Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.
Vista geral
A Deteção de ameaças de eventos examina os registos de auditoria para detetar se a política constraints/storage.secureHttpTransport foi atualizada para desativar o bloqueio de políticas HTTP.
A Deteção de ameaças com base em eventos é a origem desta descoberta.
Como responder
Para responder a esta descoberta, faça o seguinte:
Passo 1: reveja os detalhes da descoberta
- Abra a
Defense Evasion: Project HTTP Policy Block Disableddescoberta, conforme detalhado em Rever descobertas. O painel de detalhes da descoberta é aberto no separador Resumo. - No separador Resumo, reveja as informações nas seguintes secções:
- O que foi detetado, especialmente os seguintes campos:
- Descrição: informações sobre a deteção
- Assunto principal: um utilizador ou uma conta de serviço que executou com êxito uma ação
- Recurso afetado
- Nome a apresentar do recurso: o projeto/pasta/organização no qual a política foi atualizada.
- Links relacionados, especialmente os seguintes campos:
- Método MITRE ATTACK: link para a documentação do MITRE ATT&CK.
- URI de registo: link para abrir o Explorador de registos.
- O que foi detetado, especialmente os seguintes campos:
Passo 2: pesquise métodos de ataque e resposta
Contacte o proprietário da conta de serviço ou da conta de utilizador no campo Principal subject. Confirme se o proprietário legítimo realizou a ação para desativar as restrições/a política storage.secureHttpTransport.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.