Evasão de defesa: bloqueio de política HTTP no projeto desativado

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

A Detecção de ameaças a eventos examina os registros de auditoria para detectar se a política constraints/storage.secureHttpTransport foi atualizada para desativar o bloqueio de política HTTP.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra a descoberta Defense Evasion: Project HTTP Policy Block Disabled, conforme instruído em Como verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.
2. Na guia Resumo, confira as informações nas seguintes seções:
   • O que foi detectado, especialmente os seguintes campos:
     • Descrição: informações sobre a detecção
     • Assunto principal: um usuário ou uma conta de serviço que executou uma ação com sucesso
   • Recurso afetado
     • Nome de exibição do recurso: o projeto/pasta/organização em que a política foi atualizada.
   • Links relacionados, principalmente os seguintes campos:
     • Método MITRE ATTACK: link para a documentação do MITRE ATT&CK.
     • URI do Logging: link para abrir a Análise de registros.

Etapa 2: pesquisar métodos de ataque e resposta

Entre em contato com o proprietário da conta de serviço ou de usuário no campo Assunto principal. Confirme se o proprietário legítimo realizou a ação para desativar a política constraints/storage.secureHttpTransport.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.