Escalation dei privilegi: ruolo sensibile concesso al gruppo ibrido

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

Sono stati concessi ruoli o autorizzazioni sensibili a un Google Group con membri esterni.

Come rispondere

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

1. Apri un Privilege Escalation: Sensitive Role Granted To Hybrid Group risultato come indicato in Revisione dei risultati. Il riquadro dei dettagli del risultato si apre nella scheda Riepilogo.

2. Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni:

   • Che cosa è stato rilevato, in particolare i seguenti campi:
     • Email principale: l'account che ha apportato le modifiche, che potrebbe essere compromesso.
   • Risorsa interessata, in particolare i seguenti campi:
     • Nome completo risorsa: la risorsa a cui è stato concesso il nuovo ruolo.
   • Link correlati, in particolare i seguenti campi:
     • URI Cloud Logging: link alle voci di log.
     • Metodo MITRE ATT&CK: link alla documentazione MITRE ATT&CK.
     • Risultati correlati: link a eventuali risultati correlati.
   1. Fai clic sulla scheda JSON.
   2. Nel JSON, prendi nota dei seguenti campi.
   • groupName: il gruppo Google in cui sono state apportate le modifiche
   • bindingDeltas: i ruoli sensibili appena concessi a questo gruppo.

Passaggio 2: rivedi le autorizzazioni del gruppo

1. Vai alla pagina IAM nella console Google Cloud .

   Vai a IAM

2. Nel campo Filtro, inserisci il nome account elencato in groupName.

3. Esamina i ruoli sensibili concessi al gruppo.

4. Se il ruolo sensibile appena aggiunto non è necessario, revocalo.

   Per gestire i ruoli nella tua organizzazione o nel tuo progetto, devi disporre di autorizzazioni specifiche. Per maggiori informazioni, consulta Autorizzazioni richieste.

Passaggio 3: controlla i log

1. Nella scheda Riepilogo del riquadro dei dettagli del problema, fai clic sul link URI Cloud Logging per aprire Esplora log.

2. Se necessario, seleziona il progetto.

3. Nella pagina visualizzata, controlla i log delle modifiche alle impostazioni di Google Gruppi utilizzando i seguenti filtri:

   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Passaggio 4: ricerca di metodi di attacco e risposta

1. Esamina la voce del framework MITRE ATT&CK per questo tipo di risultato: Account validi.
2. Per determinare se sono necessari ulteriori passaggi di correzione, combina i risultati dell'indagine con la ricerca MITRE.

Passaggi successivi

• Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
• Consulta l'indice dei risultati delle minacce.
• Scopri come esaminare un risultato tramite la console Google Cloud .
• Scopri di più sui servizi che generano risultati di minacce.