Escalonamento de privilégios: participante externo adicionado ao grupo privilegiado

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Essa descoberta não está disponível para ativações no nível do projeto.

Um membro externo foi adicionado a um Grupo do Google privilegiado (um grupo com papéis ou permissões confidenciais).

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra uma descoberta Privilege Escalation: External Member Added To Privileged Group, conforme direcionado em Como verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.

2. Na guia Resumo, confira as informações nas seguintes seções:

   • O que foi detectado, especialmente os seguintes campos:
     • E-mail do principal: a conta que fez as mudanças.
   • Recurso afetado
   • Links relacionados, principalmente os seguintes campos:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Descobertas relacionadas: links para quaisquer descobertas relacionadas.

3. No painel de detalhes, clique na guia JSON.

4. No JSON, observe os seguintes campos.

   • groupName: o Grupo do Google em que as alterações foram feitas;
   • externalMember: o membro externo recém-adicionado;
   • sensitiveRoles: as funções confidenciais associadas a este grupo;

Etapa 2: analisar os participantes do grupo

1. Acesse Grupos do Google.

   Acesse Grupos do Google

2. Clique no nome do grupo que você quer analisar.

3. No menu de navegação, clique em Participantes.

4. Se o membro externo recém-adicionado não estiver neste grupo, clique na caixa de seleção ao lado do nome do membro e, em seguida, selecione remove_circle_outline Remover membro ou not_interested Banir membro.

   Para remover participantes, você precisa ser um administrador do Google Workspace ou ter atribuído a função Proprietário ou Administrador no Grupo do Google. Para mais informações, consulte Atribuir funções aos participantes de um grupo.

Etapa 3: verificar os registros

1. Na guia "Resumo" do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o Explorador de registros.

2. Se necessário, selecione o projeto.

3. Na página carregada, verifique os registros de alterações na associação do Grupo do Google usando os seguintes filtros:

   • protoPayload.methodName="google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Etapa 4: pesquisar métodos de ataque e resposta

1. Analise a entrada do framework do MITRE ATT&CK para esse tipo de descoberta: Contas válidas.
2. Para determinar se outras etapas de remediação são necessárias, combine seus resultados da investigação com a pesquisa do MITRE.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.