提權：特殊權限群組對外公開

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

這項發現項目不適用於專案層級的啟用作業。

一般大眾可存取具有特殊權限的 Google 群組 (已授予敏感角色或權限的群組)。

回應方式

如要回應這項發現，請按照下列步驟操作：

步驟 1：查看調查結果詳細資料

1. 按照「查看結果」一文的說明，開啟一項Privilege Escalation: Privileged Group Opened To Public發現項目。系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。

2. 在「摘要」分頁中，查看下列各節的資訊：

   • 偵測到的內容，特別是下列欄位：
     • 主要電子郵件地址：進行變更的帳戶，可能已遭盜用。
   • 受影響的資源
   • 相關連結，尤其是下列欄位：
     • Cloud Logging URI：記錄檔項目的連結。
     • MITRE ATT&CK 方法：連結至 MITRE ATT&CK 文件。
     • 相關發現項目：任何相關發現項目的連結。
   1. 按一下「JSON」分頁標籤。
   2. 請注意 JSON 中的下列欄位。
   • groupName：變更的 Google 群組
   • sensitiveRoles：與這個群組相關聯的敏感角色
   • whoCanJoin：群組的加入設定

步驟 2：查看群組存取權設定

1. 前往 Google 協作平台的管理控制台。您必須是 Google Workspace 管理員，才能登入管理控制台。

   前往管理控制台

2. 在導覽窗格中，依序點選「目錄」和「群組」。

3. 按一下要查看的群組名稱。

4. 按一下「存取權設定」，然後在「誰可以加入群組」下方，查看群組的加入設定。

5. 視需要在下拉式選單中變更加入設定。

步驟 3：檢查記錄

1. 在「發現項目詳細資料」面板的「摘要」分頁中，按一下「Cloud Logging URI」連結，開啟「記錄檔探索工具」。

2. 必要時，請選取專案。

3. 在載入的頁面中，使用下列篩選條件檢查 Google 群組設定變更的記錄：

   • protoPayload.methodName="google.admin.AdminService.changeGroupSetting"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

步驟 4：研究攻擊和回應方法

1. 查看這類發現的 MITRE ATT&CK 架構項目： 有效帳戶。
2. 如要判斷是否需要採取其他補救措施，請將調查結果與 MITRE 研究結合。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。