此页面由 Cloud Translation API 翻译。

持久化：IAM 异常授权

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时，会生成相应的威胁发现结果。如需查看可用威胁发现结果的完整列表，请参阅威胁发现结果索引。

概览

系统会检查审核日志以检测是否添加了可能认为可疑的 IAM 角色绑定。

以下是异常授权的示例：

IAM Anomalous Grant 发现结果的独特之处在于它包含子规则，可提供有关此发现结果的每个实例的更具体信息。此发现结果的严重程度分类取决于子规则。每项子规则可能需要不同的响应。

以下列表显示了所有可能的子规则及其严重程度：

external_service_account_added_to_policy：
- HIGH（如果授予了高度敏感的角色，或在组织级层授予了中等敏感角色）。如需了解详情，请参阅高度敏感角色。
- MEDIUM（如果授予了中等敏感角色）。如需了解详情，请参阅中等敏感角色。
external_member_invited_to_policy：HIGH
external_member_added_to_policy：
- HIGH（如果授予了高度敏感的角色，或在组织级层授予了中等敏感角色）。如需了解详情，请参阅高度敏感角色。
- MEDIUM（如果授予了中等敏感角色）。如需了解详情，请参阅中等敏感角色。
custom_role_given_sensitive_permissions：MEDIUM
service_account_granted_sensitive_role_to_member：HIGH
policy_modified_by_default_compute_service_account：HIGH

如需响应此发现结果，请执行以下操作：

按照查看发现结果中所述，打开 Persistence: IAM Anomalous Grant 发现结果。系统会打开发现结果详细信息面板，以显示摘要标签页。
在摘要标签页上，查看以下部分中的信息：
- 检测到的内容，尤其是以下字段：
  - 主账号邮件：分配了角色的用户或服务账号的邮箱。
- 受影响的资源
- 相关链接，尤其是以下字段：
  - Cloud Logging URI：指向 Logging 条目的链接。
  - MITRE ATT&CK 方法：指向 MITRE ATT&CK 文档的链接。
  - 相关发现结果：指向任何相关发现结果的链接。
  - VirusTotal 指示器：指向 VirusTotal 分析页面的链接。
点击 JSON 标签页。系统会显示该发现结果的完整 JSON。
在发现结果的 JSON 中，注意以下字段：
- detectionCategory：
  - subRuleName：有关发生的异常授权类型的更具体的信息。子规则决定此发现结果的严重程度分类。
- evidence：
  - sourceLogId：
  - projectId：包含发现结果的项目的 ID。
- properties：
  - sensitiveRoleGrant：
    - bindingDeltas：
    - Action：用户执行的操作。
    - Role：为用户分配的角色。
    - member：获得该角色的用户的电子邮件地址。

在发现结果详细信息面板的“摘要”标签页上，点击 Cloud Logging URI 链接以打开 Logs Explorer。
在加载的页面上，使用以下过滤条件查找新的或更新后的 IAM 资源：
- protoPayload.methodName="SetIamPolicy"
- protoPayload.methodName="google.iam.admin.v1.UpdateRole"
- protoPayload.methodName="google.iam.admin.v1.CreateRole"

以下响应方案可能适合此发现结果，但也可能会影响运营。请仔细评估您在研究中收集的信息，以确定解析发现结果的最佳方法。