Escalade des privilèges : membre externe ajouté à un groupe privilégié

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Un membre externe a été ajouté à un groupe Google privilégié (groupe doté d'autorisations ou de rôles sensibles).

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

1. Ouvrez un résultat Privilege Escalation: External Member Added To Privileged Group comme indiqué dans la section Examiner les résultats. Le panneau d'informations sur le résultat s'ouvre sur l'onglet Résumé.

2. Dans l'onglet Récapitulatif, examinez les informations des sections suivantes :

   • Ce qui a été détecté, en particulier les champs suivants :
     • Adresse e-mail principale : compte ayant effectué les modifications.
   • Ressource concernée
   • Liens associés, en particulier les champs suivants :
     • URI Cloud Logging : lien vers les entrées de journalisation.
     • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
     • Résultats associés : liens vers les résultats associés.

3. Dans le panneau de détails, cliquez sur l'onglet JSON.

4. Dans le fichier JSON, notez les champs suivants.

   • groupName : groupe Google auquel les modifications ont été apportées
   • externalMember : membre externe récemment ajouté
   • sensitiveRoles : rôles sensibles associés au groupe

Étape 2 : Vérifier les membres du groupe

1. Accédez à Google Groupes.

   Accéder à Google Groupes

2. Cliquez sur le nom du groupe que vous souhaitez examiner.

3. Dans le menu de navigation, cliquez sur Membres.

4. Si le membre externe récemment ajouté ne doit pas faire partie de ce groupe, cochez la case à côté de son nom, puis sélectionnez remove_circle_outline Supprimer le membre ou not_interested Exclure le membre.

   Pour supprimer des membres, vous devez être un administrateur Google Workspace ou avoir le rôle de Propriétaire ou de Gestionnaire dans le groupe Google. Pour en savoir plus, consultez la section Attribuer des rôles aux membres d'un groupe.

Étape 3 : Vérifier les journaux

1. Dans l'onglet Récapitulatif du panneau "Détails du résultat", cliquez sur le lien URI Cloud Logging pour ouvrir l'explorateur de journaux.

2. Si nécessaire, sélectionnez votre projet.

3. Sur la page qui s'affiche, consultez les journaux des modifications apportées à la liste des membres du groupe Google à l'aide des filtres suivants :

   • protoPayload.methodName="google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Étape 4 : Rechercher des méthodes d'attaque et de réponse

1. Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Comptes valides.
2. Pour déterminer si d'autres mesures correctives sont nécessaires, combinez vos résultats d'enquête avec la recherche MITRE.

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
• Consultez l'index des résultats de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• En savoir plus sur les services qui génèrent des résultats de détection des menaces