Persistensi: Pemberian IAM Tidak Wajar

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Log audit diperiksa untuk mendeteksi penambahan binding peran IAM yang mungkin dianggap mencurigakan.

Berikut adalah contoh pemberian yang tidak normal:

• Mengundang pengguna eksternal, seperti pengguna gmail.com, sebagai pemilik project dari konsol Google Cloud
• Akun layanan yang memberikan izin sensitif
• Peran khusus yang memberikan izin sensitif
• Akun layanan yang ditambahkan dari luar organisasi atau project Anda

Temuan IAM Anomalous Grant unik karena mencakup sub-aturan yang memberikan informasi lebih spesifik tentang setiap instance temuan ini. Klasifikasi tingkat keparahan temuan ini bergantung pada sub-aturan. Setiap sub-aturan mungkin memerlukan respons yang berbeda.

Daftar berikut menunjukkan semua kemungkinan sub-aturan dan tingkat keparahannya:

• external_service_account_added_to_policy:
  • HIGH, jika peran yang sangat sensitif diberikan atau jika peran dengan sensitivitas sedang diberikan di tingkat organisasi. Untuk mengetahui informasi selengkapnya, lihat Peran yang sangat sensitif.
  • MEDIUM, jika peran sensitivitas sedang diberikan. Untuk mengetahui informasi selengkapnya, lihat Peran dengan sensitivitas sedang.
• external_member_invited_to_policy: HIGH
• external_member_added_to_policy:
  • HIGH, jika peran yang sangat sensitif diberikan atau jika peran dengan sensitivitas sedang diberikan di tingkat organisasi. Untuk mengetahui informasi selengkapnya, lihat Peran yang sangat sensitif.
  • MEDIUM, jika peran sensitivitas sedang diberikan. Untuk mengetahui informasi selengkapnya, lihat Peran dengan sensitivitas sedang.
• custom_role_given_sensitive_permissions: MEDIUM
• service_account_granted_sensitive_role_to_member: HIGH
• policy_modified_by_default_compute_service_account: HIGH

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Persistence: IAM Anomalous Grant seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Summary, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email akun utama: alamat email untuk pengguna atau akun layanan yang menetapkan peran.

   • Resource yang terpengaruh

   • Link terkait, terutama kolom berikut:

     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.
     • Indikator VirusTotal: link ke halaman analisis VirusTotal.

3. Klik tab JSON. JSON lengkap temuan ditampilkan.

4. Dalam JSON untuk temuan, perhatikan kolom berikut:

   • detectionCategory:
     • subRuleName: informasi yang lebih spesifik tentang jenis pemberian akses yang anomali yang terjadi. Sub-aturan menentukan klasifikasi tingkat keparahan temuan ini.
   • evidence:
     • sourceLogId:
     • projectId: ID project yang berisi temuan.
   • properties:
     • sensitiveRoleGrant:
       • bindingDeltas:
       • Action: tindakan yang dilakukan oleh pengguna.
       • Role: peran yang ditetapkan kepada pengguna.
       • member: alamat email pengguna yang menerima peran.

Langkah 2: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.
2. Di halaman yang dimuat, cari resource IAM baru atau yang diperbarui menggunakan filter berikut:
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid: Akun Cloud.
2. Tinjau temuan terkait dengan mengklik link di baris Temuan terkait di tab Ringkasan pada detail temuan. Temuan terkait adalah jenis temuan yang sama dan instance serta jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project dengan akun yang disusupi.
• Hapus akun layanan yang disusupi, lalu ganti dan hapus semua kunci akses akun layanan untuk project yang disusupi. Setelah penghapusan, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses.
• Hapus resource project yang dibuat oleh akun yang tidak sah, seperti instance, snapshot, akun layanan, dan pengguna IAM Compute Engine yang tidak dikenal.
• Untuk membatasi penambahan pengguna gmail.com, gunakan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.