本頁面由 Cloud Translation API 翻譯而成。

權限提升：資料存取權的異常多步驟服務帳戶委派項目

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

Anomalous Multistep Service Account Delegation：檢查資料存取稽核記錄，查看服務帳戶模擬要求是否發生任何異常情況。

如要回應這項發現，請按照下列步驟操作：

按照「查看結果」一文的說明，開啟 Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access 發現項目。系統會開啟該發現項目的詳細資料面板，並顯示「摘要」分頁。
在「摘要」分頁中，查看下列各節的資訊：
- 偵測到的內容，特別是下列欄位：
  - 主體電子郵件地址：模擬要求中的最終服務帳戶，用於存取 Google Cloud
  - 服務名稱：參與模擬要求之 Google Cloud 服務的 API 名稱
  - 方法名稱：呼叫的方法
  - 服務帳戶委派資訊：委派鏈中的服務帳戶詳細資料，清單底部的主體是模擬要求的呼叫者
- 受影響的資源
- 相關連結，尤其是下列欄位：
  - Cloud Logging URI：記錄檔項目的連結。
  - MITRE ATT&CK 方法：連結至 MITRE ATT&CK 文件。
  - 相關發現項目：任何相關發現項目的連結。

下列回應計畫可能適用於這項發現，但也可能影響作業。請仔細評估調查期間收集到的資訊，找出解決問題的最佳方法。

請與執行動作的專案擁有者聯絡。
請考慮刪除可能遭入侵的服務帳戶，並輪替及刪除可能遭入侵專案的所有服務帳戶存取金鑰。刪除後，使用該服務帳戶進行驗證的資源會失去存取權。繼續操作前，安全團隊應先找出所有受影響的資源，並與資源擁有者合作，確保業務持續運作。
與安全團隊合作找出不熟悉的資源，包括 Compute Engine 執行個體、快照、服務帳戶和 IAM 使用者。刪除非使用授權帳戶建立的資源。
回覆 Google Cloud 支援團隊的任何通知。
如要限制可建立服務帳戶的使用者，請使用 Organization Policy Service。
如要找出並修正權限過多的角色，請使用 IAM 建議工具。