持續性:新使用者代理程式

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

這項發現項目不適用於專案層級的啟用作業。

IAM 服務帳戶正在存取 Google Cloud 使用可疑軟體,異常使用者代理程式即為證據。

回應方式

如要回應這項發現,請按照下列步驟操作:

步驟 1:查看調查結果詳細資料

  1. 按照本頁稍早「查看調查結果詳細資料」一節的說明,開啟 Persistence: New User Agent 發現項目。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。

  2. 在「摘要」分頁中,查看下列各節的資訊:

    • 偵測到的內容,特別是下列欄位:
      • 主體電子郵件地址:可能遭入侵的服務帳戶。
    • 受影響的資源,尤其是下列欄位:
      • 專案全名:含有可能遭入侵服務帳戶的專案。
    • 相關連結,尤其是下列欄位:
      • Cloud Logging URI:記錄檔項目的連結。
      • MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
      • 相關發現項目:任何相關發現項目的連結。
    1. 在調查結果的詳細資料檢視畫面中,按一下「JSON」分頁標籤。
    2. 請注意 JSON 中的下列欄位。
    • projectId:包含可能遭入侵服務帳戶的專案。
    • callerUserAgent:異常使用者代理程式。
    • anomalousSoftwareClassification:軟體類型。
    • notSeenInLast:用於建立正常行為基準的時間範圍。

步驟 2:查看專案和帳戶權限

  1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

    前往「IAM」頁面

  2. 如有需要,請選取 projectId 中列出的專案。

  3. 在隨即顯示的頁面中,於「篩選條件」方塊輸入「摘要」分頁「主要電子郵件」列中列出的帳戶名稱,並檢查已授予的角色。

  4. 前往 Google Cloud 控制台的「Service Accounts」(服務帳戶) 頁面。

    前往「Service Accounts」(服務帳戶)

  5. 在隨即顯示的頁面中,於「篩選器」方塊中輸入帳戶名稱,該名稱會列在調查結果詳細資料「摘要」分頁的「主要電子郵件」列中。

  6. 檢查服務帳戶的金鑰和金鑰建立日期。

步驟 3:檢查記錄

  1. 在「發現項目詳細資料」面板的「摘要」分頁中,按一下「Cloud Logging URI」連結,開啟「記錄檔探索工具」
  2. 必要時,請選取專案。
  3. 在隨即載入的頁面中,使用下列篩選器檢查新或更新 IAM 資源的活動記錄:
    • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
    • protoPayload.methodName="SetIamPolicy"
    • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
    • protoPayload.methodName="google.iam.admin.v1.CreateRole"
    • protoPayload.authenticationInfo.principalEmail="principalEmail"

步驟 4:研究攻擊和回應方法

  1. 查看這類調查結果的 MITRE ATT&CK 架構項目: 有效帳戶:雲端帳戶
  2. 如要制定回應計畫,請將調查結果與 MITRE 研究結合。

步驟 5:實作回應

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

  • 與遭入侵帳戶的專案擁有者聯絡。
  • 查看 anomalousSoftwareClassificationcallerUserAgentbehaviorPeriod 欄位,確認存取權是否異常,以及帳戶是否遭到入侵。
  • 刪除未經授權帳戶建立的專案資源,例如不熟悉的 Compute Engine 執行個體、快照、服務帳戶和 IAM 使用者。
  • 如要限制僅有特定區域才可建立新資源,請參閱「限制資源位置」。
  • 如要找出並修正過於寬鬆的角色,請使用 IAM 建議

後續步驟