Persistensi: Agen Pengguna Baru

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Temuan ini tidak tersedia untuk aktivasi level project.

Akun layanan IAM mengakses Google Cloud menggunakan software yang mencurigakan, seperti yang ditunjukkan oleh agen pengguna yang tidak normal.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Persistence: New User Agent, seperti yang diarahkan dalam Meninjau detail temuan sebelumnya di halaman ini. Panel detail untuk temuan akan terbuka di tab Ringkasan.

  2. Di tab Summary, tinjau informasi di bagian berikut:

    • Apa yang terdeteksi, terutama kolom berikut:
      • Email akun utama: akun layanan yang berpotensi disusupi.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap project: project yang berisi akun layanan yang berpotensi disusupi.
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
    1. Di tampilan detail temuan, klik tab JSON.
    2. Dalam JSON, perhatikan kolom berikut.
    • projectId: project yang berisi akun layanan yang berpotensi disusupi.
    • callerUserAgent: agen pengguna yang anomali.
    • anomalousSoftwareClassification: jenis software.
    • notSeenInLast: jangka waktu yang digunakan untuk menetapkan dasar pengukuran perilaku normal.

Langkah 2: Tinjau izin project dan akun

  1. Di konsol Google Cloud , buka halaman IAM.

    Buka IAM

  2. Jika perlu, pilih project yang tercantum di projectId.

  3. Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di baris Email akun utama di tab Ringkasan pada detail temuan dan periksa peran yang diberikan.

  4. Di konsol Google Cloud , buka halaman Service Accounts.

    Buka Akun Layanan

  5. Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di baris Email utama di tab Ringkasan pada detail temuan.

  6. Periksa kunci akun layanan dan tanggal pembuatan kunci.

Langkah 3: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.
  2. Jika perlu, pilih project Anda.
  3. Di halaman yang dimuat, periksa log untuk aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:
    • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
    • protoPayload.methodName="SetIamPolicy"
    • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
    • protoPayload.methodName="google.iam.admin.v1.CreateRole"
    • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Meneliti metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid: Akun Cloud.
  2. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

  • Hubungi pemilik project dengan akun yang disusupi.
  • Tinjau kolom anomalousSoftwareClassification, callerUserAgent, dan behaviorPeriod untuk memverifikasi apakah akses tidak normal dan apakah akun telah disusupi.
  • Hapus resource project yang dibuat oleh akun yang tidak sah, seperti instance, snapshot, akun layanan, dan pengguna IAM Compute Engine yang tidak dikenal.
  • Untuk membatasi pembuatan resource baru ke region tertentu, lihat Membatasi lokasi resource.
  • Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Langkah berikutnya