Se usó la API de Cloud Translation para traducir esta página.

Escalada de privilegios: Se agregó un miembro externo al grupo con privilegios

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Este hallazgo no está disponible para las activaciones a nivel del proyecto.

Se agregó un miembro externo a un Grupo de Google con privilegios (un grupo con permisos o funciones sensibles).

Cómo responder

Para responder a este hallazgo, haz lo siguiente:

Paso 1: Revisa los detalles del hallazgo

Abre un hallazgo de Privilege Escalation: External Member Added To Privileged Group como se indica en Revisa los hallazgos. Se abre el panel de detalles para el hallazgo en la pestaña Resumen.
En la pestaña Resumen, revisa la información de las siguientes secciones:
- Qué se detectó, especialmente los siguientes campos:
  - Correo electrónico principal: Es la cuenta que realizó los cambios.
- Recurso afectado
- Vínculos relacionados, en especial los siguientes campos:
  - URI de Cloud Logging: Es el vínculo a las entradas de Logging.
  - Método MITRE ATT&CK: Vínculo a la documentación de MITRE ATT&CK.
  - Resultados relacionados: Vínculos a los resultados relacionados
En el panel de detalles, haz clic en la pestaña JSON.
En el JSON, ten en cuenta los siguientes campos.
- groupName: Es el Grupo de Google en el que se realizaron los cambios.
- externalMember: Es el miembro externo recién agregado.
- sensitiveRoles: Son las funciones sensibles asociadas con este grupo.

Paso 2: Revisa los miembros del grupo

Ve a Grupos de Google.

Ve a Grupos de Google.
Haz clic en el nombre del grupo que deseas revisar.
En el menú de navegación, haz clic en Miembros.
Si el miembro externo recién agregado no debería estar en este grupo, haz clic en la casilla de verificación junto al nombre del miembro y, luego, selecciona Quitar miembro o Bloquear miembro.

Para quitar miembros, debes ser administrador de Google Workspace o tener la función de Propietario o Administrador en el Grupo de Google. Para obtener más información, consulta Asigna funciones a los miembros de un grupo.

Paso 3: Comprueba los registros

En la pestaña Resumen del panel de detalles del hallazgo, haz clic en el vínculo URI de Cloud Logging para abrir el Explorador de registros.
Si es necesario, selecciona tu proyecto.
En la página que se carga, verifica los registros de los cambios de membresía de los Grupos de Google mediante los siguientes filtros:
- protoPayload.methodName="google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership"
- protoPayload.authenticationInfo.principalEmail="principalEmail"

Paso 4: Investiga los métodos de ataque y respuesta

Revisa la entrada de framework de MITRE ATT&CK para este tipo de hallazgo: cuentas válidas.
Para determinar si se necesitan pasos de solución adicionales, combina los resultados de la investigación con la investigación del MITRE.

¿Qué sigue?

Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
Consulta el Índice de resultados de amenazas.
Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
Obtén más información sobre los servicios que generan hallazgos de amenazas.