Diese Seite wurde von der Cloud Translation API übersetzt.

Ausweitung der Zugriffsrechte: Privilegierte Gruppe für Öffentlichkeit geöffnet

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Eine privilegierte Google-Gruppe (eine Gruppe mit vertraulichen Rollen oder Berechtigungen) wurde öffentlich zugänglich gemacht.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

Öffnen Sie ein Privilege Escalation: Privileged Group Opened To Public-Ergebnis, wie unter Ergebnisse prüfen beschrieben. Der Detailbereich für das Ergebnis wird mit dem Tab Zusammenfassung geöffnet.
Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:
- Was wurde erkannt?, insbesondere die folgenden Felder:
  - Haupt-E-Mail-Adresse: Das Konto, mit dem die Änderungen vorgenommen wurden. Möglicherweise wurde es gehackt.
- Betroffene Ressource
- Weitere Informationen, insbesondere die folgenden Felder:
  - Cloud Logging-URI: Link zu Logging-Einträgen.
  - MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
  - Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.
1. Klicken Sie auf den Tab JSON.
2. Achten Sie in der JSON-Datei auf die folgenden Felder.
- groupName: die Google-Gruppe, in der die Änderungen vorgenommen wurden
- sensitiveRoles: die mit dieser Gruppe verknüpften vertraulichen Rollen
- whoCanJoin: die Einstellung für die Teilnahmemöglichkeiten der Gruppe

Schritt 2: Einstellungen für den Gruppenzugriff prüfen

Rufen Sie die Admin-Konsole für Google Groups auf. Sie müssen ein Google Workspace-Administrator sein, um sich in der Konsole anzumelden.

Zur Admin-Konsole
Klicken Sie im Navigationsbereich auf Verzeichnis und wählen Sie dann Gruppen aus.
Klicken Sie auf den Namen der Gruppe, die Sie prüfen möchten.
Klicken Sie auf Zugriffseinstellungen und prüfen Sie dann unter Wer kann der Gruppe beitreten die Beitreten-Einstellung für die Gruppe.
Ändern Sie bei Bedarf im Drop-down-Menü die Einstellung für die Beitretenmöglichkeiten.

Schritt 3: Protokolle prüfen

Klicken Sie im Bereich „Details zu Ergebnissen“ auf dem Tab „Zusammenfassung“ auf den Link Cloud Logging-URI, um den Log-Explorer zu öffnen.
Wählen Sie bei Bedarf Ihr Projekt aus.
Prüfen Sie auf der Seite, die geladen wird, die Google Groups-Einstellungsänderungen mithilfe der folgenden Filter:
- protoPayload.methodName="google.admin.AdminService.changeGroupSetting"
- protoPayload.authenticationInfo.principalEmail="principalEmail"

Schritt 4: Angriffs- und Reaktionsmethoden untersuchen

Sehen Sie sich den MITRE ATT&CK-Framework-Eintrag für diesen Ergebnistyp an: Gültige Konten.
Um festzustellen, ob zusätzliche Schritte zur Abhilfe erforderlich sind, kombinieren Sie Ihre Untersuchungsergebnisse mit dem MITRE-Forschung.

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsbefunde generieren