Accès initial: opérations refusées en raison d'autorisations excessives

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Un compte principal a déclenché à plusieurs reprises des erreurs Autorisation refusée dans plusieurs méthodes et services.

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

1. Ouvrez le résultat Initial Access: Excessive Permission Denied Actions, comme indiqué dans Examiner les résultats.

2. Dans les détails du résultat, dans l'onglet Résumé, notez les valeurs des champs suivants.

   Sous Risque détecté :

   • Adresse e-mail du compte principal : compte principal ayant déclenché plusieurs erreurs "Autorisation refusée"
   • Nom du service : nom de l'API du service Google Cloud pour lequel la dernière erreur d'autorisation refusée s'est produite
   • Nom de la méthode : méthode appelée lorsque la dernière erreur d'autorisation refusée s'est produite

3. Dans les détails du résultat, dans l'onglet Propriétés sources, notez les valeurs des champs suivants dans le fichier JSON :

   • properties.failedActions : erreurs d'autorisation refusée qui se sont produites. Pour chaque entrée, les détails incluent le nom du service, le nom de la méthode, le nombre de tentatives infructueuses et l'heure à laquelle l'erreur s'est produite pour la dernière fois. Un maximum de 10 entrées est affiché.

Étape 2 : Vérifier les journaux

1. Dans la console Google Cloud , accédez à l'explorateur de journaux en cliquant sur le lien dans URI Cloud Logging.
2. Dans la barre d'outils de la console Google Cloud , sélectionnez votre projet.

3. Sur la page qui s'affiche, recherchez les journaux associés à l'aide du filtre suivant :

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
   • protoPayload.status.code=7

   Remplacez PRINCIPAL_EMAIL par la valeur que vous avez notée dans le champ Adresse e-mail du principal des détails du résultat.

Étape 3 : Rechercher des méthodes d'attaque et de réponse

1. Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Comptes valides : comptes Cloud.
2. Pour élaborer un plan de réponse, combinez les résultats de vos enquêtes avec la recherche MITRE.

Étape 4 : Mettre en œuvre votre réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.

• Contactez le propriétaire du compte dans le champ Adresse e-mail du compte principal. Confirmez si le propriétaire légitime a effectué l'action.
• Supprimez les ressources de projet créées par ce compte, telles que les instances Compute Engine, les instantanés, les comptes de service et les utilisateurs IAM inconnus, etc.
• Contactez le propriétaire du projet contenant le compte, et supprimez ou désactivez éventuellement le compte.

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
• Consultez l'index des résultats de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• En savoir plus sur les services qui génèrent des résultats de détection des menaces