Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Anomalous Service Account Impersonator é detetado quando os registos de auditoria da atividade de administrador de um serviço de IA mostram que ocorreu uma anomalia num pedido de roubo de identidade de uma conta de serviço.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

  1. Abra a descoberta Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity, conforme indicado em Rever descobertas. O painel de detalhes da descoberta é aberto no separador Resumo.

  2. No separador Resumo, reveja as informações nas seguintes secções:

    • O que foi detetado, especialmente os seguintes campos:
      • Email principal: a conta de serviço final no pedido de simulação que foi usada para aceder a Google Cloud
      • Nome do método: o método que foi chamado
      • Informações de delegação da conta de serviço: detalhes das contas de serviço na cadeia de delegação. O principal na parte inferior da lista é o autor da solicitação de roubo de identidade
      • Recursos de IA: os recursos de IA potencialmente afetados, como os recursos do Vertex AI e o modelo de IA.
    • Recurso afetado
    • Links relacionados, especialmente os seguintes campos:
      • URI do Cloud Logging: link para as entradas do Logging.
      • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
      • Resultados relacionados: links para resultados relacionados.

Passo 2: pesquise métodos de ataque e resposta

  1. Contacte o proprietário da conta de serviço no campo Email principal. Confirmar se o proprietário legítimo realizou a ação.
  2. Investigue os principais na cadeia de delegação para verificar se o pedido é anormal e se alguma conta foi comprometida.
  3. Contacte o proprietário do autor da representação na lista Informações de delegação da conta de serviço. Confirme se o proprietário legítimo realizou a ação.

Passo 3: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

  • Contacte o proprietário do projeto onde a ação foi realizada.
  • Considere eliminar a conta de serviço potencialmente comprometida e rodar e eliminar todas as chaves de acesso da conta de serviço para o projeto potencialmente comprometido. Após a eliminação, os recursos que usam a conta de serviço para autenticação perdem o acesso. Antes de continuar, a sua equipa de segurança deve identificar todos os recursos afetados e trabalhar com os proprietários dos recursos para garantir a continuidade do negócio.
  • Colabore com a sua equipa de segurança para identificar recursos desconhecidos, incluindo instâncias do Compute Engine, instantâneos, contas de serviço e utilizadores do IAM. Elimine recursos que não foram criados com contas autorizadas.
  • Responder a quaisquer notificações do Cloud Customer Care.
  • Para limitar quem pode criar contas de serviço, use o serviço de políticas da organização.
  • Para identificar e corrigir funções excessivamente permissivas, use o IAM Recommender.

O que se segue?