權限提升：外部成員新增至特殊權限群組

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

這項發現項目不適用於專案層級的啟用作業。

外部成員已新增至具備特殊權限的 Google 群組 (已獲授敏感角色或權限的群組)。

回應方式

如要回應這項發現，請按照下列步驟操作：

步驟 1：查看調查結果詳細資料

1. 按照「查看結果」一文的說明，開啟一項Privilege Escalation: External Member Added To Privileged Group發現項目。系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。

2. 在「摘要」分頁中，查看下列各節的資訊：

   • 偵測到的內容，特別是下列欄位：
     • 主體電子郵件地址：進行變更的帳戶。
   • 受影響的資源
   • 相關連結，尤其是下列欄位：
     • Cloud Logging URI：記錄檔項目的連結。
     • MITRE ATT&CK 方法：連結至 MITRE ATT&CK 文件。
     • 相關發現項目：任何相關發現項目的連結。

3. 在詳細資料面板中，按一下「JSON」分頁標籤。

4. 請注意 JSON 中的下列欄位。

   • groupName：變更的 Google 群組
   • externalMember：新加入的外部成員
   • sensitiveRoles：與這個群組相關聯的敏感角色

步驟 2：查看群組成員

1. 前往 Google 網路論壇。

   前往 Google 網路論壇

2. 按一下要查看的群組名稱。

3. 在導覽選單中，按一下「成員」。

4. 如果新加入的外部成員不應屬於這個群組，請按一下成員名稱旁的核取方塊，然後選取「移除成員」remove_circle_outline或「禁止成員」not_interested。

   如要移除成員，您必須是 Google Workspace 管理員，或在 Google 群組中獲派擁有者或管理員角色。詳情請參閱「為群組成員指派角色」。

步驟 3：檢查記錄

1. 在「發現項目詳細資料」面板的「摘要」分頁中，按一下「Cloud Logging URI」連結，開啟「記錄檔探索工具」。

2. 必要時，請選取專案。

3. 在載入的頁面中，使用下列篩選器檢查 Google 群組成員資格異動記錄：

   • protoPayload.methodName="google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

步驟 4：研究攻擊和回應方法

1. 查看這類發現的 MITRE ATT&CK 架構項目： 有效帳戶。
2. 如要判斷是否需要採取其他補救措施，請將調查結果與 MITRE 研究結合。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。