Persistenz: Neue Region

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Ein IAM-Nutzer oder ein Dienstkonto greift von einem ungewöhnlichen Standort aus auf Google Cloudzu, basierend auf der Standortbestimmung der anfragenden IP-Adresse.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie ein Persistence: New Geography-Ergebnis, wie unter Ergebnisdetails prüfen weiter oben auf dieser Seite beschrieben. Der Detailbereich für das Ergebnis wird mit dem Tab Zusammenfassung geöffnet.

2. Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

• Was wurde erkannt?, insbesondere die folgenden Felder:
  • E-Mail-Adresse des Hauptkontos: das potenziell manipulierte Nutzerkonto.
• Betroffene Ressource, insbesondere die folgenden Felder:
  • Vollständiger Projektname: Das Projekt, das das potenziell manipulierte Nutzerkonto enthält.
• Weitere Informationen, insbesondere die folgenden Felder:
  • Cloud Logging-URI: Link zu Logging-Einträgen.
  • MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
  • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.

1. Klicken Sie in der Detailansicht des Ergebnisses auf den Tab JSON.

2. Beachten Sie in der JSON-Datei die folgenden sourceProperties-Felder:

   • affectedResources:
     • gcpResourceName: betroffene Ressource
   • evidence:
     • sourceLogId:
     • projectId: Die ID des Projekts, das das Ergebnis enthält.
   • properties:
     • anomalousLocation:
     • anomalousLocation: der geschätzte aktuelle Standort des Nutzers.
     • callerIp: die externe IP-Adresse.
     • notSeenInLast: Zeitraum, der zum Festlegen einer Referenz für das normale Verhalten verwendet wird.
     • typicalGeolocations: die Standorte, an denen der Nutzer normalerweise aufGoogle Cloud -Ressourcen zugreift.

Schritt 2: Projekt- und Kontoberechtigungen prüfen

1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

   IAM aufrufen

2. Wählen Sie bei Bedarf das Projekt aus, das im Feld projectID im JSON-Ergebnis aufgeführt ist.

3. Geben Sie auf der angezeigten Seite im Feld Filter den Kontonamen ein, der unter E-Mail-Adresse des Hauptkontos aufgeführt ist, und prüfen Sie die zugewiesenen Rollen.

Schritt 3: Protokolle prüfen

1. Klicken Sie im Bereich „Details zu Ergebnissen“ auf dem Tab „Zusammenfassung“ auf den Link Cloud Logging-URI, um den Log-Explorer zu öffnen.
2. Wählen Sie bei Bedarf Ihr Projekt aus.
3. Prüfen Sie auf der Seite, die geladen wird, die Logs von Aktivitäten aus neuen oder aktualisierten IAM-Ressourcen mithilfe der folgenden Filter:
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Schritt 4: Angriffs- und Reaktionsmethoden untersuchen

1. Sehen Sie sich den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp an: Gültige Konten: Cloudkonten.
2. Wenn Sie einen Antwortplan entwickeln möchten, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Forschung.

Schritt 5: Antwort implementieren

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

• Wenden Sie sich an den Inhaber des Projekts mit dem manipulierten Konto.
• Prüfen Sie die Felder anomalousLocation, typicalGeolocations und notSeenInLast, um festzustellen, ob der Zugriff abnormal ist und ob das Konto manipuliert wurde.
• Projektressourcen löschen, die von nicht autorisierten Konten erstellt wurden, z. B. unbekannte Compute Engine-Instanzen, Snapshots, Dienstkonten und IAM-Nutzer.
• Informationen zum Einschränken der Erstellung neuer Ressourcen auf bestimmte Regionen finden Sie unter Ressourcenstandorte einschränken.
• Um IAM-Rollen mit zu vielen Berechtigungen zu identifizieren und zu beheben, verwenden Sie IAM Recommender.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsbefunde generieren