Elevación de privilegios: miembro externo añadido a un grupo con privilegios

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Este hallazgo no está disponible para las activaciones a nivel de proyecto.

Se ha añadido un miembro externo a un grupo de Google con privilegios (un grupo al que se le han concedido roles o permisos sensibles).

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

1. Abre una Privilege Escalation: External Member Added To Privileged Group detección siguiendo las instrucciones de Revisar detecciones. Se abre el panel de detalles del resultado en la pestaña Resumen.

2. En la pestaña Resumen, consulte la información de las siguientes secciones:

   • Qué se detectó, especialmente los siguientes campos:
     • Correo principal: la cuenta que ha realizado los cambios.
   • Recurso afectado
   • Enlaces relacionados, especialmente los siguientes campos:
     • URI de Cloud Logging: enlace a las entradas de registro.
     • Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
     • Hallazgos relacionados: enlaces a los hallazgos relacionados.

3. En el panel de detalles, haz clic en la pestaña JSON.

4. En el JSON, anota los siguientes campos.

   • groupName: el grupo de Google en el que se han realizado los cambios
   • externalMember: el miembro externo que acabas de añadir
   • sensitiveRoles: los roles sensibles asociados a este grupo

Paso 2: Revisa los miembros del grupo

1. Ve a Grupos de Google.

   Ir a Grupos de Google

2. Haz clic en el nombre del grupo que quieras revisar.

3. En el menú de navegación, haz clic en Miembros.

4. Si el miembro externo que acabas de añadir no debería estar en este grupo, marca la casilla situada junto a su nombre y, a continuación, selecciona remove_circle_outline Quitar miembro o not_interested Bloquear miembro.

   Para quitar miembros, debes ser administrador de Google Workspace o tener asignado el rol Propietario o Administrador en el grupo de Google. Para obtener más información, consulta el artículo Asignar roles a los miembros de un grupo.

Paso 3: Consulta los registros

1. En la pestaña Resumen del panel de detalles de la detección, haga clic en el enlace URI de Cloud Logging para abrir Explorador de registros.

2. Si es necesario, selecciona tu proyecto.

3. En la página que se carga, comprueba los registros de cambios en la pertenencia a grupos de Google con los siguientes filtros:

   • protoPayload.methodName="google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Paso 4: Investiga los métodos de ataque y respuesta

1. Consulta la entrada del framework ATT&CK de MITRE para este tipo de resultado: Cuentas válidas.
2. Para determinar si son necesarias medidas correctoras adicionales, combina los resultados de tu investigación con la investigación de MITRE.

Siguientes pasos

• Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
• Consulta el índice de hallazgos de amenazas.
• Consulta cómo revisar un resultado a través de la consola Google Cloud .
• Consulta información sobre los servicios que generan detecciones de amenazas.