持久性：新用户代理

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时，会生成威胁发现结果。如需查看可用威胁发现结果的完整列表，请参阅威胁发现结果索引。

概览

此发现结果不适用于项目级激活。

IAM 服务账号按异常用户代理所指示使用可疑的软件访问 Google Cloud 。

如何应答

如需响应此发现结果，请执行以下操作：

第 1 步：查看发现结果详情

1. 按照本页面前面部分的查看发现结果详情中所述，打开 Persistence: New User Agent 发现结果。系统会打开发现结果详细信息面板，以显示摘要标签页。

2. 在摘要标签页上，查看以下部分中的信息：

   • 检测到的内容，尤其是以下字段：
     • 主账号邮件：可能被盗用的服务账号。
   • 受影响的资源，尤其是以下字段：
     • 项目全名：包含可能被盗用的服务账号的项目。
   • 相关链接，尤其是以下字段：
     • Cloud Logging URI：指向 Logging 条目的链接。
     • MITRE ATT&CK 方法：指向 MITRE ATT&CK 文档的链接。
     • 相关发现结果：指向任何相关发现结果的链接。
   1. 在发现结果的详情视图中，点击 JSON 标签页。
   2. 在 JSON 中，请注意以下字段。
   • projectId：包含可能被盗用的服务账号的项目。
   • callerUserAgent：异常用户代理。
   • anomalousSoftwareClassification：软件类型。
   • notSeenInLast：用于建立正常行为基准的时间段。

第 2 步：查看项目和账号权限

1. 在 Google Cloud 控制台中，前往 IAM 页面。

   转到 IAM

2. 如有必要，选择 projectId 中列出的项目。

3. 在显示的页面上的过滤条件框中，输入发现结果详情摘要标签页中主账号电子邮件地址行上列出的账号名称，并检查授予的角色。

4. 在 Google Cloud 控制台中，前往服务账号页面。

   转到“服务账号”

5. 在显示的页面上的过滤条件框中，输入发现结果详情摘要标签页中主账号电子邮件地址行上列出的账号名称。

6. 检查该服务账号的密钥和密钥创建日期。

第 3 步：检查日志

1. 在发现结果详细信息面板的“摘要”标签页上，点击 Cloud Logging URI 链接以打开 Logs Explorer。
2. 如有必要，请选择您的项目。
3. 在加载的页面上，使用以下过滤条件检查新的或更新后的 IAM 资源中的活动日志：
   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

第 4 步：研究攻击和响应方法

1. 查看此发现结果类型的 MITRE ATT&CK 框架条目：有效账号：云账号。
2. 如需制定响应方案，请将您的调查结果与 MITRE 研究相结合。

第 5 步：实现响应

以下响应方案可能适合此发现结果，但也可能会影响运营。 请仔细评估您在研究中收集的信息，以确定解析发现结果的最佳方法。

• 与账号被盗用的项目的所有者联系。
• 查看 anomalousSoftwareClassification、callerUserAgent 和 behaviorPeriod 字段，以验证访问是否异常以及账号是否被盗用。
• 删除未经授权的账号创建的项目资源，例如不熟悉的 Compute Engine 实例、快照、服务账号和 IAM 用户。
• 如需将新资源的创建限制在特定区域，请参阅限制资源位置。
• 如需识别并修正过于宽松的角色，请使用 IAM Recommender。

后续步骤

• 了解如何在 Security Command Center 中处理威胁发现结果。
• 请参阅威胁发现结果索引。
• 了解如何通过 Google Cloud 控制台查看检测结果。
• 了解生成威胁发现结果的服务。