Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Beständigkeit: Sensible KI-Berechtigung zu benutzerdefinierter Rolle hinzugefügt

In diesem Dokument wird ein bestimmter Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Einer benutzerdefinierten IAM-Rolle wurde eine sensible KI-Berechtigung hinzugefügt. Sensible KI-Berechtigungen sind Berechtigungen zum Erstellen, Aktualisieren oder Löschen in einem KI-Dienst. Ergebnisse werden standardmäßig als Mittel eingestuft.

Die Quelle von diesem Ergebnis ist Event Threat Detection.

Maßnahmen

So reagieren Sie auf dieses Ergebnis:

Schritt 1: Ergebnisdetails prüfen

Öffnen Sie das Ergebnis Persistence: Sensitive AI Permission Added to Custom Role, wie unter Ergebnisse prüfen beschrieben. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:
- Was wurde erkannt, insbesondere die folgenden Felder:
  - E-Mail-Adresse des Principals: E-Mail-Adresse des Nutzers oder Dienstkontos, dem die Rolle zugewiesen wurde.
- Betroffene Ressource
- Verknüpfte Links, insbesondere die folgenden Felder:
  - Cloud Logging-URI: Link zu Logging-Einträgen.
  - MITRE ATT&CK-Methode: Link zur MITRE ATT&CK-Dokumentation.
Klicken Sie auf den Tab JSON. Das vollständige JSON des Ergebnisses wird angezeigt.
Notieren Sie sich im JSON für das Ergebnis die folgenden Felder:
- evidence:
  - sourceLogId:
  - projectId: Die ID des Projekts, das das Ergebnis enthält.

Schritt 2: Protokolle prüfen

Klicken Sie im Bereich mit den Ergebnisdetails auf dem Tab Zusammenfassung auf den Link Cloud Logging-URI, um den Log-Explorer zu öffnen.
Suchen Sie auf der Seite, die geladen wird, mithilfe der folgenden Filter nach neuen oder aktualisierten IAM-Ressourcen:
- protoPayload.methodName="google.iam.admin.v1.UpdateRole"
- protoPayload.methodName="google.iam.admin.v1.CreateRole"
- protoPayload.methodName="google.iam.admin.v1.PatchRole"

Schritt 3: Forschungsangriffe und Reaktionsmethoden

Prüfen Sie die MITRE-ATT&CK-Framework-Einträge für diesen Ergebnistyp: Gültige Konten: Cloudkonten.
Klicken Sie im Bereich mit den Ergebnisdetails auf dem Tab Zusammenfassung in der Zeile Ähnliche Ergebnisse auf den Link, um ähnliche Ergebnisse abzurufen. Ähnliche Ergebnisse haben denselben Ergebnistyp und dieselbe Instanz und dasselbe Netzwerk.
Wenn Sie einen Antwortplan entwickeln möchten, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE -Forschung.

Schritt 4: Antwort implementieren

Der folgende Reaktionplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Abläufe auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Behebung der Ergebnisse zu finden.

Wenden Sie sich an den Inhaber des Projekts mit dem gehackten Konto.
Um IAM-Rollen mit zu vielen Berechtigungen zu identifizieren und zu beheben, verwenden Sie IAM Recommender.

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsergebnisse generieren