Elevación de privilegios: Grupo con privilegios abierto al público

En este documento, se describe un tipo de hallazgo de amenazas de Security Command Center. Los detectores de amenazas generan hallazgos de amenazas cuando identifican una posible amenaza en tus recursos de Cloud. Para obtener una lista completa de los hallazgos de amenazas disponibles, consulta el Índice de hallazgos de amenazas.

Descripción general

Este hallazgo no está disponible para las activaciones a nivel del proyecto.

Está disponible para el público general un Grupo de Google con privilegios (un grupo al que se le otorgan roles o permisos sensibles).

Event Threat Detection es la fuente de este hallazgo.

Cómo se debe responder

Para responder a este hallazgo, sigue los pasos que se indican a continuación:

Paso 1: Revisa los detalles del hallazgo

1. Abre un hallazgo de Privilege Escalation: Privileged Group Opened To Public como se indica en Revisa los hallazgos. Se abre el panel de detalles del hallazgo en la pestaña Resumen.

2. En la pestaña Resumen, revisa la información de las secciones siguientes:

   • Qué se detectó, en especial, los campos siguientes:
     • Correo electrónico principal: Es la cuenta que realizó los cambios y que podría estar vulnerada.
   • Recurso afectado
   • Vínculos relacionados, en especial los campos siguientes:
     • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
     • Método MITRE ATT&CK: Es el vínculo a la documentación de MITRE ATT&CK.
     • Hallazgos relacionados: Son los vínculos a los hallazgos relacionados.
   1. Haz clic en la pestaña JSON.
   2. En el archivo JSON, observa los campos que se indican a continuación.
   • groupName: Es el grupo de Google en el que se realizaron los cambios.
   • sensitiveRoles: Son los roles sensibles asociadas con este grupo.
   • whoCanJoin: Es la configuración de unión del grupo.

Paso 2: Revisa la configuración de acceso de los grupos

1. Ve a la Consola del administrador de Grupos de Google. Debes ser administrador de Google Workspace para acceder a la consola.

   Ir a la Consola del administrador

2. En el panel de navegación, haz clic en Directorio y, luego, elige Grupos.

3. Haz clic en el nombre del grupo que deseas revisar.

4. Haz clic en Configuración de acceso y, luego, en Quién puede unirse al grupo, revisa la configuración de unión del grupo.

5. En el menú desplegable, si es necesario, cambia la configuración de unión.

Paso 3: Comprueba los registros

1. En la pestaña Resumen del panel de detalles del hallazgo, haz clic en el vínculo URI de Cloud Logging para abrir el Explorador de registros.

2. Si es necesario, elige tu proyecto.

3. En la página que se carga, comprueba los registros de los cambios de la configuración del grupo de Google con los siguientes filtros:

   • protoPayload.methodName="google.admin.AdminService.changeGroupSetting"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Paso 4: Investiga los métodos de ataque y respuesta

1. Revisa la entrada de framework de MITRE ATT&CK de este tipo de hallazgo: Cuentas válidas.
2. Para determinar si se necesitan pasos de solución adicionales, combina los resultados de la investigación con la investigación del MITRE.

¿Qué sigue?

• Aprende a trabajar con los hallazgos de amenazas en Security Command Center.
• Consulta el Índice de hallazgos de amenazas.
• Aprende a revisar un hallazgo con la consola de Google Cloud .
• Obtén información sobre los servicios que generan hallazgos de amenazas.