Persistência: novo user agent

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Essa descoberta não está disponível para ativações no nível do projeto.

Uma conta de serviço do IAM está acessando Google Cloud usando software suspeito, conforme indicado por um user agent anômalo.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra uma descoberta Persistence: New User Agent, conforme direcionado em Como verificar detalhes da descoberta anteriormente nesta página. O painel de detalhes da descoberta é aberto na guia Resumo.

2. Na guia Resumo, confira as informações nas seguintes seções:

   • O que foi detectado, especialmente os seguintes campos:
     • E-mail principal: a conta de serviço possivelmente comprometida.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do projeto: o projeto que contém a conta de serviço potencialmente comprometida.
   • Links relacionados, principalmente os seguintes campos:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Descobertas relacionadas: links para quaisquer descobertas relacionadas.
   1. Na visualização detalhada da descoberta, clique na guia JSON.
   2. No JSON, observe os seguintes campos.
   • projectId: o projeto que contém a conta de serviço possivelmente comprometida.
   • callerUserAgent: o user agent anômalo.
   • anomalousSoftwareClassification: o tipo de software.
   • notSeenInLast: o período usado para estabelecer um valor de referência para o comportamento normal.

Etapa 2: verificar as permissões do projeto e da conta

1. No console do Google Cloud , acesse a página IAM.

   Acessar IAM

2. Se necessário, selecione o projeto listado em projectId.

3. Na página exibida, na caixa Filtro, insira o nome da conta listado na linha E-mail principal na guia Resumo dos detalhes da descoberta e verifique os papéis concedidos.

4. No console Google Cloud , acesse a página Contas de serviço.

   Acesse Contas de serviço

5. Na página exibida, na caixa Filtro, insira o nome da conta listado na linha E-mail principal na guia Resumo dos detalhes da descoberta.

6. Verifique as chaves e as datas de criação das chaves da conta de serviço.

Etapa 3: verificar os registros

1. Na guia "Resumo" do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o Explorador de registros.
2. Se necessário, selecione o projeto.
3. Na página carregada, verifique os registros em busca de atividades em recursos novos ou atualizados do IAM usando estes filtros:
   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Etapa 4: pesquisar métodos de ataque e resposta

1. Verifique a entrada do framework do MITRE ATT&CK em busca deste tipo de descoberta: Contas válidas: contas do Cloud.
2. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 5: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

• Entre em contato a pessoa a quem o projeto com a conta violada pertence.
• Confira os campos anomalousSoftwareClassification, callerUserAgent e behaviorPeriod para verificar se o acesso está anormal e se a conta foi comprometida.
• Exclua recursos do projeto criados por contas não autorizadas, como instâncias desconhecidas do Compute Engine, snapshots, contas de serviço e usuários do IAM.
• Para restringir a criação de novos recursos a regiões específicas, consulte Como restringir locais de recursos.
• Para identificar e corrigir papéis excessivamente permissivos, use o Recomendador do IAM.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.