初始存取權：因過度授權而遭拒的動作

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

主體在多種方法和服務中，反覆觸發權限遭拒錯誤。

回應方式

如要回應這項發現，請按照下列步驟操作：

步驟 1：查看調查結果詳細資料

1. 按照「查看結果」一文的說明，開啟 Initial Access: Excessive Permission Denied Actions 發現項目。

2. 在「摘要」分頁的發現項目詳細資料中，記下下列欄位的值。

   「偵測到的內容」下方會顯示以下資訊：

   • 主體電子郵件地址：觸發多項權限遭拒錯誤的主體
   • 服務名稱：發生上次權限遭拒錯誤的 Google Cloud 服務 API 名稱
   • 方法名稱：發生上次權限遭拒錯誤時呼叫的方法

3. 在「Source Properties」(來源屬性) 分頁的 JSON 中，記下下列欄位的值：

   • properties.failedActions：發生的權限遭拒錯誤。 每個項目都會顯示服務名稱、方法名稱、失敗嘗試次數，以及上次發生錯誤的時間。最多顯示 10 個項目。

步驟 2：檢查記錄

1. 前往 Google Cloud 控制台的「Logs Explorer」(記錄檔探索工具)，方法是點選「Cloud Logging URI」(Cloud Logging URI) 中的連結。
2. 在 Google Cloud 控制台工具列中選取專案。

3. 在隨即載入的頁面中，使用下列篩選器找出相關記錄：

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
   • protoPayload.status.code=7

   將 PRINCIPAL_EMAIL 換成您在調查結果詳細資料的「Principal email」(主體電子郵件地址) 欄位中記下的值。

步驟 3：研究攻擊和回應方法

1. 查看這類調查結果的 MITRE ATT&CK 架構項目： 有效帳戶：雲端帳戶。
2. 如要制定回應計畫，請將調查結果與 MITRE 研究結合。

步驟 4：實作回應

下列回應計畫可能適用於這項發現，但也可能影響作業。 請仔細評估調查期間收集到的資訊，找出解決問題的最佳方法。

• 請聯絡「Principal email」(主體電子郵件地址) 欄位中的帳戶擁有者。確認正當擁有者是否執行了該項操作。
• 刪除該帳戶建立的專案資源，例如不熟悉的 Compute Engine 執行個體、快照、服務帳戶和 IAM 使用者等。
• 與擁有該帳戶的專案擁有者聯絡，並視情況刪除或停用該帳戶。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。