Halaman ini diterjemahkan oleh Cloud Translation API.

Akses Awal: Kunci Akun Layanan yang Dibocorkan Digunakan

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Kunci akun layanan yang bocor digunakan untuk mengautentikasi tindakan. Dalam konteks ini, kunci akun layanan yang bocor adalah kunci yang diposting di internet publik. Misalnya, kunci akun layanan sering kali diposting secara keliru di repositori GitHub publik.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

Buka temuan Initial Access: Leaked Service Account Key Used seperti yang diarahkan dalam Meninjau temuan.
Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

Di bagian Yang terdeteksi:
- Email utama: akun layanan yang digunakan dalam tindakan ini
- Nama layanan: nama API layanan Google Cloud yang diakses oleh akun layanan
- Nama metode: nama metode tindakan
- Nama kunci akun layanan: kunci akun layanan yang bocor dan digunakan untuk mengautentikasi tindakan ini
- Deskripsi: deskripsi tentang apa yang terdeteksi, termasuk lokasi di internet publik tempat kunci akun layanan dapat ditemukan
Di bagian Resource yang terpengaruh:
- Nama tampilan resource: resource yang terlibat dalam tindakan

Langkah 2: Periksa log

Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di Cloud Logging URI.
Di toolbar konsol Google Cloud , pilih project atau organisasi Anda.
Di halaman yang terbuka, temukan log terkait menggunakan filter berikut:
- protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
- protoPayload.authenticationInfo.serviceAccountKeyName="SERVICE_ACCOUNT_KEY_NAME"
Ganti PRINCIPAL_EMAIL dengan nilai yang Anda catat di kolom Email utama dalam detail temuan. Ganti SERVICE_ACCOUNT_KEY_NAME dengan nilai yang Anda catat di kolom Service account key name dalam detail temuan.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

Segera batalkan kunci akun layanan di halaman Akun Layanan.
Menghapus halaman web atau repositori GitHub tempat kunci akun layanan diposting.
Pertimbangkan untuk menghapus akun layanan yang disusupi.
Merotasi dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum menghapus, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
Merespons notifikasi apa pun dari Cloud Customer Care.

Langkah berikutnya

Pelajari cara menangani temuan ancaman di Security Command Center.
Lihat Indeks temuan ancaman.
Pelajari cara meninjau temuan melalui konsol Google Cloud .
Pelajari layanan yang menghasilkan temuan ancaman.