Se usó la API de Cloud Translation para traducir esta página.

Privilege Escalation: Privileged Group Opened To Public

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Este hallazgo no está disponible para las activaciones a nivel del proyecto.

Se hizo accesible al público en general un Grupo de Google con privilegios (un grupo al que se le otorgan roles o permisos sensibles).

Cómo responder

Para responder a este hallazgo, haz lo siguiente:

Paso 1: Revisa los detalles del hallazgo

Abre un hallazgo de Privilege Escalation: Privileged Group Opened To Public como se indica en Revisa los hallazgos. Se abre el panel de detalles para el hallazgo en la pestaña Resumen.
En la pestaña Resumen, revisa la información de las siguientes secciones:
- Qué se detectó, especialmente los siguientes campos:
  - Correo electrónico principal: Es la cuenta que realizó los cambios y que podría estar comprometida.
- Recurso afectado
- Vínculos relacionados, en especial los siguientes campos:
  - URI de Cloud Logging: Es el vínculo a las entradas de Logging.
  - Método MITRE ATT&CK: Vínculo a la documentación de MITRE ATT&CK.
  - Resultados relacionados: Vínculos a los resultados relacionados
1. Haz clic en la pestaña JSON.
2. En el JSON, ten en cuenta los siguientes campos.
- groupName: Es el Grupo de Google en el que se realizaron los cambios.
- sensitiveRoles: Son las funciones sensibles asociadas con este grupo.
- whoCanJoin: Es la configuración de unión del grupo.

Paso 2: Revisa la configuración de acceso de los grupos

Ve a la Consola del administrador de Grupos de Google. Debes ser administrador de Google Workspace para acceder a la consola.

Ir a la Consola del administrador
En el panel de navegación, haz clic en Directorio y, luego, selecciona Grupos.
Haz clic en el nombre del grupo que deseas revisar.
Haz clic en Configuración de acceso y, luego, en Quién puede unirse al grupo, revisa la configuración de unión del grupo.
En el menú desplegable, si es necesario, cambia la configuración de unión.

Paso 3: Comprueba los registros

En la pestaña Resumen del panel de detalles del hallazgo, haz clic en el vínculo URI de Cloud Logging para abrir el Explorador de registros.
Si es necesario, selecciona tu proyecto.
En la página que se carga, verifica los registros de la configuración del Grupo de Google mediante los siguientes filtros:
- protoPayload.methodName="google.admin.AdminService.changeGroupSetting"
- protoPayload.authenticationInfo.principalEmail="principalEmail"

Paso 4: Investiga los métodos de ataque y respuesta

Revisa la entrada de framework de MITRE ATT&CK para este tipo de hallazgo: cuentas válidas.
Para determinar si se necesitan pasos de solución adicionales, combina los resultados de la investigación con la investigación del MITRE.

¿Qué sigue?

Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
Consulta el Índice de resultados de amenazas.
Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
Obtén más información sobre los servicios que generan hallazgos de amenazas.