Defense Evasion: Mengubah Kontrol Layanan VPC

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Temuan ini tidak tersedia untuk aktivasi level project.

Log audit diperiksa untuk mendeteksi perubahan pada perimeter Kontrol Layanan VPC yang akan mengurangi perlindungan yang ditawarkan oleh perimeter tersebut. Berikut beberapa contohnya:

Event Threat Detection adalah sumber temuan ini.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Defense Evasion: Modify VPC Service Control, seperti yang diarahkan dalam Meninjau temuan. Panel untuk detail temuan akan terbuka, menampilkan tab Ringkasan.

  2. Di tab Summary, tinjau informasi di bagian berikut:

    • Apa yang terdeteksi, terutama kolom berikut:
      • Email utama: akun yang melakukan modifikasi.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: nama perimeter Kontrol Layanan VPC yang diubah.
    • Link terkait:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.

  3. Klik tab JSON.

  4. Dalam JSON, perhatikan kolom berikut.

    • sourceProperties
      • properties
        • name: nama perimeter Kontrol Layanan VPC yang diubah
        • policyLink: link ke kebijakan akses yang mengontrol perimeter
        • delta: perubahan, baik REMOVE maupun ADD, pada perimeter yang mengurangi perlindungannya
        • restricted_resources: project yang mengikuti batasan perimeter ini. Perlindungan akan berkurang jika Anda menghapus project
        • restricted_services: layanan yang dilarang berjalan oleh batasan perimeter ini. Perlindungan akan berkurang jika Anda menghapus layanan yang dibatasi
        • allowed_services: layanan yang diizinkan untuk berjalan di bawah batasan perimeter ini. Perlindungan akan berkurang jika Anda menambahkan layanan yang diizinkan
        • access_levels: tingkat akses yang dikonfigurasi untuk mengizinkan akses ke resource dalam perimeter. Perlindungan akan berkurang jika Anda menambahkan lebih banyak tingkat akses

Langkah 2: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.
  2. Temukan log aktivitas admin yang terkait dengan perubahan Kontrol Layanan VPC menggunakan filter berikut:
    • protoPayload.methodName:"AccessContextManager.UpdateServicePerimeter"
    • protoPayload.methodName:"AccessContextManager.ReplaceServicePerimeters"

Langkah 3: Meneliti metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Defense Evasion: Modify Authentication Process.
  2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait pada tab Ringkasan di detail temuan.
  3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

  • Hubungi pemilik kebijakan dan perimeter Kontrol Layanan VPC.
  • Pertimbangkan untuk membatalkan perubahan perimeter hingga penyelidikan selesai.
  • Pertimbangkan untuk mencabut peran Access Context Manager pada akun utama yang mengubah perimeter hingga penyelidikan selesai.
  • Selidiki bagaimana perlindungan yang dikurangi telah digunakan. Misalnya, jika "BigQuery Data Transfer Service API" diaktifkan, atau ditambahkan sebagai layanan yang diizinkan, periksa siapa yang mulai menggunakan layanan tersebut dan apa yang mereka transfer.

Langkah berikutnya