Esta página se ha traducido con Cloud Translation API.

Apropiación de privilegios: grupo con privilegios abierto al público

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Este hallazgo no está disponible para las activaciones a nivel de proyecto.

Se ha hecho accesible al público en general un grupo de Google con privilegios (un grupo al que se han concedido roles o permisos sensibles).

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

Abre una Privilege Escalation: Privileged Group Opened To Public detección siguiendo las instrucciones de Revisar detecciones. Se abre el panel de detalles del resultado en la pestaña Resumen.
En la pestaña Resumen, consulte la información de las siguientes secciones:
- Qué se detectó, especialmente los siguientes campos:
  - Correo principal: la cuenta que ha realizado los cambios, que podría estar en peligro.
- Recurso afectado
- Enlaces relacionados, especialmente los siguientes campos:
  - URI de Cloud Logging: enlace a las entradas de registro.
  - Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
  - Hallazgos relacionados: enlaces a los hallazgos relacionados.
1. Haz clic en la pestaña JSON.
2. En el JSON, anota los siguientes campos.
- groupName: el grupo de Google en el que se han realizado los cambios
- sensitiveRoles: los roles sensibles asociados a este grupo
- whoCanJoin: el ajuste de participación del grupo

Paso 2: Revisa la configuración de acceso al grupo

Ve a la consola de administración de Grupos de Google. Para iniciar sesión en la consola, debes ser administrador de Google Workspace.

Ir a la consola de administración
En el panel de navegación, haga clic en Directorio y, a continuación, seleccione Grupos.
Haz clic en el nombre del grupo que quieras revisar.
Haz clic en Configuración de acceso y, a continuación, en Quién puede unirse al grupo, revisa la configuración de acceso del grupo.
En el menú desplegable, cambia el ajuste de participación si es necesario.

Paso 3: Consulta los registros

En la pestaña Resumen del panel de detalles de la detección, haga clic en el enlace URI de Cloud Logging para abrir Explorador de registros.
Si es necesario, selecciona tu proyecto.
En la página que se carga, comprueba los registros de los cambios en la configuración de Grupos de Google con los siguientes filtros:
- protoPayload.methodName="google.admin.AdminService.changeGroupSetting"
- protoPayload.authenticationInfo.principalEmail="principalEmail"

Paso 4: Investiga los métodos de ataque y respuesta

Consulta la entrada del framework ATT&CK de MITRE para este tipo de resultado: Cuentas válidas.
Para determinar si son necesarias medidas correctoras adicionales, combina los resultados de tu investigación con la investigación de MITRE.

Siguientes pasos

Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
Consulta el índice de hallazgos de amenazas.
Consulta cómo revisar un resultado a través de la consola Google Cloud .
Consulta información sobre los servicios que generan detecciones de amenazas.