Peningkatan Hak Istimewa: Anggota Eksternal Ditambahkan ke Grup dengan Hak Istimewa

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Temuan ini tidak tersedia untuk aktivasi level project.

Anggota eksternal ditambahkan ke Grup Google istimewa (grup yang diberi peran atau izin sensitif).

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: External Member Added To Privileged Group seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Summary, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan perubahan.
   • Resource yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Di panel detail, klik tab JSON.

4. Dalam JSON, perhatikan kolom berikut.

   • groupName: Google Grup tempat perubahan dilakukan
   • externalMember: anggota eksternal yang baru ditambahkan
   • sensitiveRoles: peran sensitif yang terkait dengan grup ini

Langkah 2: Tinjau anggota grup

1. Buka Google Grup.

   Buka Google Grup

2. Klik nama grup yang ingin Anda tinjau.

3. Di menu navigasi, klik Anggota.

4. Jika anggota eksternal yang baru ditambahkan tidak boleh berada dalam grup ini, klik kotak centang di samping nama anggota, lalu pilih remove_circle_outline Hapus anggota atau not_interested Blokir anggota.

   Untuk menghapus anggota, Anda harus menjadi Admin Google Workspace, atau diberi peran Pemilik atau Pengelola di Grup Google. Untuk mengetahui informasi selengkapnya, lihat Menetapkan peran ke anggota grup.

Langkah 3: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.

2. Jika perlu, pilih project Anda.

3. Di halaman yang dimuat, periksa log untuk perubahan keanggotaan Grup Google menggunakan filter berikut:

   • protoPayload.methodName="google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.