Élévation des privilèges : rôle sensible attribué au groupe hybride

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.

Présentation

Des rôles ou autorisations sensibles ont été accordés à un groupe Google avec des membres externes.

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par les résultats.

Pour traiter ce résultat, procédez comme suit :

Étape 1 : Examiner les résultats détaillés

1. Ouvrez un résultat Privilege Escalation: Sensitive Role Granted To Hybrid Group comme indiqué dans Examiner les résultats. Le panneau des résultats détaillés s'ouvre dans l'onglet Résumé.

2. Dans l'onglet Résumé, examinez les informations des sections suivantes :

   • Risque détecté, en particulier les champs suivants :
     • Adresse e-mail du compte principal : compte ayant effectué les modifications (compte potentiellement compromis).
   • Ressource concernée, en particulier les champs suivants :
     • Nom complet de la ressource : ressource dans laquelle le nouveau rôle a été attribué.
   • Liens associés, en particulier les champs suivants :
     • URI Cloud Logging : lien vers les entrées Logging.
     • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
     • Résultats associés : liens vers d'éventuels résultats associés.
   1. Cliquez sur l'onglet JSON.
   2. Dans le fichier JSON, notez les champs suivants.
   • groupName : groupe Google auquel les modifications ont été apportées.
   • bindingDeltas : rôles sensibles qui viennent d'être attribués au groupe

Étape 2 : Vérifier les autorisations du groupe

1. Accédez à la page IAM dans la console Google Cloud .

   Accéder à IAM

2. Dans le champ Filtre, saisissez le nom du compte indiqué dans groupName.

3. Examinez les rôles sensibles attribués au groupe.

4. Si le rôle sensible récemment ajouté n'est pas nécessaire, révoquez-le.

   Vous devez disposer d'autorisations spécifiques pour gérer les rôles dans votre organisation ou votre projet. Pour en savoir plus, consultez la section Autorisations requises.

Étape 3 : Vérifier les journaux

1. Dans l'onglet Résumé du panneau de détails du résultat, cliquez sur le lien URI Cloud Logging pour ouvrir l'explorateur de journaux.

2. Si nécessaire, sélectionnez votre projet.

3. Sur la page qui s'affiche, consultez les journaux des modifications apportées aux paramètres du groupe Google à l'aide des filtres suivants :

   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Étape 4 : Étudier les méthodes d'attaque et de réponse

1. Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Comptes valides.
2. Pour déterminer si d'autres mesures correctives sont nécessaires, combinez vos résultats d'enquête avec la recherche MITRE.

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
• Consultez l'index des résultats de détection de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.