Escalade des droits: délégation de compte de service multi-étapes anormale pour l'accès aux données

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Anomalous Multistep Service Account Delegation est détecté en examinant les journaux d'audit des accès aux données pour voir si une anomalie s'est produite dans une demande d'emprunt d'identité d'un compte de service.

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

  1. Ouvrez le résultat Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access, comme indiqué dans Examiner les résultats. Le panneau d'informations sur le résultat s'ouvre sur l'onglet Résumé.

  2. Dans l'onglet Récapitulatif, examinez les informations des sections suivantes :

    • Ce qui a été détecté, en particulier les champs suivants :
      • Adresse e-mail principale : compte de service final de la demande d'emprunt d'identité qui a été utilisé pour accéder à Google Cloud
      • Nom du service : nom de l'API du service Google Cloud impliqué dans la demande d'usurpation d'identité
      • Nom de la méthode : méthode appelée
      • Informations sur la délégation de compte de service : détails des comptes de service dans la chaîne de délégation. Le compte principal en bas de la liste est l'auteur de la requête d'emprunt d'identité.
    • Ressource concernée
    • Liens associés, en particulier les champs suivants :
      • URI Cloud Logging : lien vers les entrées de journalisation.
      • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
      • Résultats associés : liens vers les résultats associés.

Étape 2 : Étudier les méthodes d'attaque et de réponse

  1. Contactez le propriétaire du compte de service dans le champ Adresse e-mail du compte principal. Confirmez si le propriétaire légitime a effectué l'action.
  2. Examinez les principaux de la chaîne de délégation pour vérifier si la demande est anormale et si un compte a été compromis.
  3. Contactez le propriétaire de l'appelant d'emprunt d'identité dans la liste Informations sur la délégation de compte de service. Confirmez si le propriétaire légitime a effectué l'action.

Étape 3 : Mettre en œuvre votre réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.

  • Contactez le propriétaire du projet dans lequel l'action a été effectuée.
  • Envisagez de supprimer le compte de service potentiellement compromis et d'alterner puis supprimer toutes les clés d'accès au compte de service du projet potentiellement compromis. Après suppression, les ressources qui utilisent le compte de service pour l'authentification perdent l'accès. Avant de continuer, votre équipe de sécurité doit identifier toutes les ressources affectées et collaborer avec les propriétaires des ressources pour assurer la continuité des opérations.
  • Collaborez avec votre équipe de sécurité pour identifier les ressources inconnues, y compris les instances Compute Engine, les instantanés, les comptes de service et les utilisateurs IAM. Supprimez les ressources qui n'ont pas été créées avec des comptes autorisés.
  • Répondez aux notifications de l'assistance Google Cloud .
  • Pour limiter les utilisateurs autorisés à créer des comptes de service, utilisez le service de règles d'administration.
  • Pour identifier et corriger les rôles trop permissifs, utilisez l'outil de recommandation IAM.

Étapes suivantes