本頁面由 Cloud Translation API 翻譯而成。

持續性：身分與存取權管理異常授權

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

系統會檢查稽核記錄，偵測是否新增可疑的 IAM 角色繫結。

以下是異常授予的權限範例：

IAM Anomalous Grant 發現項目獨特之處在於包含子規則，可提供每個發現項目例項的更具體資訊。這項發現項目的嚴重性分類取決於子規則。每項子規則可能需要不同的回應。

以下列出所有可能的子規則及其嚴重程度：

external_service_account_added_to_policy：
- HIGH，如果授予的是高度機密角色，或是在機構層級授予中等機密角色，詳情請參閱「高度敏感角色」。
- MEDIUM (如果授予中等機密程度的角色)。詳情請參閱「中等敏感度角色」。
external_member_invited_to_policy：HIGH
external_member_added_to_policy：
- HIGH，如果授予的是高度機密角色，或是在機構層級授予中等機密角色，詳情請參閱「高度敏感角色」。
- MEDIUM (如果授予中等機密程度的角色)。詳情請參閱「中等敏感度角色」。
custom_role_given_sensitive_permissions：MEDIUM
service_account_granted_sensitive_role_to_member：HIGH
policy_modified_by_default_compute_service_account：HIGH

如要回應這項發現，請按照下列步驟操作：

按照「查看結果」一文的說明，開啟 Persistence: IAM Anomalous Grant 發現項目。系統會開啟該發現項目的詳細資料面板，並顯示「摘要」分頁。
在「摘要」分頁中，查看下列各節的資訊：
- 偵測到的內容，特別是下列欄位：
  - 主體電子郵件地址：獲派角色的使用者或服務帳戶電子郵件地址。
- 受影響的資源
- 相關連結，尤其是下列欄位：
  - Cloud Logging URI：記錄檔項目的連結。
  - MITRE ATT&CK 方法：連結至 MITRE ATT&CK 文件。
  - 相關發現項目：任何相關發現項目的連結。
  - VirusTotal 指標：連結至 VirusTotal 分析頁面。
按一下「JSON」分頁標籤。畫面上會顯示調查結果的完整 JSON。
在調查結果的 JSON 中，請注意下列欄位：
- detectionCategory：
  - subRuleName：提供發生異常授權的具體資訊。子規則會決定這項發現的嚴重性分類。
- evidence：
  - sourceLogId：
  - projectId：包含發現項目的專案 ID。
- properties：
  - sensitiveRoleGrant：
    - bindingDeltas：
    - Action：使用者採取的動作。
    - ：指派給使用者的角色。Role
    - member：獲派角色的使用者電子郵件地址。

在「發現項目詳細資料」面板的「摘要」分頁中，按一下「Cloud Logging URI」連結，開啟「記錄檔探索工具」。
在隨即載入的頁面中，使用下列篩選器尋找新的或更新的 IAM 資源：
- protoPayload.methodName="SetIamPolicy"
- protoPayload.methodName="google.iam.admin.v1.UpdateRole"
- protoPayload.methodName="google.iam.admin.v1.CreateRole"

下列回應計畫可能適用於這項發現，但也可能影響作業。請仔細評估調查期間收集到的資訊，找出解決問題的最佳方法。