Acesso inicial: ações de autorização recusada excessivas

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Um principal acionou repetidamente erros de permissão negada em vários métodos e serviços.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

1. Abra a Initial Access: Excessive Permission Denied Actions descoberta, conforme indicado em Rever descobertas.

2. Nos detalhes da descoberta, no separador Resumo, tome nota dos valores dos seguintes campos.

   Em O que foi detetado:

   • Email principal: o principal que acionou vários erros de acesso negado
   • Nome do serviço: o nome da API do serviço Google Cloud em que ocorreu o último erro de permissão negada
   • Nome do método: o método chamado quando ocorreu o último erro de autorização recusada

3. Nos detalhes da descoberta, no separador Propriedades de origem, tome nota dos valores dos seguintes campos no JSON:

   • properties.failedActions: os erros de autorização recusada que ocorreram. Para cada entrada, os detalhes incluem o nome do serviço, o nome do método, o número de tentativas falhadas e a hora em que o erro ocorreu pela última vez. É apresentado um máximo de 10 entradas.

Passo 2: verifique os registos

1. Na Google Cloud consola, aceda ao Explorador de registos clicando no link em URI do Cloud Logging.
2. Na Google Cloud barra de ferramentas da consola, selecione o seu projeto.

3. Na página carregada, encontre registos relacionados através do seguinte filtro:

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
   • protoPayload.status.code=7

   Substitua PRINCIPAL_EMAIL pelo valor que anotou no campo Email principal nos detalhes da descoberta.

Passo 3: pesquise métodos de ataque e resposta

1. Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Contas válidas: contas na nuvem.
2. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

Passo 4: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

• Contacte o proprietário da conta no campo Email principal. Confirme se o proprietário legítimo realizou a ação.
• Elimine os recursos do projeto criados por essa conta, como instâncias do Compute Engine, instantâneos, contas de serviço e utilizadores do IAM desconhecidos, etc.
• Contacte o proprietário do projeto com a conta e, potencialmente, elimine ou desative a conta.

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.