Persistenza: nuovo metodo API

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

È stata rilevata un'attività amministrativa anomala da parte di un soggetto potenzialmente dannoso in un'organizzazione, una cartella o un progetto. L'attività anomala può essere una delle seguenti:

• Nuova attività di un principal in un'organizzazione, una cartella o un progetto
• Attività che non viene visualizzata da un po' di tempo da un principal in un'organizzazione, una cartella o un progetto

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

1. Apri il risultato Persistence: New API Method come indicato in Revisione dei risultati.

2. Nei dettagli del problema, nella scheda Riepilogo, prendi nota dei valori dei seguenti campi:

   • Nella sezione Che cosa è stato rilevato:
     • Email entità: l'account che ha effettuato la chiamata
     • Nome del servizio: il nome dell'API del servizio Google Cloud utilizzato nell'azione
     • Nome metodo: il metodo chiamato
   • In Risorsa interessata:
     • Nome visualizzato risorsa: il nome della risorsa interessata, che potrebbe corrispondere al nome dell'organizzazione, della cartella o del progetto
     • Percorso risorsa: la posizione nella gerarchia delle risorse in cui si è svolta l'attività

Passaggio 2: ricerca di metodi di attacco e risposta

1. Esamina le voci del framework MITRE ATT&CK per questo tipo di risultato: Persistenza.
2. Verifica se l'azione era giustificata nell'organizzazione, nella cartella o nel progetto e se è stata eseguita dal proprietario legittimo dell'account. L'organizzazione, la cartella o il progetto vengono visualizzati nella riga Percorso risorsa e l'account viene visualizzato nella riga Email principale.
3. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Passaggi successivi

• Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
• Consulta l'indice dei risultati delle minacce.
• Scopri come esaminare un risultato tramite la console Google Cloud .
• Scopri di più sui servizi che generano risultati di minacce.