Elevación de privilegios: Rol sensible otorgado al grupo híbrido

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Se otorgaron funciones o permisos sensibles a un Grupo de Google con miembros externos.

Cómo responder

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

Para responder a este hallazgo, haz lo siguiente:

Paso 1: Revisa los detalles del hallazgo

1. Abre un hallazgo de Privilege Escalation: Sensitive Role Granted To Hybrid Group como se indica en Revisa los hallazgos. Se abre el panel de detalles del hallazgo en la pestaña Resumen.

2. En la pestaña Resumen, revisa la información de las siguientes secciones:

   • Qué se detectó, especialmente los siguientes campos:
     • Correo electrónico principal: Es la cuenta que realizó los cambios y que podría estar comprometida.
   • Recurso afectado, en especial los siguientes campos:
     • Nombre completo del recurso: Es el recurso en el que se otorgó el rol nuevo.
   • Vínculos relacionados, en especial los siguientes campos:
     • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
     • Método MITRE ATT&CK: Vínculo a la documentación de MITRE ATT&CK.
     • Resultados relacionados: Vínculos a los resultados relacionados
   1. Haz clic en la pestaña JSON.
   2. En el JSON, ten en cuenta los siguientes campos.
   • groupName: Es el Grupo de Google en el que se realizaron los cambios.
   • bindingDeltas: Son los roles sensibles que se otorgaron recientemente a este grupo.

Paso 2: Revisa los permisos del grupo

1. Ve a la página IAM en la consola de Google Cloud .

   Ir a IAM

2. En el campo Filtro, ingresa el nombre de la cuenta que aparece en groupName.

3. Revisa las funciones sensibles otorgadas al grupo.

4. Si la función sensible recién agregada no es necesaria, revoca la función.

   Necesitas permisos específicos para administrar roles en tu organización o proyecto. Para obtener más información, consulta Permisos necesarios.

Paso 3: Comprueba los registros

1. En la pestaña Resumen del panel de detalles del hallazgo, haz clic en el vínculo URI de Cloud Logging para abrir el Explorador de registros.

2. Si es necesario, selecciona tu proyecto.

3. En la página que se carga, verifica los registros de la configuración del Grupo de Google mediante los siguientes filtros:

   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Paso 4: Investiga los métodos de ataque y respuesta

1. Revisa la entrada de framework de MITRE ATT&CK para este tipo de hallazgo: cuentas válidas.
2. Para determinar si se necesitan pasos de solución adicionales, combina los resultados de la investigación con la investigación del MITRE.

¿Qué sigue?

• Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
• Consulta el Índice de resultados de amenazas.
• Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
• Obtén más información sobre los servicios que generan hallazgos de amenazas.