Persistance: nouvelle méthode d'API

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Une activité d'administrateur anormale a été détectée dans une organisation, un dossier ou un projet, et pourrait être le fait d'un acteur malveillant. Une activité anormale peut être l'une des suivantes :

• Nouvelle activité d'un compte principal dans une organisation, un dossier ou un projet
• Activité qui n'a pas été vue depuis un certain temps par un compte principal dans une organisation, un dossier ou un projet

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

1. Ouvrez le résultat Persistence: New API Method comme indiqué dans Examiner les résultats.

2. Dans les détails du résultat, dans l'onglet Résumé, notez les valeurs des champs suivants :

   • Sous Éléments détectés :
     • Adresse e-mail principale : compte à l'origine de l'appel
     • Nom du service : nom de l'API du service Google Cloud utilisé dans l'action
     • Nom de la méthode : méthode appelée
   • Sous Ressource concernée :
     • Nom à afficher de la ressource : nom de la ressource concernée, qui peut être identique à celui de l'organisation, du dossier ou du projet
     • Chemin d'accès à la ressource : emplacement dans la hiérarchie des ressources où l'activité a eu lieu

Étape 2 : Étudier les méthodes d'attaque et de réponse

1. Examinez les entrées du framework MITRE ATT&CK pour ce type de résultat : Persistance.
2. Déterminez si l'action était justifiée dans l'organisation, le dossier ou le projet, et si elle a été effectuée par le propriétaire légitime du compte. L'organisation, le dossier ou le projet s'affichent sur la ligne Chemin d'accès à la ressource, et le compte s'affiche sur la ligne Adresse e-mail du compte principal.
3. Pour élaborer un plan d'intervention, combinez vos résultats d'enquête avec les recherches MITRE.

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
• Consultez l'index des résultats de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• En savoir plus sur les services qui génèrent des résultats de détection des menaces