GCP 服务帐号密钥创建

识别 Google Cloud Platform (GCP) 中何时为服务帐号创建新密钥。服务帐号是由应用程序或虚拟机 (VM) 实例使用的一种特殊帐户，而不是由人员使用。应用程序使用服务帐号进行授权的 API 调用，授权方式可以是服务帐号本身，也可以是通过域范围内的委派作为 G Suite 或 Cloud Identity 用户进行授权。如果未正确跟踪和管理私钥，则它们可能会带来安全风险。攻击者可能会为服务帐号创建新密钥，以尝试滥用分配给该帐号的权限并逃避检测。

规则类型：查询

规则索引:

严重程度：低

风险评分: 21

运行间隔：5 分钟

搜索的索引范围：无（日期数学格式，另请参阅其他回溯时间）

每次执行的最大警报数: 100

参考资料:

标签:

版本: 104

规则作者:

规则许可证：Elastic 许可证 v2

event.dataset:gcp.audit and event.action:google.iam.admin.v*.CreateServiceAccountKey and event.outcome:success