Esta página foi traduzida pela API Cloud Translation.

Persistência: conta não gerida com função sensível concedida

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Foi concedida uma função sensível a uma conta não gerida. As contas não geridas não podem ser controladas por administradores de sistemas. Por exemplo, quando o funcionário correspondente deixou a empresa, o administrador não consegue eliminar a conta. Por conseguinte, a concessão de funções confidenciais a contas não geridas cria um potencial risco de segurança para a organização.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

Abra a Persistence: Unmanaged Account Granted Sensitive Role descoberta, conforme indicado em Rever descobertas.
Nos detalhes da descoberta, no separador Resumo, tome nota dos valores dos seguintes campos.

Em O que foi detetado:
- Email principal: o utilizador que realizou a ação de concessão
- Concessões de acesso ofensivas.Nome principal: a conta não gerida que recebe a concessão
- Concessões de acesso ofensivas.Função concedida: a função sensível concedida

Passo 2: pesquise métodos de ataque e resposta

Contacte o proprietário do campo Email principal. Confirmar se o proprietário legítimo realizou a ação.
Contacte o proprietário do campo Offending access grants.Principal name para compreender a origem da conta não gerida.

Passo 3: verifique os registos

No separador Resumo do painel de detalhes da descoberta, em Links relacionados, clique no link URI do Cloud Logging para abrir o explorador de registos.

Passo 4: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

Contacte o proprietário do projeto onde a ação foi realizada.
Remova o acesso do proprietário do email principal se este estiver comprometido.
Remova a função sensível recém-concedida da conta não gerida.
Considere converter a conta não gerida numa conta gerida através da ferramenta de transferência e mover esta conta para o controlo dos administradores de sistemas.

O que se segue?

Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
Consulte o índice de resultados de ameaças.
Saiba como rever uma descoberta através da Google Cloud consola.
Saiba mais sobre os serviços que geram resultados de ameaças.