本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
檢查資料存取稽核記錄,查看服務帳戶模擬要求是否發生任何異常情況,即可偵測到 Anomalous Service Account Impersonator。
回應方式
如要回應這項發現,請按照下列步驟操作:
步驟 1:查看調查結果詳細資料
- 按照「查看結果」一文的指示,開啟
Privilege Escalation: Anomalous Service Account Impersonator for Data Access發現項目。 在「Summary」(摘要) 分頁的調查結果詳細資料中,記下下列欄位的值。
「偵測到的內容」下方會顯示以下資訊:
- 主體電子郵件地址:用於存取 Google Cloud 的模擬要求中的最終服務帳戶
- 服務名稱:涉及模擬要求之 Google Cloud 服務的 API 名稱
- 方法名稱:呼叫的方法
- 服務帳戶委派資訊:委派鏈中的服務帳戶詳細資料,清單底部的主體是模擬要求的呼叫者
步驟 2:研究攻擊和回應方法
- 與「主體電子郵件地址」欄位中的服務帳戶擁有者聯絡。 確認正當擁有者是否執行了該項操作。
- 調查委派鏈中的主體,確認要求是否異常,以及是否有任何帳戶遭到入侵。
- 在「服務帳戶委派資訊」清單中,與模擬呼叫端的擁有者聯絡。確認是否由合法擁有者執行這項操作。
步驟 3:實作回應
下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。
- 請與執行動作的專案擁有者聯絡。
- 請考慮刪除可能遭入侵的服務帳戶,並輪替及刪除可能遭入侵專案的所有服務帳戶存取金鑰。刪除後,使用該服務帳戶進行驗證的資源會失去存取權。繼續操作前,安全團隊應先找出所有受影響的資源,並與資源擁有者合作,確保業務持續運作。
- 與安全團隊合作找出不熟悉的資源,包括 Compute Engine 執行個體、快照、服務帳戶和 IAM 使用者。刪除非使用授權帳戶建立的資源。
- 回覆 Google Cloud 支援團隊的任何通知。
- 如要限制可建立服務帳戶的使用者,請使用 Organization Policy Service。
- 如要找出並修正權限過多的角色,請使用 IAM 建議工具。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。