Evasão de defesa: modifique o VPC Service Controls

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Esta descoberta não está disponível para ativações ao nível do projeto.

Os registos de auditoria são examinados para detetar alterações aos perímetros dos VPC Service Controls que resultariam numa redução da proteção oferecida por esse perímetro. Seguem-se alguns exemplos:

  • Um projeto é removido de um perímetro
  • Uma política de nível de acesso é adicionada a um perímetro existente
  • Um ou mais serviços são adicionados à lista de serviços acessíveis

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

  1. Abra a descoberta Defense Evasion: Modify VPC Service Control, conforme indicado em Rever descobertas. O painel com os detalhes da descoberta é aberto e apresenta o separador Resumo.
  2. No separador Resumo, reveja as informações nas seguintes secções:

    • O que foi detetado, especialmente o seguinte campo:
      • Email principal: a conta que efetuou a modificação.
    • Recurso afetado, especialmente o seguinte campo:
      • Nome completo do recurso: o nome do perímetro do VPC Service Controls que foi modificado.
    • Links relacionados:
      • URI do Cloud Logging: link para as entradas do Logging.
      • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
      • Resultados relacionados: links para resultados relacionados.
  3. Clique no separador JSON.

  4. No JSON, tenha em atenção os seguintes campos.

    • sourceProperties
      • properties
        • name: o nome do perímetro dos VPC Service Controls que foi modificado
        • policyLink: o link para a política de acesso que controla o perímetro
        • delta: as alterações, REMOVE ou ADD, a um perímetro que reduziu a respetiva proteção
        • restricted_resources: os projetos que seguem as restrições deste perímetro. A proteção é reduzida se remover um projeto
        • restricted_services: os serviços cuja execução é proibida pelas restrições deste perímetro. A proteção é reduzida se remover um serviço restrito
        • allowed_services: os serviços que podem ser executados nas restrições deste perímetro. A proteção é reduzida se adicionar um serviço permitido
        • access_levels: os níveis de acesso que estão configurados para permitir o acesso a recursos no perímetro. A proteção é reduzida se adicionar mais níveis de acesso

Passo 2: verifique os registos

  1. No separador Resumo do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o explorador de registos.
  2. Encontre registos de atividade de administrador relacionados com alterações aos VPC Service Controls através dos seguintes filtros:
    • protoPayload.methodName:"AccessContextManager.UpdateServicePerimeter"
    • protoPayload.methodName:"AccessContextManager.ReplaceServicePerimeters"

Passo 3: pesquise métodos de ataque e resposta

  1. Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Defense Evasion: Modify Authentication Process.
  2. Reveja as conclusões relacionadas clicando no link em Conclusões relacionadas na linha Conclusões relacionadas no separador Resumo dos detalhes das conclusões.
  3. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

Passo 4: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

  • Contacte o proprietário da política e do perímetro do VPC Service Controls.
  • Considere reverter as alterações ao perímetro até que a investigação esteja concluída.
  • Considere revogar as funções do Gestor de contexto de acesso no principal que modificou o perímetro até que a investigação esteja concluída.
  • Investigue como foram usadas as proteções reduzidas. Por exemplo, se a "API BigQuery Data Transfer Service" estiver ativada ou adicionada como serviço permitido, verifique quem começou a usar esse serviço e o que está a transferir.

O que se segue?