Cette page a été traduite par l'API Cloud Translation.

Persistance : compte non géré auquel un rôle sensible a été attribué

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.

Présentation

Un rôle sensible a été attribué à un compte non géré. Les comptes non gérés ne peuvent pas être contrôlés par les administrateurs système. Par exemple, lorsque l'employé correspondant a quitté l'entreprise, l'administrateur ne peut pas supprimer le compte. Par conséquent, accorder des rôles sensibles à des comptes non gérés crée un risque de sécurité potentiel pour l'organisation.

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Pour traiter ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

Ouvrez le résultat Persistence: Unmanaged Account Granted Sensitive Role comme indiqué dans Examiner un résultat.
Dans les détails du résultat, dans l'onglet Résumé, notez les valeurs des champs suivants.

Sous Risque détecté :
- Adresse e-mail du compte principal : utilisateur ayant effectué l'action d'octroi
- Autorisations d'accès non conformes.Nom du compte principal : compte non géré qui reçoit l'autorisation
- Autorisations d'accès concernées.Rôle accordé : rôle sensible accordé

Étape 2 : Étudier les méthodes d'attaque et de réponse

Contactez le propriétaire du champ Adresse e-mail du compte principal. Confirmez si le propriétaire légitime est bien à l'origine de l'action.
Contactez le propriétaire du champ Offending access grants.Principal name pour comprendre l'origine du compte non géré.

Étape 3 : Vérifier les journaux

Dans l'onglet Résumé du panneau de détails du résultat, sous Liens associés, cliquez sur le lien URI Cloud Logging pour ouvrir l'explorateur de journaux.

Étape 4 : Mettre en œuvre votre réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par le résultat.

Contactez le propriétaire du projet dans lequel l'action a été effectuée.
Supprimez l'accès du propriétaire de l'adresse e-mail du compte principal si elle est compromise.
Supprimez le rôle sensible récemment accordé au compte non géré.
Envisagez de convertir le compte non géré en compte géré à l'aide de l'outil de transfert et de le placer sous le contrôle des administrateurs système.

Étapes suivantes

Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
Consultez l'index des résultats de détection de menace.
Découvrez comment examiner un résultat dans la console Google Cloud .
Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.