持續:新地理區域

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

這項發現項目不適用於專案層級的啟用作業。

IAM 使用者或服務帳戶是根據要求 IP 位址的地理位置,從異常位置存取 Google Cloud。

回應方式

如要回應這項發現,請按照下列步驟操作:

步驟 1:查看調查結果詳細資料

  1. 按照本頁稍早「查看調查結果詳細資料」一節的說明,開啟Persistence: New Geography調查結果。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。

  2. 在「摘要」分頁中,查看下列各節的資訊:

  • 偵測到的內容,特別是下列欄位:
    • 主要電子郵件地址:可能遭盜用的使用者帳戶。
  • 受影響的資源,尤其是下列欄位:
    • 專案完整名稱:含有可能遭入侵使用者帳戶的專案。
  • 相關連結,尤其是下列欄位:
    • Cloud Logging URI:記錄檔項目的連結。
    • MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
    • 相關發現項目:任何相關發現項目的連結。
  1. 在調查結果的詳細資料檢視畫面中,按一下「JSON」分頁標籤。

  2. 在 JSON 中,請注意下列 sourceProperties 欄位:

    • affectedResources
      • gcpResourceName:受影響的資源
    • evidence
      • sourceLogId
      • projectId:包含發現項目的專案 ID。
    • properties
      • anomalousLocation
      • anomalousLocation:使用者的預估目前位置。
      • callerIp:外部 IP 位址。
      • notSeenInLast:用於建立正常行為基準的時間範圍。
      • typicalGeolocations:使用者通常存取Google Cloud 資源的位置。

步驟 2:查看專案和帳戶權限

  1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

    前往「IAM」頁面

  2. 如有需要,請在發現項目 JSON 的 projectID 欄位中選取列出的專案。

  3. 在隨即顯示的頁面中,於「篩選器」方塊中輸入「主體電子郵件」中列出的帳戶名稱,並檢查已授予的角色。

步驟 3:檢查記錄

  1. 在「發現項目詳細資料」面板的「摘要」分頁中,按一下「Cloud Logging URI」連結,開啟「記錄檔探索工具」
  2. 必要時,請選取專案。
  3. 在隨即載入的頁面中,使用下列篩選器檢查新或更新 IAM 資源的活動記錄:
    • protoPayload.methodName="SetIamPolicy"
    • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
    • protoPayload.methodName="google.iam.admin.v1.CreateRole"
    • protoPayload.authenticationInfo.principalEmail="principalEmail"

步驟 4:研究攻擊和回應方法

  1. 查看這類調查結果的 MITRE ATT&CK 架構項目: 有效帳戶:雲端帳戶
  2. 如要制定回應計畫,請將調查結果與 MITRE 研究結合。

步驟 5:實作回應

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

  • 與遭入侵帳戶的專案擁有者聯絡。
  • 檢查「anomalousLocation」、「typicalGeolocations」和「notSeenInLast」欄位,確認存取權是否異常,以及帳戶是否遭到入侵。
  • 刪除未經授權帳戶建立的專案資源,例如不熟悉的 Compute Engine 執行個體、快照、服務帳戶和 IAM 使用者。
  • 如要限制僅有特定區域才可建立新資源,請參閱「限制資源位置」。
  • 如要找出並修正過於寬鬆的角色,請使用 IAM 建議

後續步驟