Persistência: novo agente do utilizador

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Esta descoberta não está disponível para ativações ao nível do projeto.

Uma conta de serviço da IAM está a aceder Google Cloud através de software suspeito, conforme indicado por um agente do utilizador anómalo.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

1. Abra uma deteção Persistence: New User Agent, conforme indicado em Rever detalhes da deteção anteriormente nesta página. O painel de detalhes da deteção é aberto no separador Resumo.

2. No separador Resumo, reveja as informações nas seguintes secções:

   • O que foi detetado, especialmente os seguintes campos:
     • Email principal: a conta de serviço potencialmente comprometida.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do projeto: o projeto que contém a conta de serviço potencialmente comprometida.
   • Links relacionados, especialmente os seguintes campos:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Resultados relacionados: links para resultados relacionados.
   1. Na vista de detalhes da descoberta, clique no separador JSON.
   2. No JSON, tenha em atenção os seguintes campos.
   • projectId: o projeto que contém a conta de serviço potencialmente comprometida.
   • callerUserAgent: o agente do utilizador anómalo.
   • anomalousSoftwareClassification: o tipo de software.
   • notSeenInLast: o período usado para estabelecer uma base de referência para o comportamento normal.

Passo 2: reveja as autorizações do projeto e da conta

1. Na Google Cloud consola, aceda à página IAM.

   Aceda ao IAM

2. Se necessário, selecione o projeto apresentado em projectId.

3. Na página apresentada, na caixa Filtro, introduza o nome da conta que está listado na linha Email principal no separador Resumo dos detalhes da descoberta e verifique as funções concedidas.

4. Na Google Cloud consola, aceda à página Contas de serviço.

   Aceda a Contas de serviço

5. Na página apresentada, na caixa Filtro, introduza o nome da conta que está indicado na linha Email principal no separador Resumo dos detalhes da descoberta.

6. Verifique as chaves da conta de serviço e as datas de criação das chaves.

Passo 3: verifique os registos

1. No separador Resumo do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o explorador de registos.
2. Se necessário, selecione o seu projeto.
3. Na página carregada, verifique os registos de atividade de recursos do IAM novos ou atualizados através dos seguintes filtros:
   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Passo 4: pesquise métodos de ataque e resposta

1. Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Contas válidas: contas na nuvem.
2. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

Passo 5: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

• Contacte o proprietário do projeto com a conta comprometida.
• Reveja os campos anomalousSoftwareClassification, callerUserAgent e behaviorPeriod para verificar se o acesso é anormal e se a conta foi comprometida.
• Elimine os recursos do projeto criados por contas não autorizadas, como instâncias do Compute Engine, instantâneos, contas de serviço e utilizadores do IAM desconhecidos.
• Para restringir a criação de novos recursos a regiões específicas, consulte o artigo Restringir localizações de recursos.
• Para identificar e corrigir funções excessivamente permissivas, use o IAM Recommender.

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.