Aumento de privilégios: membro externo adicionado a um grupo privilegiado

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Esta descoberta não está disponível para ativações ao nível do projeto.

Um membro externo foi adicionado a um grupo Google privilegiado (um grupo ao qual foram concedidas funções ou autorizações confidenciais).

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

1. Abra uma Privilege Escalation: External Member Added To Privileged Group descoberta, conforme indicado em Rever descobertas. O painel de detalhes da deteção é aberto no separador Resumo.

2. No separador Resumo, reveja as informações nas seguintes secções:

   • O que foi detetado, especialmente os seguintes campos:
     • Email principal: a conta que fez as alterações.
   • Recurso afetado
   • Links relacionados, especialmente os seguintes campos:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Resultados relacionados: links para resultados relacionados.

3. No painel de detalhes, clique no separador JSON.

4. No JSON, tenha em atenção os seguintes campos.

   • groupName: o grupo Google onde as alterações foram feitas
   • externalMember: o membro externo adicionado recentemente
   • sensitiveRoles: as funções sensíveis associadas a este grupo

Passo 2: reveja os membros do grupo

1. Aceda ao Grupos Google.

   Aceda ao Grupos Google

2. Clique no nome do grupo que quer rever.

3. No menu de navegação, clique em Membros.

4. Se o membro externo recém-adicionado não deve estar neste grupo, clique na caixa de verificação junto ao nome do membro e, de seguida, selecione remove_circle_outline Remover membro ou not_interested Proibir membro.

   Para remover membros, tem de ser um administrador do Google Workspace ou ter-lhe sido atribuída a função de proprietário ou gestor no grupo Google. Para mais informações, consulte o artigo Atribua funções aos membros de um grupo.

Passo 3: verifique os registos

1. No separador Resumo do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o explorador de registos.

2. Se necessário, selecione o seu projeto.

3. Na página carregada, verifique os registos de alterações de subscrição do grupo Google usando os seguintes filtros:

   • protoPayload.methodName="google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Passo 4: pesquise métodos de ataque e resposta

1. Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Contas válidas.
2. Para determinar se são necessários passos de correção adicionais, combine os resultados da sua investigação com a pesquisa da MITRE.

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.