本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具在雲端資源中偵測到潛在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
這項發現項目不適用於專案層級的啟用作業。
一般大眾可存取具有特殊權限的 Google 群組 (已授予敏感角色或權限的群組)。
Event Threat Detection 是這項發現項目的來源。
回應方式
如要回應這項發現項目,請按照下列步驟操作:
步驟 1:查看調查結果詳細資料
按照「查看結果」一文的說明,開啟一項
Privilege Escalation: Privileged Group Opened To Public發現項目。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。在「摘要」分頁中,查看下列各節的資訊:
- 偵測到的內容,尤其是下列欄位:
- 主要電子郵件地址:進行變更的帳戶,可能已遭盜用。
- 受影響的資源
- 相關連結,尤其是下列欄位:
- Cloud Logging URI:記錄項目連結。
- MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
- 相關發現項目:任何相關發現項目的連結。
- 按一下「JSON」分頁標籤。
- 請注意 JSON 中的下列欄位。
groupName:變更的 Google 群組sensitiveRoles:與這個群組相關聯的敏感角色whoCanJoin:群組的加入設定
- 偵測到的內容,尤其是下列欄位:
步驟 2:查看群組存取權設定
前往 Google 協作平台群組的管理控制台。您必須是 Google Workspace 管理員,才能登入管理控制台。
在導覽窗格中,依序點選「目錄」和「群組」。
按一下要查看的群組名稱。
按一下「存取權設定」,然後在「誰可以加入群組」下方,查看群組的加入設定。
視需要在下拉式選單中變更加入設定。
步驟 3:檢查記錄
- 在發現項目詳細資料面板的「摘要」分頁中,按一下「Cloud Logging URI」連結,開啟「Logs Explorer」。
必要時,請選取專案。
在載入的頁面中,使用下列篩選條件檢查 Google 群組設定變更的記錄:
protoPayload.methodName="google.admin.AdminService.changeGroupSetting"protoPayload.authenticationInfo.principalEmail="principalEmail"
步驟 4:研究攻擊和應變方法
- 查看這類發現項目的 MITRE ATT&CK 架構項目: 有效帳戶。
- 如要判斷是否需要採取其他補救措施,請將調查結果與 MITRE 研究合併。
發現項目 JSON 範例
以下是發現項目 JSON 的範例。
{ "finding": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//admin.googleapis.com/organizations/ORGANIZATION_ID/groupSettings", "state": "ACTIVE", "category": "Privilege Escalation: Privileged Group Opened To Public", "sourceProperties": { "sourceId": { "organizationNumber": "ORGANIZATION_ID", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "technique": "persistence", "indicator": "audit_log", "ruleName": "privileged_group_opened_to_public" }, "detectionPriority": "HIGH", "affectedResources": [{ "gcpResourceName": "//admin.googleapis.com/organizations/ORGANIZATION_ID/groupSettings" }, { "gcpResourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID" }], "evidence": [{ "sourceLogId": { "resourceContainer": "organizations/ORGANIZATION_ID", "timestamp": { "seconds": "1634774534", "nanos": 7.12E8 }, "insertId": "INSERT_ID" } }], "properties": { "privilegedGroupOpenedToPublic": { "principalEmail": "PRINCIPAL_EMAIL", "groupName": "group:GROUP_NAME@ORGANIZATION_NAME", "sensitiveRoles": [{ "resource": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "roleName": ["ROLES"] }], "whoCanJoin": "ALLOW_EXTERNAL_MEMBERS" } }, "findingId": "FINDING_ID", "contextUris": { "mitreUri": { "displayName": "MITRE Link", "url": " https://attack.mitre.org/techniques/T1078" }, "cloudLoggingQueryUri": [{ "displayName": "Cloud Logging Query Link", "url": "https://console.cloud.google.com/logs/query;query\u003dtimestamp%3D%222021-10-21T00:02:14.712Z%22%0AinsertId%3D%22INSERT_ID%22%0Aresource.labels.project_id%3D%22%22?project\u003d" }] } }, "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2021-10-21T00:02:19.173Z", "createTime": "2021-10-21T00:02:20.099Z", "severity": "HIGH", "workflowState": "NEW", "canonicalName": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "findingClass": "THREAT" }, "resource": { "name": "//admin.googleapis.com/organizations/ORGANIZATION_ID/groupSettings" } }
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解產生威脅發現項目的服務。