Persistance : octroi anormal d'autorisations IAM

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils identifient une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menaces disponibles, consultez cet index.

Présentation

Les journaux d'audit sont examinés pour détecter tout ajout de liaison de rôle IAM potentiellement suspect.

Exemples d'autorisations anormales :

  • Utilisateur externe (utilisateur gmail.com par exemple) invité en tant que propriétaire de projet depuis la console Google Cloud
  • Compte de service accordant des autorisations sensibles
  • Rôle personnalisé accordant des autorisations sensibles
  • Compte de service ajouté depuis l'extérieur de votre organisation ou de votre projet

Le résultat IAM Anomalous Grant est unique, car il comprend des sous-règles qui fournissent des informations plus spécifiques sur chaque instance de ce résultat. Le niveau de gravité de ce résultat dépend de la sous-règle concernée. Chaque sous-règle peut nécessiter une réponse différente.

La liste suivante présente toutes les sous-règles possibles et leur gravité :

  • external_service_account_added_to_policy :
    • HIGH, si un rôle très sensible a été attribué ou si un rôle moyennement sensible a été attribué au niveau de l'organisation. Pour en savoir plus, consultez Rôles très sensibles.
    • MEDIUM, si un rôle moyennement sensible a été attribué. Pour en savoir plus, consultez Rôles moyennement sensibles.
  • external_member_invited_to_policy : HIGH
  • external_member_added_to_policy :
    • HIGH, si un rôle très sensible a été attribué ou si un rôle moyennement sensible a été attribué au niveau de l'organisation. Pour en savoir plus, consultez Rôles très sensibles.
    • MEDIUM, si un rôle moyennement sensible a été attribué. Pour en savoir plus, consultez Rôles moyennement sensibles.
  • custom_role_given_sensitive_permissions : MEDIUM
  • service_account_granted_sensitive_role_to_member : HIGH
  • policy_modified_by_default_compute_service_account : HIGH

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Pour traiter ce résultat, procédez comme suit :

Étape 1 : Examinez les détails du résultat

  1. Ouvrez un résultat Persistence: IAM Anomalous Grant comme indiqué dans la section Examiner les résultats. Le panneau des détails du résultat s'ouvre dans l'onglet Résumé.

  2. Dans l'onglet Résumé, examinez les informations des sections suivantes :

    • Risque détecté, en particulier le champ suivant :
      • Adresse e-mail du compte principal : adresse e-mail de l'utilisateur ou du compte de service qui a attribué le rôle.

    • Ressource concernée

    • Liens associés, en particulier les champs suivants :

      • URI Cloud Logging : lien vers les entrées Logging.
      • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
      • Résultats associés : liens vers les éventuels résultats associés.
      • Indicateur VirusTotal : lien vers la page d'analyse VirusTotal.

  3. Cliquez sur l'onglet JSON. Le JSON complet du résultat s'affiche.

  4. Dans le JSON du résultat, notez les champs suivants :

    • detectionCategory :
      • subRuleName : informations plus spécifiques sur le type d'autorisation anormale qui s'est produite. La sous-règle détermine le niveau de gravité du résultat.
    • evidence :
      • sourceLogId :
      • projectId : ID du projet contenant le résultat.
    • properties :
      • sensitiveRoleGrant :
        • bindingDeltas :
        • Action : action entreprise par l'utilisateur.
        • Role : rôle attribué à l'utilisateur.
        • member : adresse e-mail de l'utilisateur qui a reçu le rôle.

Étape 2 : Vérifiez les journaux

  1. Dans l'onglet Résumé du panneau de détails du résultat, cliquez sur le lien URI Cloud Logging pour ouvrir l'explorateur de journaux.
  2. Sur la page qui s'affiche, recherchez les ressources IAM nouvelles ou mises à jour à l'aide des filtres suivants :
    • protoPayload.methodName="SetIamPolicy"
    • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
    • protoPayload.methodName="google.iam.admin.v1.CreateRole"

Étape 2 : Étudiez les méthodes d'attaque et de réponse

  1. Consultez les entrées du framework MITRE ATT&CK pour le type de résultat Comptes valides : comptes Cloud.
  2. Consultez les résultats associés en cliquant sur le lien de la ligne Résultats associés dans l'onglet Résumé des détails du résultat. Les résultats associés sont des résultats du même type qui se sont produits sur la même instance et sur le même réseau.
  3. Pour élaborer votre plan de réponse, combinez les résultats de votre enquête à la documentation MITRE.

Étape 4 : Mettez en œuvre votre plan de réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par le résultat.

  • Contactez le propriétaire du projet utilisant le compte compromis.
  • Supprimez le compte de service compromis et alternez toutes les clés d'accès au compte de service du projet potentiellement compromis afin de les supprimer. Après la suppression, les applications qui utilisent le compte de service pour l'authentification perdront l'accès.
  • Supprimez les ressources de projet créées par des comptes non autorisés, telles que les instances Compute Engine, les instantanés, les comptes de service et les utilisateurs IAM inconnus.
  • Pour limiter l'ajout d'utilisateurs gmail.com, utilisez une règle d'administration.
  • Pour identifier et corriger les rôles trop permissifs, utilisez l'outil de recommandation IAM.

Étapes suivantes