Peningkatan Hak Istimewa: Peran Sensitif Diberikan kepada Grup Hybrid

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Peran atau izin sensitif diberikan kepada Grup Google dengan anggota eksternal.

Cara merespons

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Sensitive Role Granted To Hybrid Group seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Summary, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan perubahan, yang mungkin disusupi.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: resource tempat peran baru diberikan.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.
   1. Klik tab JSON.
   2. Dalam JSON, perhatikan kolom berikut.
   • groupName: Google Grup tempat perubahan dilakukan
   • bindingDeltas: peran sensitif yang baru diberikan kepada grup ini.

Langkah 2: Tinjau izin grup

1. Buka halaman IAM di konsol Google Cloud .

   Buka IAM

2. Di kolom Filter, masukkan nama akun yang tercantum di groupName.

3. Tinjau peran sensitif yang diberikan kepada grup.

4. Jika peran sensitif yang baru ditambahkan tidak diperlukan, cabut peran tersebut.

   Anda memerlukan izin tertentu untuk mengelola peran di organisasi atau project Anda. Untuk informasi selengkapnya, lihat Izin yang diperlukan.

Langkah 3: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.

2. Jika perlu, pilih project Anda.

3. Di halaman yang dimuat, periksa log untuk perubahan setelan Grup Google menggunakan filter berikut:

   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.