本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
已將敏感角色授予非代管帳戶。 系統管理員無法控管未受管理的帳戶。舉例來說,如果對應的員工已離職,管理員就無法刪除帳戶。因此,將敏感角色授予非代管帳戶,可能會對機構造成安全風險。
回應方式
如要回應這項發現,請按照下列步驟操作:
步驟 1:查看調查結果詳細資料
- 按照「查看結果」一文的說明,開啟
Persistence: Unmanaged Account Granted Sensitive Role發現項目。 在「摘要」分頁的發現項目詳細資料中,記下下列欄位的值。
「偵測到的內容」下方會顯示以下資訊:
- 主體電子郵件:執行授權動作的使用者
- 違規存取權授予。主體名稱:獲得授權的非受管帳戶
- 違規存取權授予。授予的角色:授予的敏感角色
步驟 2:研究攻擊和回應方法
- 與「Principal email」(主體電子郵件地址) 欄位的擁有者聯絡。 確認正當擁有者是否執行了該項操作。
- 與「Offending access grants.Principal name」(違規存取授權。主體名稱) 欄位的擁有者聯絡,瞭解未受管理帳戶的來源。
步驟 3:檢查記錄
- 在調查結果詳細資料面板的「摘要」分頁標籤中,按一下「相關連結」下方的「Cloud Logging URI」連結,開啟「記錄檔探索工具」。
步驟 4:實作回應
下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。
- 請與執行動作的專案擁有者聯絡。
- 如果主體電子郵件地址遭到入侵,請移除該擁有者的存取權。
- 從非代管帳戶移除新授予的機密角色。
- 建議使用轉移工具將非受管帳戶轉換為受管理帳戶, 並將該帳戶移至系統管理員的控管範圍。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。