Cette page a été traduite par l'API Cloud Translation.

Persistance: rôle sensible attribué à un compte non géré

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Un rôle sensible a été attribué à un compte non géré. Les comptes non gérés ne peuvent pas être contrôlés par les administrateurs système. Par exemple, lorsque l'employé correspondant a quitté l'entreprise, l'administrateur ne peut pas supprimer le compte. Par conséquent, accorder des rôles sensibles à des comptes non gérés crée un risque de sécurité potentiel pour l'organisation.

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

Ouvrez le résultat Persistence: Unmanaged Account Granted Sensitive Role, comme indiqué dans Examiner les résultats.
Dans les détails du résultat, dans l'onglet Récapitulatif, notez les valeurs des champs suivants.

Sous Risque détecté :
- Adresse e-mail principale : utilisateur ayant effectué l'action d'octroi
- Autorisations d'accès non conformes.Nom du compte principal : compte non géré qui reçoit l'autorisation
- Autorisations d'accès concernées.Rôle accordé : rôle sensible accordé

Étape 2 : Étudier les méthodes d'attaque et de réponse

Contactez le propriétaire du champ Adresse e-mail du compte principal. Confirmez si le propriétaire légitime a effectué l'action.
Contactez le propriétaire du champ Offending access grants.Principal name pour comprendre l'origine du compte non géré.

Étape 3 : Vérifier les journaux

Dans l'onglet Récapitulatif du panneau d'informations sur le résultat, sous Liens associés, cliquez sur le lien URI Cloud Logging pour ouvrir l'explorateur de journaux.

Étape 4 : Mettre en œuvre votre réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.

Contactez le propriétaire du projet dans lequel l'action a été effectuée.
Supprimez l'accès du propriétaire de l'adresse e-mail du compte principal si elle est compromise.
Supprimez le rôle sensible récemment accordé au compte non géré.
Envisagez de convertir le compte non géré en compte géré à l'aide de l'outil de transfert et de le placer sous le contrôle des administrateurs système.

Étapes suivantes

Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
Consultez l'index des résultats de menace.
Découvrez comment examiner un résultat dans la console Google Cloud .
En savoir plus sur les services qui génèrent des résultats de détection des menaces