Persistência: concessão anómala de IAM

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Os registos de auditoria são examinados para detetar a adição de associações de funções do IAM que possam ser consideradas suspeitas.

Seguem-se exemplos de concessões anómalas:

• Convidar um utilizador externo, como um utilizador do gmail.com, como proprietário do projeto a partir da Google Cloud consola
• Uma conta de serviço que concede autorizações confidenciais
• Uma função personalizada que concede autorizações confidenciais
• Uma conta de serviço adicionada a partir de fora da sua organização ou projeto

A descoberta IAM Anomalous Grant é única, pois inclui sub-regras que fornecem informações mais específicas sobre cada instância desta descoberta. A classificação da gravidade desta descoberta depende da sub-regra. Cada sub-regra pode exigir uma resposta diferente.

A lista seguinte mostra todas as sub-regras possíveis e as respetivas gravidades:

• external_service_account_added_to_policy:
  • HIGH, se foi concedida uma função altamente sensível ou se foi concedida uma função de sensibilidade média ao nível da organização. Para mais informações, consulte o artigo Funções altamente confidenciais.
  • MEDIUM, se foi concedida uma função de sensibilidade média. Para mais informações, consulte Funções de sensibilidade média.
• external_member_invited_to_policy: HIGH
• external_member_added_to_policy:
  • HIGH, se foi concedida uma função altamente sensível ou se foi concedida uma função de sensibilidade média ao nível da organização. Para mais informações, consulte o artigo Funções altamente confidenciais.
  • MEDIUM, se foi concedida uma função de sensibilidade média. Para mais informações, consulte Funções de sensibilidade média.
• custom_role_given_sensitive_permissions: MEDIUM
• service_account_granted_sensitive_role_to_member: HIGH
• policy_modified_by_default_compute_service_account: HIGH

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

1. Abra uma Persistence: IAM Anomalous Grantdescoberta conforme indicado em Rever descobertas. O painel de detalhes da descoberta é aberto no separador Resumo.

2. No separador Resumo, reveja as informações nas seguintes secções:

   • O que foi detetado, especialmente os seguintes campos:
     • Email principal: endereço de email do utilizador ou da conta de serviço que atribuiu a função.

   • Recurso afetado

   • Links relacionados, especialmente os seguintes campos:

     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Resultados relacionados: links para resultados relacionados.
     • Indicador do VirusTotal: link para a página de análise do VirusTotal.

3. Clique no separador JSON. É apresentado o JSON completo da descoberta.

4. No JSON da deteção, tenha em atenção os seguintes campos:

   • detectionCategory:
     • subRuleName: informações mais específicas sobre o tipo de concessão anómala que ocorreu. A sub-regra determina a classificação da gravidade desta descoberta.
   • evidence:
     • sourceLogId:
     • projectId: o ID do projeto que contém a descoberta.
   • properties:
     • sensitiveRoleGrant:
       • bindingDeltas:
       • Action: a ação realizada pelo utilizador.
       • Role: a função atribuída ao utilizador.
       • member: o endereço de email do utilizador que recebeu a função.

Passo 2: verifique os registos

1. No separador Resumo do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o explorador de registos.
2. Na página carregada, procure recursos do IAM novos ou atualizados através dos seguintes filtros:
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"

Passo 3: pesquise métodos de ataque e resposta

1. Reveja as entradas da framework MITRE ATT&CK para este tipo de descoberta: Contas válidas: contas na nuvem.
2. Reveja as conclusões relacionadas clicando no link na linha Conclusões relacionadas no separador Resumo dos detalhes da conclusão. As conclusões relacionadas são do mesmo tipo de conclusão e da mesma instância e rede.
3. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

Passo 4: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

• Contacte o proprietário do projeto com a conta comprometida.
• Elimine a conta de serviço comprometida e altere e elimine todas as chaves de acesso da conta de serviço para o projeto comprometido. Após a eliminação, os recursos que usam a conta de serviço para autenticação perdem o acesso.
• Elimine os recursos do projeto criados por contas não autorizadas, como instâncias do Compute Engine, instantâneos, contas de serviço e utilizadores do IAM desconhecidos.
• Para restringir a adição de utilizadores do gmail.com, use a Política da organização.
• Para identificar e corrigir funções excessivamente permissivas, use o IAM Recommender.

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.