本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时,会生成相应的威胁发现结果。如需查看可用威胁发现结果的完整列表,请参阅威胁发现结果索引。
概览
向非受管账号授予了敏感角色。非受管账号不受系统管理员控制。例如,当相应员工离职时,管理员无法删除该账号。 因此,向非受管账号授予敏感角色会为组织带来潜在的安全风险。
如何响应
如需响应此发现结果,请执行以下操作:
第 1 步:查看发现结果详情
- 按照查看发现结果中所述,打开
Persistence: Unmanaged Account Granted Sensitive Role发现结果。 在发现结果详情的摘要标签页上,记下以下字段的值。
在检测到的内容下:
- 主账号电子邮件地址:执行授予角色操作的用户
- 违规访问授权主账号名称:接受授权的非受管账号
- 违规访问授权授予的角色:授予的敏感角色
第 2 步:研究攻击和响应方法
- 与主账号电子邮件地址字段的所有者联系。确认合法所有者是否执行了此操作。
- 请与违规访问授权主账号名称字段的所有者联系,了解非受管账号的来源。
第 3 步:检查日志
- 在发现结果详细信息面板的摘要标签页上,点击相关链接下的 Cloud Logging URI 链接以打开 Logs Explorer。
第 4 步:实现响应
以下响应方案可能适合此发现结果,但也可能会影响运营。 请仔细评估您在研究中收集的信息,以确定解析发现结果的最佳方法。
- 与执行操作的项目的所有者联系。
- 如果主账号电子邮件地址被盗用,请移除其所有者的访问权限。
- 从非受管账号中移除新授予的敏感角色。
- 考虑使用转移工具将非受管账号转换为受管账号,并将此账号移至系统管理员的控制范围内。
后续步骤
- 了解如何在 Security Command Center 中处理威胁发现结果。
- 查看威胁发现结果索引。
- 了解如何通过 Google Cloud 控制台查看发现结果。
- 了解生成威胁发现结果的服务。