Persistance : Octroi anormal d'autorisations IAM

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Les journaux d'audit sont examinés pour détecter toute liaison de rôle IAM potentiellement suspecte.

Vous trouverez ci-dessous des exemples d'attributions anormales :

• Inviter un utilisateur externe, tel qu'un utilisateur gmail.com, en tant que propriétaire de projet à partir de la console Google Cloud
• Compte de service accordant des autorisations sensibles.
• Rôle personnalisé accordant des autorisations sensibles.
• Compte de service ajouté depuis l'extérieur de votre organisation ou de votre projet

Le résultat IAM Anomalous Grant est unique, car il inclut des sous-règles qui fournissent des informations plus spécifiques sur chaque instance de ce résultat. Le niveau de gravité de ce résultat dépend de la sous-règle. Chaque sous-règle peut nécessiter une réponse différente.

La liste suivante présente toutes les sous-règles possibles et leur niveau de gravité :

• external_service_account_added_to_policy :
  • HIGH, si un rôle à sensibilité élevée a été attribué ou si un rôle à sensibilité moyenne a été attribué au niveau de l'organisation. Pour en savoir plus, consultez Rôles très sensibles.
  • MEDIUM, si un rôle à sensibilité moyenne a été attribué. Pour en savoir plus, consultez Rôles de sensibilité moyenne.
• external_member_invited_to_policy : HIGH
• external_member_added_to_policy :
  • HIGH, si un rôle à sensibilité élevée a été attribué ou si un rôle à sensibilité moyenne a été attribué au niveau de l'organisation. Pour en savoir plus, consultez Rôles très sensibles.
  • MEDIUM, si un rôle à sensibilité moyenne a été attribué. Pour en savoir plus, consultez Rôles de sensibilité moyenne.
• custom_role_given_sensitive_permissions : MEDIUM
• service_account_granted_sensitive_role_to_member : HIGH
• policy_modified_by_default_compute_service_account : HIGH

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

1. Ouvrez un résultat Persistence: IAM Anomalous Grant comme indiqué dans la section Examiner les résultats. Le panneau d'informations sur le résultat s'ouvre sur l'onglet Résumé.

2. Dans l'onglet Récapitulatif, examinez les informations des sections suivantes :

   • Ce qui a été détecté, en particulier les champs suivants :
     • Adresse e-mail du compte principal : adresse e-mail de l'utilisateur ou du compte de service qui a attribué le rôle.

   • Ressource concernée

   • Liens associés, en particulier les champs suivants :

     • URI Cloud Logging : lien vers les entrées de journalisation.
     • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
     • Résultats associés : liens vers les résultats associés.
     • Indicateur VirusTotal : lien vers la page d'analyse VirusTotal.

3. Cliquez sur l'onglet JSON. Le JSON complet du résultat s'affiche.

4. Dans le JSON du résultat, notez les champs suivants :

   • detectionCategory :
     • subRuleName : informations plus spécifiques sur le type d'attribution anormale qui s'est produite. La sous-règle détermine le niveau de gravité de ce résultat.
   • evidence :
     • sourceLogId :
     • projectId : ID du projet contenant le résultat.
   • properties :
     • sensitiveRoleGrant :
       • bindingDeltas :
       • Action : action entreprise par l'utilisateur.
       • Role : rôle attribué à l'utilisateur.
       • member : adresse e-mail de l'utilisateur ayant reçu le rôle.

Étape 2 : Vérifier les journaux

1. Dans l'onglet Récapitulatif du panneau "Détails du résultat", cliquez sur le lien URI Cloud Logging pour ouvrir l'explorateur de journaux.
2. Sur la page qui s'affiche, recherchez les ressources IAM nouvelles ou mises à jour à l'aide des filtres suivants :
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"

Étape 3 : Rechercher des méthodes d'attaque et de réponse

1. Examinez les entrées du framework MITRE ATT&CK pour ce type de résultat : Comptes valides : Comptes Cloud.
2. Consultez les résultats associés en cliquant sur le lien de la ligne Résultats associés dans l'onglet Récapitulatif des détails du résultat. Les résultats associés sont du même type de résultat, sur la même instance et sur le même réseau.
3. Pour élaborer un plan d'intervention, combinez vos résultats d'enquête avec les recherches MITRE.

Étape 4 : Mettre en œuvre votre réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.

• Contactez le propriétaire du projet contenant le conteneur compromis.
• Supprimer le compte de service compromis : et alterner puis supprimer toutes les clés d'accès de compte de service du projet compromis. Après suppression, les ressources qui utilisent le compte de service pour l'authentification perdent l'accès.
• Supprimez les ressources de projet créées par des comptes non autorisés telles que les instances Compute Engine, les instantanés, les comptes de service et les utilisateurs IAM inconnus.
• Pour limiter l'ajout d'utilisateurs gmail.com, utilisez la règle d'administration.
• Pour identifier et corriger les rôles trop permissifs, utilisez l'outil de recommandation IAM.

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
• Consultez l'index des résultats de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• En savoir plus sur les services qui génèrent des résultats de détection des menaces