Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.
Présentation
Un rôle IAM sensible a été attribué à un compte de service géré par l'utilisateur inactif. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours.
Comment répondre
Pour répondre à ce résultat, procédez comme suit :
Étape 1 : Examiner les détails du résultat
- Ouvrez le résultat
Privilege Escalation: Dormant Service Account Granted Sensitive Role, comme indiqué dans Examiner les résultats. Dans les détails du résultat, dans l'onglet Récapitulatif, notez les valeurs des champs suivants.
Sous Risque détecté :
- Adresse e-mail principale : utilisateur ayant effectué l'action d'octroi
- Nom du compte principal ayant reçu les droits d'accès concernés : compte de service inactif ayant reçu le rôle sensible
- Autorisations d'accès concernées.Rôle accordé : rôle IAM sensible attribué
Sous Ressource concernée :
- Nom à afficher de la ressource : organisation, dossier ou projet dans lequel le rôle IAM sensible a été accordé au compte de service inactif.
Étape 2 : Étudier les méthodes d'attaque et de réponse
- Utilisez les outils de compte de service, comme Activity Analyzer, pour examiner l'activité du compte de service inactif.
- Contactez le propriétaire du champ Adresse e-mail du compte principal. Confirmez si le propriétaire légitime a effectué l'action.
Étape 3 : Vérifier les journaux
- Dans l'onglet Récapitulatif du panneau d'informations sur le résultat, sous Liens associés, cliquez sur le lien URI Cloud Logging pour ouvrir l'explorateur de journaux.
Étape 4 : Mettre en œuvre votre réponse
Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.
- Contactez le propriétaire du projet dans lequel l'action a été effectuée.
- Supprimez l'accès du propriétaire de l'adresse e-mail du compte principal si elle est compromise.
- Supprimez le rôle IAM sensible nouvellement attribué au compte de service inactif.
- Envisagez de supprimer le compte de service potentiellement compromis et d'alterner puis supprimer toutes les clés d'accès au compte de service du projet potentiellement compromis. Après suppression, les ressources qui utilisent le compte de service pour l'authentification perdent l'accès. Avant de continuer, votre équipe de sécurité doit identifier toutes les ressources affectées et collaborer avec les propriétaires des ressources pour assurer la continuité des opérations.
- Collaborez avec votre équipe de sécurité pour identifier les ressources inconnues, y compris les instances Compute Engine, les instantanés, les comptes de service et les utilisateurs IAM. Supprimez les ressources qui n'ont pas été créées avec des comptes autorisés.
- Répondez à toutes les notifications de Cloud Customer Care.
- Pour limiter les utilisateurs autorisés à créer des comptes de service, utilisez le service de règles d'administration.
- Pour identifier et corriger les rôles trop permissifs, utilisez l'outil de recommandation IAM.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
- Consultez l'index des résultats de menace.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- En savoir plus sur les services qui génèrent des résultats de détection des menaces