Se usó la API de Cloud Translation para traducir esta página.

Persistencia: Se otorgó un rol sensible a una cuenta no administrada

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Se otorgó un rol sensible a una cuenta no administrada. Los administradores del sistema no pueden controlar las cuentas no administradas. Por ejemplo, cuando el empleado correspondiente dejó la empresa, el administrador no puede borrar la cuenta. Por lo tanto, otorgar roles sensibles a cuentas no administradas crea un riesgo de seguridad potencial para la organización.

Cómo responder

Para responder a este hallazgo, haz lo siguiente:

Paso 1: Revisa los detalles del hallazgo

Abre el hallazgo de Persistence: Unmanaged Account Granted Sensitive Role, como se indica en Revisa los hallazgos.
En los detalles del hallazgo, en la pestaña Resumen, anota los valores de los siguientes campos.

En Qué se detectó, se muestra lo siguiente:
- Correo electrónico principal: El usuario que realizó la acción de otorgamiento
- Otorgamientos de acceso infractores.Nombre de principal: La cuenta no administrada que recibe el otorgamiento
- Otorgamientos de acceso infractores. Rol otorgado: Es el rol sensible que se otorgó.

Paso 2: Investiga los métodos de ataque y respuesta

Comunícate con el propietario del campo Correo electrónico principal. Confirma si el propietario legítimo realizó la acción.
Comunícate con el propietario del campo Offending access grants.Principal name y averigua el origen de la cuenta no administrada.

Paso 3: Comprueba los registros

En la pestaña Resumen del panel de detalles del hallazgo, en Vínculos relacionados, haz clic en el vínculo URI de Cloud Logging para abrir el Explorador de registros.

Paso 4: Implementa tu respuesta

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

Comunícate con el propietario del proyecto en el que se realizó la acción.
Quita el acceso del propietario del correo electrónico principal si se ve comprometido.
Quita el rol sensible recién otorgado de la cuenta no administrada.
Considera convertir la cuenta no administrada en una cuenta administrada con la herramienta de transferencia y ponerla bajo el control de los administradores del sistema.

¿Qué sigue?

Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
Consulta el Índice de resultados de amenazas.
Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
Obtén más información sobre los servicios que generan hallazgos de amenazas.