants.

    Sous Risque détecté :

    • Adresse e-mail du compte principal : utilisateur ayant effectué l'attribution
    • Autorisations d'accès incriminées. Nom du compte principal : compte principal auquel le rôle d'emprunt d'identité a été attribué

    Sous Ressource concernée :

    • Nom à afficher de la ressource : compte de service inactif en tant que ressource
    • Nom complet du projet : projet dans lequel réside le compte de service inactif

Étape 2 : Étudier les méthodes d'attaque et de réponse

  1. Utilisez les outils de compte de service, comme Activity Analyzer, pour vérifier l'activité du compte de service inactif.
  2. Contactez le propriétaire du champ Adresse e-mail du compte principal. Confirmez que ce propriétaire légitime est bien à l'origine de l'action.

Étape 3 : Vérifier les journaux

  1. Dans l'onglet Résumé du panneau des résultats détaillés, sous Liens associés, cliquez sur le lien URI Cloud Logging pour ouvrir l'explorateur de journaux.

Étape 4 : Mettre en œuvre votre réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par le résultat.

  • Contactez le propriétaire du projet dans lequel l'action a été effectuée.
  • Supprimez l'accès du propriétaire de l'adresse e-mail associée au compte principal si elle est compromise.
  • Supprimez le rôle d'emprunt d'identité qui vient d'être attribué au membre cible.
  • Envisagez de supprimer le compte de service potentiellement compromis et d'alterner toutes les clés d'accès au compte de service du projet potentiellement compromis afin de les supprimer. Après la suppression, les applications qui utilisent le compte de service pour l'authentification perdront l'accès. Avant de procéder, votre équipe de sécurité doit donc identifier toutes les applications concernées et contacter leurs propriétaires pour assurer la continuité des opérations.
  • Avec votre équipe de sécurité, identifiez les ressources inconnues, y compris les instances Compute Engine, les instantanés, les comptes de service et les utilisateurs IAM. Supprimez les ressources qui n'ont pas été créées avec des comptes autorisés.
  • Répondez aux notifications de Cloud Customer Care.
  • Pour limiter les utilisateurs autorisés à créer des comptes de service, utilisez le service de règles d'administration.
  • Pour identifier et corriger les rôles trop permissifs, utilisez l'outil de recommandation IAM.

Étapes suivantes