Élévation des privilèges : groupe privilégié ouvert au public

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Un groupe Google privilégié (groupe disposant de rôles ou d'autorisations sensibles) a été rendu accessible au grand public.

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

1. Ouvrez un résultat Privilege Escalation: Privileged Group Opened To Public comme indiqué dans la section Examiner les résultats. Le panneau d'informations sur le résultat s'ouvre sur l'onglet Résumé.

2. Dans l'onglet Récapitulatif, examinez les informations des sections suivantes :

   • Ce qui a été détecté, en particulier les champs suivants :
     • Adresse e-mail principale : compte ayant effectué les modifications, qui peut être piraté.
   • Ressource concernée
   • Liens associés, en particulier les champs suivants :
     • URI Cloud Logging : lien vers les entrées de journalisation.
     • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
     • Résultats associés : liens vers les résultats associés.
   1. Cliquez sur l'onglet JSON.
   2. Dans le fichier JSON, notez les champs suivants.
   • groupName : groupe Google auquel les modifications ont été apportées
   • sensitiveRoles : rôles sensibles associés au groupe
   • whoCanJoin : paramètre de joignabilité du groupe

Étape 2 : Vérifier les paramètres d'accès au groupe

1. Accédez à la console d'administration de Google Groupes. Vous devez être un administrateur Google Workspace pour vous connecter à la console.

   Accéder à la console d'administration

2. Dans le volet de navigation, cliquez sur Annuaire, puis sélectionnez Groupes.

3. Cliquez sur le nom du groupe que vous souhaitez examiner.

4. Cliquez sur Paramètres d'accès, puis, sous Qui peut rejoindre le groupe, vérifiez le paramètre de joignabilité du groupe.

5. Dans le menu déroulant, modifiez le paramètre de joignabilité si nécessaire.

Étape 3 : Vérifier les journaux

1. Dans l'onglet Récapitulatif du panneau "Détails du résultat", cliquez sur le lien URI Cloud Logging pour ouvrir l'explorateur de journaux.

2. Si nécessaire, sélectionnez votre projet.

3. Sur la page qui s'affiche, consultez les journaux des modifications apportées aux paramètres du groupe Google à l'aide des filtres suivants :

   • protoPayload.methodName="google.admin.AdminService.changeGroupSetting"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Étape 4 : Rechercher des méthodes d'attaque et de réponse

1. Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Comptes valides.
2. Pour déterminer si d'autres mesures correctives sont nécessaires, combinez vos résultats d'enquête avec la recherche MITRE.

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
• Consultez l'index des résultats de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• En savoir plus sur les services qui génèrent des résultats de détection des menaces