T1538: Дашборд облачного сервиса

Злоумышленники могут использовать графический интерфейс дашборда облачного сервиса и украденные учетные данные для получения полезной информации из действующей облачной среды, например о конкретных службах, ресурсах и функциональных возможностях. Например, Security Command Center в Google Cloud можно использовать для просмотра всех ресурсов, обнаружения потенциальных рисков безопасности и выполнения дополнительных запросов, таких как поиск общедоступных IP-адресов и открытых портов.

При некоторых конфигурациях среды злоумышленник может получить больше информации через графический интерфейс дашборда, чем с помощью API. Таким образом злоумышленник может получить информацию, не делая никаких запросов к API.

Способы обнаружения

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте попытки входа в систему для получения доступа к консолям управления облачными службами.

IDDS0002Источник и компонент данныхУчетная запись пользователя: Аутентификация с помощью учетной записиОписание

Сверяйте сведения о входе в систему, такие как учетные записи, IP-адреса и имена пользователей, с данными других систем безопасности.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Чтобы обеспечить использование принципа минимальных привилегий, сделайте панель управления видимой только для тех ресурсов, которым она необходима. Это может снизить ценность обнаружения дашборда для злоумышленников, использующих скомпрометированную учетную запись.