GCP 不正なサービスアカウントアクティビティ
Dash が新機能を発表!インシデントマネジメント、Continuous Profiler など多数の機能が追加されました! Dash イベントで発表された新機能!
<  Back to rules search

GCP 不正なサービスアカウントアクティビティ

Classification:

コンプライアンス

Set up the gcp integration.

概要

目標

GCP のサービスアカウントにより不正なアクティビティがあるとそれを検出します

戦略

GCP ログを監視してサービスアカウントが API リクエストを作成し、そのリクエストがログ属性 @data.protoPayload.status.code 内で 7 に等しいステータスコードを返すタイミングを検知します。ステータスコード 7 はサービスアカウントが API コールを行う権限を有していないことを示します。

トリアージと対応

  1. 不正な呼び出しを行ったサービスアカウントを特定します。
  2. IAM アクセス許可の構成に誤りがあるか、または攻撃者がサービスアカウントを侵害したかを調査します。