Persistance : nouvelle zone géographique

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils identifient une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menaces disponibles, consultez cet index.

Présentation

Ce résultat n'est pas disponible pour les activations au niveau d'un projet.

Un utilisateur ou un compte de service IAM accède à Google Cloudà partir d'un emplacement anormal, d'après la géolocalisation de l'adresse IP à l'origine de la demande.

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Pour traiter ce résultat, procédez comme suit :

Étape 1 : Examinez les détails du résultat

1. Ouvrez un résultat Persistence: New Geography, comme indiqué dans la section Examiner les détails des résultats plus haut sur cette page. Le panneau des détails du résultat s'ouvre dans l'onglet Résumé.

2. Dans l'onglet Résumé, examinez les informations des sections suivantes :

• Risque détecté, en particulier le champ suivant :
  • Adresse e-mail du compte principal : compte utilisateur potentiellement compromis.
• Ressource concernée, en particulier le champ suivant :
  • Nom complet du projet : projet contenant le compte utilisateur potentiellement compromis.
• Liens associés, en particulier les champs suivants :
  • URI Cloud Logging : lien vers les entrées Logging.
  • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
  • Résultats associés : liens vers les éventuels résultats associés.

1. Dans la vue détaillée du résultat, cliquez sur l'onglet JSON.

2. Dans le fichier JSON, notez les champs sourceProperties suivants :

   • affectedResources :
     • gcpResourceName : ressource concernée.
   • evidence :
     • sourceLogId :
     • projectId : ID du projet contenant le résultat.
   • properties :
     • anomalousLocation :
     • anomalousLocation : position actuelle estimée de l'utilisateur.
     • callerIp : adresse IP externe.
     • notSeenInLast : période utilisée pour établir un comportement normal de référence.
     • typicalGeolocations : lieux depuis lesquels l'utilisateur accède généralement aux ressourcesGoogle Cloud .

Étape 2 : Vérifiez les autorisations du projet et du compte

1. Dans la console Google Cloud , accédez à la page IAM.

   Accéder à IAM

2. Si nécessaire, sélectionnez le projet indiqué dans le champ projectID du JSON du résultat.

3. Sur la page qui s'affiche, dans la zone Filtre, saisissez le nom du compte qui figure dans Adresse e-mail du compte principal et vérifiez les rôles attribués.

Étape 3 : Vérifiez les journaux

1. Dans l'onglet Résumé du panneau de détails du résultat, cliquez sur le lien URI Cloud Logging pour ouvrir l'explorateur de journaux.
2. Si nécessaire, sélectionnez votre projet.
3. Sur la page qui s'affiche, vérifiez si les journaux contiennent des activités de ressources IAM nouvelles ou mises à jour à l'aide des filtres suivants :
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Étape 4 : Étudiez les méthodes d'attaque et de réponse

1. Consultez l'entrée du framework MITRE ATT&CK pour le type de résultat Comptes valides : comptes Cloud.
2. Pour élaborer votre plan de réponse, combinez les résultats de votre enquête à la documentation MITRE.

Étape 5 : Mettez en œuvre votre plan de réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par le résultat.

• Contactez le propriétaire du projet utilisant le compte compromis.
• Vérifiez les champs anomalousLocation, typicalGeolocations et notSeenInLast pour déterminer si l'accès est anormal et si le compte a été compromis.
• Supprimez les ressources de projet créées par des comptes non autorisés, telles que les instances Compute Engine, les instantanés, les comptes de service et les utilisateurs IAM inconnus.
• Pour restreindre la création de ressources à des régions spécifiques, consultez Restreindre les emplacements des ressources.
• Pour identifier et corriger les rôles trop permissifs, utilisez l'outil de recommandation IAM.

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection de menaces dans Security Command Center.
• Consultez l'index des résultats de détection de menaces.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• En savoir plus sur les services qui génèrent des résultats de détection de menaces