Esta página se ha traducido con Cloud Translation API.

Escalada de privilegios: se ha concedido un rol sensible a un grupo híbrido

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Se han concedido roles o permisos sensibles a un grupo de Google con miembros externos.

Cómo responder

El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

Abre una Privilege Escalation: Sensitive Role Granted To Hybrid Group detección siguiendo las instrucciones de Revisar detecciones. Se abrirá el panel de detalles del resultado en la pestaña Resumen.
En la pestaña Resumen, consulte la información de las siguientes secciones:
- Qué se detectó, especialmente los siguientes campos:
  - Correo principal: la cuenta que ha realizado los cambios, que podría estar en peligro.
- Recurso afectado, especialmente los siguientes campos:
  - Nombre completo del recurso: el recurso en el que se ha concedido el nuevo rol.
- Enlaces relacionados, especialmente los siguientes campos:
  - URI de Cloud Logging: enlace a las entradas de registro.
  - Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
  - Hallazgos relacionados: enlaces a los hallazgos relacionados.
1. Haz clic en la pestaña JSON.
2. En el JSON, anota los siguientes campos.
- groupName: el grupo de Google en el que se han realizado los cambios
- bindingDeltas: los roles sensibles que se han concedido recientemente a este grupo.

Paso 2: Revisa los permisos del grupo

Ve a la página Gestión de identidades y accesos de la Google Cloud consola.

Ir a IAM
En el campo Filtro, introduce el nombre de la cuenta que aparece en groupName.
Revisa los roles sensibles concedidos al grupo.
Si no necesitas el rol sensible que acabas de añadir, revócalo.

Necesitas permisos específicos para gestionar roles en tu organización o proyecto. Para obtener más información, consulta Permisos necesarios.

Paso 3: Consulta los registros

En la pestaña Resumen del panel de detalles de la detección, haga clic en el enlace URI de Cloud Logging para abrir Explorador de registros.
Si es necesario, selecciona tu proyecto.
En la página que se carga, comprueba los registros de los cambios en la configuración de Grupos de Google con los siguientes filtros:
- protoPayload.methodName="SetIamPolicy"
- protoPayload.authenticationInfo.principalEmail="principalEmail"

Paso 4: Investiga los métodos de ataque y respuesta

Consulta la entrada del framework ATT&CK de MITRE para este tipo de resultado: Cuentas válidas.
Para determinar si son necesarias medidas correctoras adicionales, combina los resultados de tu investigación con la investigación de MITRE.

Siguientes pasos

Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
Consulta el índice de hallazgos de amenazas.
Consulta cómo revisar un resultado a través de la consola Google Cloud .
Consulta información sobre los servicios que generan detecciones de amenazas.