Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.
Présentation
Une clé de compte de service divulguée a été utilisée pour authentifier une action. Dans ce contexte, une clé de compte de service divulguée est une clé qui a été publiée sur Internet. Par exemple, les clés de compte de service sont souvent publiées par erreur dans un dépôt GitHub public.
Comment répondre
Pour répondre à ce résultat, procédez comme suit :
Étape 1 : Examiner les détails du résultat
- Ouvrez le résultat
Initial Access: Leaked Service Account Key Used, comme indiqué dans Examiner les résultats. Dans les détails du résultat, dans l'onglet Récapitulatif, notez les valeurs des champs suivants.
Sous Risque détecté :
- Adresse e-mail principale : compte de service utilisé pour cette action
- Nom du service : nom de l'API du service Google Cloud auquel le compte de service a accédé
- Nom de la méthode : nom de la méthode de l'action
- Nom de la clé de compte de service : clé de compte de service divulguée utilisée pour authentifier cette action
- Description : description de ce qui a été détecté, y compris l'emplacement sur l'Internet public où se trouve la clé du compte de service
Sous Ressource concernée :
- Nom à afficher de la ressource : ressource concernée par l'action
Étape 2 : Vérifier les journaux
- Dans la console Google Cloud , accédez à l'explorateur de journaux en cliquant sur le lien dans URI Cloud Logging.
- Dans la barre d'outils de la console Google Cloud , sélectionnez votre projet ou votre organisation.
Sur la page qui s'affiche, recherchez les journaux associés à l'aide du filtre suivant :
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"protoPayload.authenticationInfo.serviceAccountKeyName="SERVICE_ACCOUNT_KEY_NAME"
Remplacez PRINCIPAL_EMAIL par la valeur que vous avez notée dans le champ Adresse e-mail du principal des détails du résultat. Remplacez SERVICE_ACCOUNT_KEY_NAME par la valeur que vous avez notée dans le champ Nom de la clé du compte de service des détails du résultat.
Étape 3 : Mettre en œuvre votre réponse
Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.
- Révoquez immédiatement la clé du compte de service sur la page Comptes de service.
- Supprimez la page Web ou le dépôt GitHub où la clé de compte de service est publiée.
- Envisagez de supprimer le compte de service compromis.
- Alterner et supprimer toutes les clés d'accès de compte de service du projet potentiellement compromis. Après suppression, les applications qui utilisent le compte de service pour l'authentification perdent l'accès. Avant de supprimer, votre équipe de sécurité doit identifier toutes les applications concernées et collaborer avec les propriétaires des applications pour assurer la continuité des opérations.
- Collaborez avec votre équipe de sécurité pour identifier les ressources inconnues, y compris les instances Compute Engine, les instantanés, les comptes de service et les utilisateurs IAM. Supprimez les ressources qui n'ont pas été créées avec des comptes autorisés.
- Répondez à toutes les notifications de Cloud Customer Care.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
- Consultez l'index des résultats de menace.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- En savoir plus sur les services qui génèrent des résultats de détection des menaces