Privilege Escalation: Externes Mitglied zu privilegierter Gruppe hinzugefügt

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Ein externes Mitglied wurde einer privilegierten Google-Gruppe hinzugefügt (einer Gruppe, die vertrauliche Rollen oder Berechtigungen gewährt).

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie ein Privilege Escalation: External Member Added To Privileged Group-Ergebnis, wie unter Ergebnisse prüfen beschrieben. Der Detailbereich für das Ergebnis wird mit dem Tab Zusammenfassung geöffnet.

2. Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

   • Was wurde erkannt?, insbesondere die folgenden Felder:
     • Haupt-E-Mail-Adresse: das Konto, mit dem die Änderungen vorgenommen wurden.
   • Betroffene Ressource
   • Weitere Informationen, insbesondere die folgenden Felder:
     • Cloud Logging-URI: Link zu Logging-Einträgen.
     • MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
     • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.

3. Klicken Sie im Detailbereich auf den Tab JSON.

4. Achten Sie in der JSON-Datei auf die folgenden Felder.

   • groupName: die Google-Gruppe, in der die Änderungen vorgenommen wurden
   • externalMember: das neu hinzugefügte externe Mitglied
   • sensitiveRoles: die mit dieser Gruppe verknüpften vertraulichen Rollen

Schritt 2: Gruppenmitglieder prüfen

1. Öffnen Sie Google Groups.

   Öffnen Sie Google Groups.

2. Klicken Sie auf den Namen der Gruppe, die Sie prüfen möchten.

3. Klicken Sie im Navigationsmenü auf Mitglieder.

4. Wenn das neu hinzugefügte externe Mitglied nicht in dieser Gruppe sein soll, klicken Sie auf das Kästchen neben dem Mitgliedsnamen und wählen Sie dann remove_circle_outline Mitglied entfernen oder not_interested Mitglied sperren aus.

   Zum Entfernen von Mitgliedern müssen Sie Google Workspace-Administrator sein oder die Rolle Inhaber oder Manager in der Google-Gruppe haben. Weitere Informationen finden Sie unter Mitgliedern einer Gruppe Rollen zuweisen.

Schritt 3: Protokolle prüfen

1. Klicken Sie im Bereich „Details zu Ergebnissen“ auf dem Tab „Zusammenfassung“ auf den Link Cloud Logging-URI, um den Log-Explorer zu öffnen.

2. Wählen Sie bei Bedarf Ihr Projekt aus.

3. Prüfen Sie auf der Seite, die geladen wird, die Logs auf Google Groups-Mitgliedschaftsänderungen mithilfe der folgenden Filter:

   • protoPayload.methodName="google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Schritt 4: Angriffs- und Reaktionsmethoden untersuchen

1. Sehen Sie sich den MITRE ATT&CK-Framework-Eintrag für diesen Ergebnistyp an: Gültige Konten.
2. Um festzustellen, ob zusätzliche Schritte zur Abhilfe erforderlich sind, kombinieren Sie Ihre Untersuchungsergebnisse mit dem MITRE-Forschung.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsbefunde generieren