Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.
Vista geral
Foi concedida uma função de roubo de identidade a um principal que permite que esse principal roube a identidade de uma conta de serviço gerida pelo utilizador inativa. Nesta descoberta, a conta de serviço inativa é o recurso afetado e uma conta de serviço é considerada inativa se estiver inativa há mais de 180 dias.
A Deteção de ameaças com base em eventos é a origem desta descoberta.
Como responder
Para responder a esta descoberta, faça o seguinte:
Passo 1: reveja os detalhes da descoberta
- Abra a
Privilege Escalation: Impersonation Role Granted for Dormant Service Accountdescoberta, conforme indicado em Rever descobertas. Nos detalhes da descoberta, no separador Resumo, tome nota dos valores dos seguintes campos.
Em O que foi detetado:
- Email principal: o utilizador que realizou a ação de concessão
- Concessões de acesso ofensivas.Nome do principal: o principal ao qual foi concedida a função de roubo de identidade
Em Recurso afetado:
- Nome a apresentar do recurso: a conta de serviço inativa como recurso
- Nome completo do projeto: o projeto onde reside essa conta de serviço inativa
Passo 2: pesquise métodos de ataque e resposta
- Use ferramentas de contas de serviço, como o analisador de atividade, para investigar a atividade da conta de serviço inativa.
- Contacte o proprietário do campo Email principal. Confirmar se o proprietário legítimo realizou a ação.
Passo 3: verifique os registos
- No separador Resumo do painel de detalhes da descoberta, em Links relacionados, clique no link URI do Cloud Logging para abrir o explorador de registos.
Passo 4: implemente a sua resposta
O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.
- Contacte o proprietário do projeto onde a ação foi realizada.
- Remova o acesso do proprietário do email principal se este estiver comprometido.
- Remova a função de roubo de identidade recém-concedida do membro de destino.
- Considere eliminar a conta de serviço potencialmente comprometida e rodar e eliminar todas as chaves de acesso da conta de serviço para o projeto potencialmente comprometido. Após a eliminação, as aplicações que usam a conta de serviço para autenticação perdem o acesso. Antes de continuar, a sua equipa de segurança deve identificar todas as aplicações afetadas e trabalhar com os proprietários das aplicações para garantir a continuidade da empresa.
- Colabore com a sua equipa de segurança para identificar recursos desconhecidos, incluindo instâncias do Compute Engine, instantâneos, contas de serviço e utilizadores do IAM. Elimine recursos que não foram criados com contas autorizadas.
- Responder a quaisquer notificações do Cloud Customer Care.
- Para limitar quem pode criar contas de serviço, use o serviço de políticas da organização.
- Para identificar e corrigir funções excessivamente permissivas, use o recomendador da IAM.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.