› › ›

GCP IAM 服务账户密钥删除

识别 Google Cloud Platform (GCP) 中身份和访问管理 (IAM) 服务账户密钥的删除。每个服务账户都关联有两组用于身份验证的公钥/私钥 RSA 密钥对。如果密钥被删除，应用程序将无法再使用该密钥访问 Google Cloud 资源。安全最佳实践是定期轮换服务账户密钥。

规则类型: 查询

规则索引:

严重性: 低

风险评分: 21

每隔: 5 分钟

搜索索引自: 无 (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

版本: 104

规则作者:

规则许可证: Elastic License v2

需要 GCP Fleet 集成、Filebeat 模块或类似结构的数据才能与该规则兼容。

event.dataset:gcp.audit and event.action:google.iam.admin.v*.DeleteServiceAccountKey and event.outcome:success

框架: MITRE ATT&CK^TM