Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung bei KI-Datenzugriff

In diesem Dokument wird ein bestimmter Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Anomalous Multistep Service Account Delegation wird erkannt, wenn die Audit-Logs für Administratoraktivitäten eines KI-Dienstes zeigen, dass bei einer Anfrage zur Identitätsübernahme eines Dienstkontos eine Anomalie aufgetreten ist.

Die Quelle dieses Ergebnisses ist Event Threat Detection.

Maßnahmen

So reagieren Sie auf dieses Ergebnis:

Schritt 1: Ergebnisdetails prüfen

  1. Öffnen Sie das Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access-Ergebnis, wie unter Ergebnisse prüfen beschrieben. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.

  2. Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

    • Was erkannt wurde, insbesondere die folgenden Felder:
      • Hauptkonto-E-Mail-Adresse: Das letzte Dienstkonto in der Anfrage zur Identitätsübernahme, das für den Zugriff auf Google Cloudverwendet wurde.
      • Methodenname: die aufgerufene Methode
      • Informationen zur Dienstkontodelegierung: Details zu Dienstkonten in der Delegationskette. Das Hauptkonto unten in der Liste ist der Aufrufer der Identitätswechselanfrage.
      • KI-Ressourcen: die potenziell betroffenen KI-Ressourcen, z. B. die Agent Platform-Ressourcen und das KI-Modell.
    • Betroffene Ressource
    • Weitere Informationen, insbesondere die folgenden Felder:
      • Cloud Logging-URI: Link zu Logging-Einträgen.
      • MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
      • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.

Schritt 2: Angriffs- und Reaktionsmethoden untersuchen

  1. Wenden Sie sich im Feld E-Mail-Adresse des Hauptkontos an den Inhaber des Dienstkontos. Bestätigen Sie, dass die Aktion vom rechtmäßigen Inhaber ausgeführt wurde.
  2. Untersuchen Sie die Identitäten in der Delegierungskette, um festzustellen, ob die Anfrage ungewöhnlich ist und ob ein Konto manipuliert wurde.
  3. Wenden Sie sich an den Inhaber des Anrufers für die Identitätsübernahme in der Liste Informationen zur Dienstkontodelegierung. Bestätigen Sie, dass die Aktion vom rechtmäßigen Inhaber ausgeführt wurde.

Schritt 3: Reaktion implementieren

Der folgende Reaktionplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Abläufe auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Behebung der Ergebnisse zu finden.

  • Wenden Sie sich an den Inhaber des Projekts, in dem die Maßnahme ergriffen wurde.
  • Erwägen Sie, das möglicherweise manipulierte Dienstkonto zu löschen und alle Dienstkontoschlüssel für das möglicherweise manipulierte Projekt zu rotieren und zu löschen. Nach dem Löschen verlieren Ressourcen, die das Dienstkonto für die Authentifizierung verwenden, den Zugriff. Bevor Sie fortfahren, sollte Ihr Sicherheitsteam alle betroffenen Ressourcen identifizieren und mit Ressourceninhabern zusammenarbeiten, um die Geschäftskontinuität zu gewährleisten.
  • Ermitteln Sie gemeinsam mit Ihrem Sicherheitsteam unbekannte Ressourcen, einschließlich Compute Engine-Instanzen, Snapshots, Dienstkonten und IAM-Nutzer. Ressourcen löschen, die nicht mit autorisierten Konten erstellt wurden.
  • Auf Benachrichtigungen von Cloud Customer Care reagieren
  • Mit dem Organisationsrichtliniendienst können Sie einschränken, wer Dienstkonten erstellen kann.
  • Um IAM-Rollen mit zu vielen Berechtigungen zu identifizieren und zu beheben, verwenden Sie IAM Recommender.

Nächste Schritte