Evasão de defesa: modificar o VPC Service Control

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Essa descoberta não está disponível para ativações no nível do projeto.

Os registros de auditoria são examinados para detectar alterações nos perímetros do VPC Service Controls que levam a uma redução na proteção oferecida por esse perímetro. Confira alguns exemplos:

• Um projeto é removido de um perímetro
• Uma política de nível de acesso é adicionada a um perímetro atual
• Um ou mais serviços são adicionados à lista de serviços acessíveis

A Detecção de ameaças a eventos é a origem desta descoberta.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra a descoberta Defense Evasion: Modify VPC Service Control, conforme instruído em Como verificar descobertas. O painel com os detalhes da descoberta será aberto, exibindo a guia Resumo.

2. Na guia Resumo, confira as informações nas seguintes seções:

   • O que foi detectado, especialmente o seguinte campo:
     • E-mail principal: a conta que realizou a modificação.
   • Recurso afetado, especialmente o seguinte campo:
     • Nome completo do recurso: o nome do perímetro do VPC Service Controls que foi modificado.
   • Links relacionados:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Descobertas relacionadas: links para quaisquer descobertas relacionadas.

3. Clique na guia JSON.

4. No JSON, observe os seguintes campos.

   • sourceProperties
     • properties
       • name: o nome do perímetro do VPC Service Controls que foi modificado
       • policyLink: o link para a política de acesso que controla o perímetro
       • delta: as mudanças, REMOVE ou ADD, em um perímetro que reduziu a proteção
       • restricted_resources: os projetos que seguem as restrições desse perímetro. A proteção será reduzida se você remover um projeto
       • restricted_services: os serviços que não podem ser executados pelas restrições desse perímetro. A proteção será reduzida se você remover um serviço restrito
       • allowed_services: os serviços que podem ser executados de acordo com as restrições desse perímetro. A proteção será reduzida se você adicionar um serviço permitido
       • access_levels: os níveis de acesso configurados para permitir o acesso a recursos no perímetro. A proteção será reduzida se você adicionar mais níveis de acesso

Etapa 2: verificar os registros

1. Na guia "Resumo" do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o Explorador de registros.
2. Encontre registros de atividades do administrador relacionados às alterações do VPC Service Controls usando estes filtros:
   • protoPayload.methodName:"AccessContextManager.UpdateServicePerimeter"
   • protoPayload.methodName:"AccessContextManager.ReplaceServicePerimeters"

Etapa 3: pesquisar métodos de ataque e resposta

1. Revise a entrada do framework MITRE ATT&CK para esse tipo de descoberta: Evasão de defesa: modifique o processo de autenticação.
2. Verifique as descobertas relacionadas clicando no link em Descobertas relacionadas na linha Descobertas relacionadas na guia Resumo dos detalhes da descoberta.
3. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 4: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

• Entre em contato com o proprietário da política e do perímetro do VPC Service Controls.
• Considere reverter as alterações no perímetro até que a investigação seja concluída.
• Revogue os papéis do Access Context Manager no principal que modificou o perímetro até que a investigação seja concluída.
• Investigar como as proteções reduzidas foram usadas Por exemplo, se a "API BigQuery Data Transfer Service" estiver ativada ou for adicionada como um serviço permitido, verifique quem começou a usar esse serviço e o que ele está transferindo.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.