Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.
Ringkasan
Temuan ini dibuat saat Google Cloud kredensial akun layanan secara tidak sengaja bocor secara online atau disusupi.
Deteksi Anomali adalah sumber temuan ini.
Cara merespons
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
account_has_leaked_credentials, seperti yang diarahkan dalam Meninjau detail temuan. Panel detail temuan akan terbuka di tab Ringkasan.Di tab Summary, tinjau informasi di bagian berikut:
- Yang terdeteksi
- Resource yang terpengaruh
Klik tab Properti Sumber dan perhatikan kolom berikut:
Compromised_account: akun layanan yang berpotensi disusupiProject_identifier: project yang berisi kredensial akun yang berpotensi bocorURL: link ke repositori GitHub
Untuk melihat JSON lengkap temuan, klik tab JSON.
Langkah 2: Tinjau izin project dan akun layanan
Di konsol Google Cloud , buka halaman IAM.
Jika perlu, pilih project yang tercantum di
Project_identifier.Di halaman yang muncul, pada kotak Filter, masukkan nama akun yang tercantum di
Compromised_accountdan periksa izin yang ditetapkan.Di konsol Google Cloud , buka halaman Service Accounts.
Di halaman yang muncul, di kotak Filter, masukkan nama akun layanan yang disusupi, lalu periksa kunci akun layanan dan tanggal pembuatan kunci.
Langkah 3: Periksa log
Di konsol Google Cloud , buka Logs Explorer.
Di toolbar konsol Google Cloud , pilih project Anda.
Di halaman yang dimuat, periksa log untuk aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:
proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"protoPayload.methodName="SetIamPolicy"resource.type="gce_instance" AND log_name="projects/Project_identifier/logs/cloudaudit.googleapis.com%2Factivity"protoPayload.methodName="InsertProjectOwnershipInvite"protoPayload.authenticationInfo.principalEmail="Compromised_account"
Langkah 4: Meneliti metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid: Akun Cloud.
- Tinjau temuan terkait dengan mengklik link di
relatedFindingURI. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama. - Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.
Langkah 5: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.
- Hubungi pemilik project dengan kredensial yang bocor.
- Pertimbangkan untuk menghapus akun layanan yang disusupi, serta merotasi dan menghapus semua kunci akses akun layanan untuk project yang disusupi. Setelah penghapusan, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
- Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
- Menanggapi notifikasi dari Google Cloud Dukungan.
- Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
- Buka link
URLdan hapus kredensial yang bocor. Kumpulkan informasi selengkapnya tentang akun yang disusupi dan hubungi pemiliknya.
Langkah berikutnya
- Pelajari cara menangani temuan ancaman di Security Command Center.
- Lihat Indeks temuan ancaman.
- Pelajari cara meninjau temuan melalui konsol Google Cloud .
- Pelajari layanan yang menghasilkan temuan ancaman.