Auto investigação da conta de serviço

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Está a ser usada uma credencial da conta de serviço para investigar as funções e as autorizações associadas a essa mesma conta de serviço. Esta descoberta indica que as credenciais da conta de serviço podem estar comprometidas e que deve tomar medidas imediatas.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

  1. Abra uma deteção Discovery: Service Account Self-Investigation, conforme indicado em Rever detalhes da deteção anteriormente nesta página. O painel de detalhes da deteção é aberto no separador Resumo.

  2. No separador Resumo, reveja as informações nas seguintes secções:

    • O que foi detetado, especialmente os seguintes campos:
      • Gravidade: o nível de risco atribuído à descoberta. A gravidade é HIGH se a chamada API que acionou esta descoberta não estiver autorizada. A conta de serviço não tem autorização para consultar as suas próprias autorizações do IAM com a API projects.getIamPolicy.
      • Email principal: a conta de serviço potencialmente comprometida.
      • IP do autor da chamada: o endereço IP interno ou externo
    • Recurso afetado, especialmente os seguintes campos:
      • Nome completo do recurso:
      • Nome completo do projeto: o projeto que contém as credenciais da conta potencialmente roubadas.
    • Links relacionados, especialmente os seguintes campos:
      • URI do Cloud Logging: link para as entradas do Logging.
      • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
      • Resultados relacionados: links para resultados relacionados.
    1. Para ver o JSON completo da descoberta, clique no separador JSON.

Passo 2: reveja as autorizações do projeto e da conta de serviço

  1. Na Google Cloud consola, aceda à página IAM.

    Aceda ao IAM

  2. Se necessário, selecione o projeto indicado no campo projectID do JSON de deteção.

  3. Na página apresentada, na caixa Filtro, introduza o nome da conta indicado em Email principal e verifique as autorizações atribuídas.

  4. Na Google Cloud consola, aceda à página Contas de serviço.

    Aceda a Contas de serviço

  5. Na página apresentada, na caixa Filtro, introduza o nome da conta de serviço comprometida e verifique as chaves da conta de serviço e as datas de criação das chaves.

Passo 3: verifique os registos

  1. No separador Resumo do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o explorador de registos.
  2. Se necessário, selecione o seu projeto.
  3. Na página carregada, verifique os registos de atividade de recursos do IAM novos ou atualizados através dos seguintes filtros:
    • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
    • protoPayload.methodName="SetIamPolicy"
    • protoPayload.authenticationInfo.principalEmail="principalEmail"

Passo 4: pesquise métodos de ataque e resposta

  1. Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Permission Groups Discovery: Cloud Groups.
  2. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

Passo 5: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

  • Contacte o proprietário do projeto com a conta comprometida.
  • Elimine a conta de serviço comprometida e altere e elimine todas as chaves de acesso da conta de serviço para o projeto comprometido. Após a eliminação, os recursos que usam a conta de serviço para autenticação perdem o acesso.
  • Elimine os recursos do projeto criados pela conta comprometida, como instâncias do Compute Engine, instantâneos, contas de serviço e utilizadores do IAM desconhecidos.

O que se segue?