GCP バケット列挙
Incident Management が一般に使用できるようになりました。 Incident Management が広範に使用できるようになりました。
<  Back to rules search

GCP バケット列挙

gcp

Classification:

attack

Tactic:

TA0007-discovery

Technique:

T1083-file-and-directory-discovery

Set up the gcp integration.

概要

目標

サービスアカウントが GCS バケットを一覧表示したことを検出します。

戦略

このルールを使用すると、GCS バケットの管理アクティビティ監査ログを監視して、サービスアカウントが次のメソッドを呼び出したことを判断できます。

  • storage.buckets.list

トリアージと対応

  1. このサービスアカウントがリストバケット呼び出しを行う必要があるかどうかを決定します。
  • アカウントが侵害された場合は、アカウントを保護し、どのように侵害されたか、およびアカウントが他の不正な呼び出しをしたかどうかを調査します。
  • サービスアカウントの所有者が意図的に ListBuckets API 呼び出しを行った場合は、この API 呼び出しが必要かどうかを検討します。これは、アプリケーションがアクセスする必要のあるバケットの名前を認識するためのセキュリティ問題を引き起こす可能性があります。不要な場合は、このルールのフィルターを変更して、この特定のサービスアカウントのシグナルの生成を停止します。

このページ