Erstzugriff: Abgelehnte Aktionen aufgrund übermäßiger Berechtigungen

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Ein Hauptkonto hat wiederholt Berechtigung verweigert-Fehler bei mehreren Methoden und Diensten ausgelöst.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie das Initial Access: Excessive Permission Denied Actions-Ergebnis, wie unter Ergebnisse prüfen beschrieben.

2. Notieren Sie sich in den Ergebnisdetails auf dem Tab Zusammenfassung die Werte der folgenden Felder.

   Unter Was wurde erkannt?:

   • E-Mail-Adresse des Hauptkontos: Das Hauptkonto, das mehrere Fehler vom Typ „Berechtigung verweigert“ ausgelöst hat.
   • Dienstname: Der API-Name des Google Cloud-Dienstes, bei dem der letzte Fehler „Berechtigung verweigert“ aufgetreten ist.
   • Methodenname: Die Methode, die aufgerufen wurde, als der letzte Fehler „Zugriff verweigert“ aufgetreten ist.

3. Notieren Sie sich in den Ergebnisdetails auf dem Tab Quellattribute die Werte der folgenden Felder im JSON-Code:

   • properties.failedActions: die aufgetretenen Fehler „Berechtigung verweigert“. Jeder Eintrag enthält Details wie den Servicenamen, den Methodennamen, die Anzahl der fehlgeschlagenen Versuche und den Zeitpunkt, zu dem der Fehler zuletzt aufgetreten ist. Es werden maximal zehn Einträge angezeigt.

Schritt 2: Protokolle prüfen

1. Rufen Sie in der Google Cloud Console den Log-Explorer auf. Klicken Sie dazu auf den Link unter Cloud Logging-URI.
2. Wählen Sie in der Symbolleiste der Google Cloud -Console Ihr Projekt aus.

3. Suchen Sie auf der Seite, die geladen wird, mit dem folgenden Filter nach zugehörigen Logs:

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
   • protoPayload.status.code=7

   Ersetzen Sie PRINCIPAL_EMAIL durch den Wert, den Sie in den Details des Ergebnisses im Feld E-Mail-Adresse des Hauptkontos notiert haben.

Schritt 3: Forschungsangriffe und Reaktionsmethoden

1. Sehen Sie sich den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp an: Gültige Konten: Cloudkonten.
2. Um einen Antwortplan zu entwickeln, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Studie.

Schritt 4: Antwort implementieren

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

• Wenden Sie sich an den Inhaber des Kontos, der im Feld E-Mail-Adresse des Hauptkontos aufgeführt ist. Bestätigen Sie, dass die Aktion vom rechtmäßigen Inhaber ausgeführt wurde.
• Löschen Sie Projektressourcen, die von diesem Konto erstellt wurden, z. B. unbekannte Compute Engine-Instanzen, Snapshots, Dienstkonten und IAM-Nutzer.
• Wenden Sie sich an den Inhaber des Projekts mit dem Konto und löschen oder deaktivieren Sie das Konto gegebenenfalls.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsbefunde generieren