Diese Seite wurde von der Cloud Translation API übersetzt.

Persistenz: Sensible Rolle für nicht verwaltetes Konto gewährt

In diesem Dokument wird ein bestimmter Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Einem nicht verwalteten Konto wurde eine sensible Rolle zugewiesen. Nicht verwaltete Konten können von Systemadministratoren nicht gesteuert werden. Wenn der entsprechende Mitarbeiter das Unternehmen verlassen hat, kann der Administrator das Konto beispielsweise nicht löschen. Daher stellt die Zuweisung vertraulicher Rollen an nicht verwaltete Konten ein potenzielles Sicherheitsrisiko für die Organisation dar.

Die Quelle dieses Ergebnisses ist Event Threat Detection.

Maßnahmen

So reagieren Sie auf dieses Ergebnis:

Schritt 1: Ergebnisdetails prüfen

Öffnen Sie das Persistence: Unmanaged Account Granted Sensitive Role-Ergebnis, wie unter Ergebnisse prüfen beschrieben.
Notieren Sie sich in den Ergebnisdetails auf dem Tab Zusammenfassung die Werte der folgenden Felder.

Unter Was wurde erkannt?:
- E-Mail-Adresse des Hauptkontos: Der Nutzer, der die Aktion zum Erteilen der Berechtigung ausgeführt hat.
- Offending access grants.Principal name: Das nicht verwaltete Konto, das die Berechtigung erhält.
- Verstoßende Zugriffszuweisungen.Gewährte Rolle: Die gewährte sensible Rolle

Schritt 2: Angriffs- und Reaktionsmethoden untersuchen

Wenden Sie sich an den Inhaber des Felds Haupt-E-Mail-Adresse. Bestätigen Sie, dass die Aktion vom rechtmäßigen Inhaber ausgeführt wurde.
Fragen Sie den Inhaber des Felds Offending access grants.Principal name (Verletzende Zugriffsberechtigungen.Hauptname), um die Herkunft des nicht verwalteten Kontos zu ermitteln.

Schritt 3: Protokolle prüfen

Klicken Sie im Bereich mit den Details zum Ergebnis auf dem Tab „Zusammenfassung“ unter Zugehörige Links auf den Link Cloud Logging-URI, um den Log-Explorer zu öffnen.

Schritt 4: Antwort implementieren

Der folgende Reaktionplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Abläufe auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Behebung der Ergebnisse zu finden.

Wenden Sie sich an den Inhaber des Projekts, in dem die Maßnahme ergriffen wurde.
Entfernen Sie den Zugriff des Inhabers der Haupt-E-Mail-Adresse, wenn das Konto gehackt wurde.
Entfernen Sie die neu gewährte sensible Rolle aus dem nicht verwalteten Konto.
Erwägen Sie, das nicht verwaltete Konto mit dem Übertragungstool in ein verwaltetes Konto umzuwandeln und es unter die Kontrolle von Systemadministratoren zu stellen.

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsergebnisse generieren