初始存取權:AI 服務中的休眠服務帳戶活動

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

休眠的使用者代管服務帳戶在 AI 服務中觸發了動作。如果服務帳戶閒置超過 180 天,就會視為休眠帳戶。

回應方式

如要回應這項發現,請按照下列步驟操作:

步驟 1:查看調查結果詳細資料

  1. 按照「查看結果」一文的說明,開啟 Initial Access: Dormant Service Account Activity in AI Service 發現項目。

  2. 在「摘要」分頁的發現項目詳細資料中,記下下列欄位的值。

    「偵測到的內容」下方會顯示以下資訊:

    • 主體電子郵件地址:執行動作的休眠服務帳戶
    • 方法名稱:呼叫的方法
    • AI 資源:可能受影響的 AI 資源,例如 Vertex AI 資源和 AI 模型。

步驟 2:研究攻擊和回應方法

  1. 使用服務帳戶工具 (例如活動分析器),調查休眠服務帳戶的活動。
  2. 與「主體電子郵件地址」欄位中的服務帳戶擁有者聯絡。 確認正當擁有者是否執行了該項操作。

步驟 3:實作回應

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

  • 請與執行動作的專案擁有者聯絡。
  • 請考慮刪除可能遭入侵的服務帳戶,並輪替及刪除可能遭入侵專案的所有服務帳戶存取金鑰。刪除後,使用該服務帳戶進行驗證的應用程式會失去存取權。繼續操作前,安全團隊應找出所有受影響的應用程式,並與應用程式擁有者合作,確保業務持續運作。
  • 與安全團隊合作找出不熟悉的資源,包括 Compute Engine 執行個體、快照、服務帳戶和 IAM 使用者。刪除非使用授權帳戶建立的資源。
  • 回覆 Cloud Customer Care 的任何通知。
  • 如要限制可建立服務帳戶的使用者,請使用 Organization Policy Service
  • 如要找出並修正過於寬鬆的角色,請使用 IAM 建議

後續步驟