服務帳戶自我調查

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

使用服務帳戶憑證調查與該服務帳戶相關聯的角色和權限。這項發現指出服務帳戶憑證可能遭盜用,應立即採取行動。

回應方式

如要回應這項發現,請按照下列步驟操作:

步驟 1:查看調查結果詳細資料

  1. 按照本頁稍早「查看調查結果詳細資料」一節的說明,開啟 Discovery: Service Account Self-Investigation 發現項目。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。

  2. 在「摘要」分頁中,查看下列各節的資訊:

    • 偵測到的內容,特別是下列欄位:
      • 嚴重性:指派給偵測結果的風險等級。如果觸發這項發現的 API 呼叫未經授權,也就是服務帳戶沒有權限透過 projects.getIamPolicy API 查詢自己的 IAM 權限,則嚴重程度為 HIGH
      • 主體電子郵件地址:可能遭入侵的服務帳戶。
      • 呼叫端 IP:內部或外部 IP 位址
    • 受影響的資源,尤其是下列欄位:
      • 完整資源名稱
      • 專案完整名稱:包含可能外洩帳戶憑證的專案。
    • 相關連結,尤其是下列欄位:
      • Cloud Logging URI:記錄檔項目的連結。
      • MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
      • 相關發現項目:任何相關發現項目的連結。
    1. 如要查看調查結果的完整 JSON,請按一下「JSON」分頁標籤。

步驟 2:檢查專案和服務帳戶權限

  1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

    前往「IAM」頁面

  2. 如有需要,請選取發現項目 JSON 的 projectID 欄位中列出的專案。

  3. 在顯示的頁面中,於「Filter」(篩選器) 方塊中輸入「Principal email」(主體電子郵件) 中列出的帳戶名稱,並檢查已指派的權限。

  4. 前往 Google Cloud 控制台的「Service Accounts」(服務帳戶) 頁面。

    前往「Service Accounts」(服務帳戶)

  5. 在隨即顯示的頁面中,於「篩選器」方塊中輸入遭入侵服務帳戶的名稱,並檢查服務帳戶的金鑰和金鑰建立日期。

步驟 3:檢查記錄

  1. 在「發現項目詳細資料」面板的「摘要」分頁中,按一下「Cloud Logging URI」連結,開啟「記錄檔探索工具」
  2. 必要時,請選取專案。
  3. 在隨即載入的頁面中,使用下列篩選器檢查新或更新 IAM 資源的活動記錄:
    • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
    • protoPayload.methodName="SetIamPolicy"
    • protoPayload.authenticationInfo.principalEmail="principalEmail"

步驟 4:研究攻擊和回應方法

  1. 查看這類發現項目的 MITRE ATT&CK 框架項目: 權限群組探索:雲端群組
  2. 如要制定回應計畫,請將調查結果與 MITRE 研究結合。

步驟 5:實作回應

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

  • 與遭入侵帳戶的專案擁有者聯絡。
  • 刪除遭入侵的服務帳戶,並輪替及刪除遭入侵專案的所有服務帳戶存取金鑰。刪除後,使用服務帳戶進行驗證的資源會失去存取權。
  • 刪除遭入侵帳戶建立的專案資源,例如不熟悉的 Compute Engine 執行個體、快照、服務帳戶和 IAM 使用者。

後續步驟