Persistenz: Neuer User-Agent

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Ein IAM-Dienstkonto greift über verdächtige Software auf Google Cloud zu, wie durch einen anomalen User-Agent angegeben.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie ein Persistence: New User Agent-Ergebnis, wie unter Ergebnisdetails prüfen weiter oben auf dieser Seite beschrieben. Der Detailbereich für das Ergebnis wird mit dem Tab Zusammenfassung geöffnet.

2. Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

   • Was wurde erkannt?, insbesondere die folgenden Felder:
     • Hauptkonto-E-Mail-Adresse: das potenziell manipulierte Dienstkonto.
   • Betroffene Ressource, insbesondere die folgenden Felder:
     • Vollständiger Projektname: Das Projekt, das das potenziell manipulierte Dienstkonto enthält.
   • Weitere Informationen, insbesondere die folgenden Felder:
     • Cloud Logging-URI: Link zu Logging-Einträgen.
     • MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
     • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.
   1. Klicken Sie in der Detailansicht des Ergebnisses auf den Tab JSON.
   2. Achten Sie in der JSON-Datei auf die folgenden Felder.
   • projectId: das Projekt, das das potenziell manipulierte Dienstkonto enthält.
   • callerUserAgent: der ungewöhnliche User-Agent.
   • anomalousSoftwareClassification: die Art der Software.
   • notSeenInLast: Zeitraum, der zum Festlegen einer Referenz für das normale Verhalten verwendet wird.

Schritt 2: Projekt- und Kontoberechtigungen prüfen

1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

   IAM aufrufen

2. Wählen Sie bei Bedarf das in projectId aufgeführte Projekt aus.

3. Geben Sie auf der angezeigten Seite im Feld Filter den Kontonamen ein, der in den Ergebnisdetails auf dem Tab Zusammenfassung in der Zeile E-Mail-Adresse des Hauptkontos aufgeführt ist, und prüfen Sie die zugewiesenen Rollen.

4. Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf.

   Zur Seite „Dienstkonten“

5. Geben Sie auf der angezeigten Seite im Feld Filter den Kontonamen ein, der auf dem Tab Zusammenfassung der Ergebnisdetails in der Zeile E-Mail-Adresse des Hauptkontos aufgeführt ist.

6. Prüfen Sie die Schlüssel des Dienstkontos und die Erstellungsdaten der Schlüssel.

Schritt 3: Protokolle prüfen

1. Klicken Sie im Bereich „Details zu Ergebnissen“ auf dem Tab „Zusammenfassung“ auf den Link Cloud Logging-URI, um den Log-Explorer zu öffnen.
2. Wählen Sie bei Bedarf Ihr Projekt aus.
3. Prüfen Sie auf der Seite, die geladen wird, die Logs von Aktivitäten aus neuen oder aktualisierten IAM-Ressourcen mithilfe der folgenden Filter:
   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Schritt 4: Angriffs- und Reaktionsmethoden untersuchen

1. Sehen Sie sich den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp an: Gültige Konten: Cloudkonten.
2. Um einen Antwortplan zu entwickeln, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Studie.

Schritt 5: Antwort implementieren

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

• Wenden Sie sich an den Inhaber des Projekts mit dem manipulierten Konto.
• Prüfen Sie die Felder anomalousSoftwareClassification, callerUserAgent und behaviorPeriod, um festzustellen, ob der Zugriff abnormal ist und ob das Konto manipuliert wurde.
• Projektressourcen löschen, die von nicht autorisierten Konten erstellt wurden, z. B. unbekannte Compute Engine-Instanzen, Snapshots, Dienstkonten und IAM-Nutzer.
• Informationen zum Einschränken der Erstellung neuer Ressourcen auf bestimmte Regionen finden Sie unter Ressourcenstandorte einschränken.
• Um IAM-Rollen mit zu vielen Berechtigungen zu identifizieren und zu beheben, verwenden Sie IAM Recommender.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsbefunde generieren