Halaman ini diterjemahkan oleh Cloud Translation API.

Peningkatan Hak Istimewa: Peran Peniruan Identitas Diberikan untuk Akun Layanan yang Tidak Aktif

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Peran peniruan identitas diberikan kepada akun utama yang memungkinkan akun utama tersebut meniru identitas akun layanan yang dikelola pengguna yang tidak aktif. Dalam temuan ini, akun layanan yang tidak aktif adalah resource yang terpengaruh, dan akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.

Event Threat Detection adalah sumber temuan ini.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

Buka temuan Privilege Escalation: Impersonation Role Granted for Dormant Service Account seperti yang diarahkan dalam Meninjau temuan.
Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

Di bagian Yang terdeteksi:
- Email utama: pengguna yang melakukan tindakan pemberian akses
- Pemberian akses yang melanggar.Nama akun utama: akun utama yang diberi peran peniruan identitas
Di bagian Resource yang terpengaruh:
- Nama tampilan resource: akun layanan tidak aktif sebagai resource
- Nama lengkap project: project tempat akun layanan tidak aktif tersebut berada

Langkah 2: Meneliti metode serangan dan respons

Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang tidak aktif.
Hubungi pemilik kolom Email utama. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Periksa log

Di tab Ringkasan pada panel detail temuan, di bagian Link terkait, klik link URI Cloud Logging untuk membuka Logs Explorer.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

Hubungi pemilik project tempat tindakan dilakukan.
Hapus akses pemilik Email utama jika email tersebut disusupi.
Hapus peran peniruan identitas yang baru diberikan dari anggota target.
Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi dan ganti serta hapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
Merespons notifikasi apa pun dari Cloud Customer Care.
Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi rekomendasi IAM.

Langkah berikutnya

Pelajari cara menangani temuan ancaman di Security Command Center.
Lihat Indeks temuan ancaman.
Pelajari cara meninjau temuan melalui konsol Google Cloud .
Pelajari layanan yang menghasilkan temuan ancaman.