Akses Awal: Tindakan Izin yang Ditolak Berlebihan

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Akun utama berulang kali memicu error izin ditolak di beberapa metode dan layanan.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Initial Access: Excessive Permission Denied Actions seperti yang diarahkan dalam Meninjau temuan.

2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

   Di bagian Yang terdeteksi:

   • Email akun utama: akun utama yang memicu beberapa error izin ditolak
   • Nama layanan: nama API layanan Google Cloud yang menyebabkan error penolakan izin terakhir
   • Nama metode: metode yang dipanggil saat terjadi error penolakan izin terakhir

3. Dalam detail temuan, di tab Properti Sumber, catat nilai kolom berikut dalam JSON:

   • properties.failedActions: error izin ditolak yang terjadi. Untuk setiap entri, detail mencakup nama layanan, nama metode, jumlah upaya yang gagal, dan waktu terakhir terjadinya error. Maksimum 10 entri yang ditampilkan.

Langkah 2: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di Cloud Logging URI.
2. Di toolbar konsol Google Cloud , pilih project Anda.

3. Di halaman yang terbuka, temukan log terkait menggunakan filter berikut:

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
   • protoPayload.status.code=7

   Ganti PRINCIPAL_EMAIL dengan nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid: Akun Cloud.
2. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik akun di kolom Email utama. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
• Hapus resource project yang dibuat oleh akun tersebut, seperti instance, snapshot, akun layanan, dan pengguna IAM Compute Engine yang tidak dikenal, dll.
• Hubungi pemilik project dengan akun tersebut, dan mungkin hapus atau nonaktifkan akun tersebut.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.