Escalonamento de privilégios: papel sensível concedido a grupo híbrido

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Permissões ou funções confidenciais foram concedidas a um Grupo do Google com membros externos.

Como responder

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra uma descoberta Privilege Escalation: Sensitive Role Granted To Hybrid Group, conforme direcionado em Como verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.

2. Na guia Resumo, confira as informações nas seguintes seções:

   • O que foi detectado, especialmente os seguintes campos:
     • E-mail principal: a conta que fez as alterações, que pode estar comprometida.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do recurso: o recurso em que o novo papel foi concedido.
   • Links relacionados, principalmente os seguintes campos:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Descobertas relacionadas: links para quaisquer descobertas relacionadas.
   1. Clique na guia JSON.
   2. No JSON, observe os seguintes campos.
   • groupName: o Grupo do Google em que as alterações foram feitas;
   • bindingDeltas: os papéis confidenciais que foram concedidos recentemente a este grupo.

Etapa 2: revisar as permissões do grupo

1. Acesse a página IAM no console do Google Cloud .

   Acessar IAM

2. No campo Filtro, digite o nome da conta listado em groupName.

3. Analise os papéis confidenciais concedidos ao grupo.

4. Se o papel sensível recém-adicionado não for necessário, revogue o papel.

   Você precisa de permissões específicas para gerenciar papéis na sua organização ou projeto. Para mais informações, consulte Permissões necessárias.

Etapa 3: verificar os registros

1. Na guia "Resumo" do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o Explorador de registros.

2. Se necessário, selecione o projeto.

3. Na página carregada, verifique os registros de alterações nas configurações do Grupo do Google usando os seguintes filtros:

   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Etapa 4: pesquisar métodos de ataque e resposta

1. Analise a entrada do framework do MITRE ATT&CK para esse tipo de descoberta: Contas válidas.
2. Para determinar se outras etapas de remediação são necessárias, combine seus resultados da investigação com a pesquisa do MITRE.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.