En esta página, se explica cómo trabajar con los resultados de los problemas de seguridad relacionados con la identidad y el acceso (hallazgos de identidad y acceso) en la consola de Google Cloud para investigar e identificar posibles parámetros de configuración incorrectos.
Como parte de las funciones de Cloud Infrastructure Entitlement Management (CIEM) que se ofrecen con el nivel Enterprise, Security Command Center genera hallazgos de identidad y acceso, y los facilita de acceso en la página Descripción general de riesgos de Security Command Center. Estos hallazgos se seleccionan y clasifican en el panel Hallazgos de identidad y acceso.
Antes de comenzar
Asegúrate de haber completado las siguientes tareas antes de continuar:
- Obtén más información sobre las funciones de CIEM de Security Command Center.
- Configura permisos para CIEM.
- Habilita el servicio de detección CIEM para AWS.
Consulta un resumen de los hallazgos de identidad y acceso.
El panel Hallazgos de identidad y acceso en la página Descripción general del riesgo de Security Command Center proporciona una visión de alto nivel de los hallazgos principales sobre identidad y acceso en tus entornos de nube, como Google Cloud y Amazon Web Services (AWS). El panel consta de una tabla que organiza los hallazgos en tres columnas:
- Gravedad: La gravedad del hallazgo es un indicador general de lo importante que es corregir la categoría del hallazgo, que se puede clasificar como
Critical,High,MediumoLow. - Categoría de hallazgo: Es el tipo de configuración incorrecta de identidad y acceso que se encontró.
- Resultados totales: La cantidad total de parámetros de configuración incorrectos de identidad y acceso encontrados en una categoría en una clasificación de gravedad determinada.
Para navegar por los hallazgos en el panel, puedes ordenarlos por gravedad, categoría o cantidad total de resultados si haces clic en el encabezado correspondiente. También puedes modificar la cantidad de filas que muestra el panel (hasta 200) y navegar entre páginas con las flechas de navegación en la parte inferior de la tabla.
Puedes hacer clic en el título de una categoría o la cantidad total de hallazgos correspondiente para inspeccionar resultados específicos con más detalle en la página Hallazgos de Security Command Center. Para obtener más información, consulta Inspecciona en detalle los hallazgos de identidad y acceso.
Los siguientes componentes debajo de la tabla de hallazgos ayudan a proporcionar un contexto adicional a tus hallazgos de identidad y acceso:
- La etiqueta Fuentes indica la fuente de la que Security Command Center está transfiriendo los datos para producir los resultados. Los hallazgos sobre identidad y acceso se pueden aplicar a los entornos de Google Cloud y AWS. Security Command Center solo muestra los resultados de identidad y acceso de AWS si conectaste una instancia de AWS y configuraste la transferencia de registros de AWS para CIEM.
- El vínculo Ver todos los hallazgos de identidad y acceso te permite navegar a la página Hallazgos de Security Command Center para ver todas las configuraciones incorrectas de identidad y acceso detectadas, sin importar la categoría o la gravedad.
- El vínculo Revisar el acceso con el Analizador de políticas proporciona acceso rápido a la herramienta Analizador de políticas, que te permite ver quién tiene acceso a qué recursos según tus políticas de permisos de IAM.
Ver hallazgos sobre identidad y acceso en la página Hallazgos
El panel Hallazgos de identidad y acceso ofrece varios puntos de entrada a la página Hallazgos de Security Command Center para inspeccionar los hallazgos de identidad y acceso en detalle:
- Haz clic en el nombre de cualquier hallazgo en Categoría del hallazgo o en la cantidad total de hallazgos en Resultados totales para consultar automáticamente esa categoría de hallazgo y calificación de gravedad en particular.
- Haz clic en Ver todos los resultados de identidad y acceso para consultar todos los resultados sin un orden en particular.
Security Command Center realiza una selección previa de ciertos filtros rápidos que crean una consulta de resultados específica para parámetros de configuración incorrectos de identidad y acceso. Las opciones de filtro rápido cambian en función de si consultas uno o todos los hallazgos de identidad y acceso. Puedes editar estas consultas según sea necesario. Las categorías y opciones de filtro rápido particulares que son de interés para los fines de CIEM incluyen las siguientes:
- Categoría: Filtra para consultar los resultados de categorías de búsqueda específicas sobre las que deseas obtener más información. Las opciones de filtro rápido que se enumeran en esta categoría cambian en función de si consultas uno o todos los resultados de identidad y acceso.
- ID del proyecto: Filtra para consultar los resultados de los resultados que se relacionan con un proyecto específico.
- Tipo de recurso: Filtra para consultar los resultados de los resultados que se relacionan con un tipo de recurso específico.
- Gravedad: Filtra para consultar los resultados de los resultados de una gravedad específica.
- Nombre visible de la fuente: Filtra para consultar los resultados de los resultados detectados por un servicio específico que detectó una configuración incorrecta.
- Proveedor de servicios en la nube: Filtra para consultar los resultados de los resultados que provienen de una plataforma de nube específica.
El panel Resultados de la búsqueda consta de varias columnas que proporcionan detalles sobre el hallazgo. Entre ellas, las siguientes columnas son de interés para los fines de CIEM:
- Gravedad: Muestra la gravedad de un resultado determinado para ayudarte a priorizar la corrección.
- Nombre visible del recurso: Muestra el recurso en el que se detectó el hallazgo.
- Nombre visible de la fuente: Muestra el servicio que detectó el hallazgo. Las fuentes que producen resultados relacionados con la identidad incluyen CIEM, el recomendador de IAM y Security Health Analytics.
- Proveedor de servicios en la nube: Muestra el entorno de nube en el que se detectó el hallazgo, como Google Cloud y AWS.
- Otorgamientos de acceso infractores: Se muestra un vínculo para revisar las principales a las que posiblemente se les otorgaron roles inapropiados.
- Case ID: Muestra el número de ID del caso relacionado con el hallazgo.
Para obtener más información sobre cómo trabajar con los resultados, consulta Trabaja con resultados en la consola de Google Cloud.
Investigar los hallazgos de identidad y acceso para diferentes plataformas en la nube
Security Command Center te permite investigar los resultados de la configuración incorrecta de identidad y acceso de tus entornos de AWS y Google Cloud en la página Hallazgos de Security Command Center.
Muchos servicios de detección diferentes de Security Command Center, como CIEM, el recomendador de IAM y Security Health Analytics, generan categorías de resultados específicas de CIEM que detectan posibles problemas de seguridad de identidad y acceso para tus plataformas en la nube.
El servicio de detección CIEM de Security Command Center genera resultados específicos para tu entorno de AWS. El recomendador de IAM y los servicios de detección de Security Health Analytics generan resultados específicos para tu entorno de Google Cloud.
Para ver solo los resultados detectados por un servicio específico, selecciona ese servicio en la categoría de filtros rápidos de Nombre visible de la fuente. Por ejemplo, si deseas ver solo los resultados que detecta el servicio de detección de CIEM, selecciona CIEM.
En la siguiente tabla, se describen todos los hallazgos que se consideran parte de las capacidades de CIEM de Security Command Center.
| Cloud Platform | Categoría | Descripción | Origen |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Roles de IAM asumidos que se detectaron en tu entorno de AWS con políticas altamente permisivas. Para obtener más información, consulta Hallazgos de CIEM. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Los grupos de IAM detectados en tu entorno de AWS con políticas altamente permisivas. Para obtener más información, consulta Hallazgos de CIEM. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Usuarios de IAM detectados en tu entorno de AWS con políticas altamente permisivas. Para obtener más información, consulta Hallazgos de CIEM. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Hay usuarios que no están usando la verificación en 2 pasos. Para obtener más información, consulta Hallazgos de la autenticación de varios factores. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Las métricas y alertas de registro no están configuradas para supervisar los cambios de los roles personalizados. Para obtener más información, consulta Supervisa los hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | No se aplica de manera forzosa la separación de tareas, y existe un usuario que tiene alguna de las siguientes funciones de Cloud Key Management Service a la vez: Encriptador/Desencriptador de CryptoKey, Encriptador o Desencriptador. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Un usuario tiene uno de los siguientes roles básicos: propietario (roles/owner), editor (roles/editor) o visualizador (roles/viewer). Para obtener más información, consulta hallazgos de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Un rol de IAM para Redis se asigna a nivel de la organización o la carpeta. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | A un usuario se le asignaron las funciones de administrador de cuenta de servicio y usuario de cuenta de servicio. Esto infringe el principio de “Separación de obligaciones”. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Hay un usuario que no está usando las credenciales de la organización. Según CIS para Google Cloud Foundations 1.0, solo las identidades con direcciones de correo electrónico @gmail.com activan este detector. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Una cuenta de Grupos de Google a la que se puede unir sin aprobación se usa como principal de la política de permisos de IAM. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | El recomendador de IAM detectó una cuenta de usuario que tiene un rol de IAM que no se usó en los últimos 90 días. Para obtener más información, consulta Hallazgos del recomendador de IAM. | Recomendador de IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | El recomendador de IAM detectó una cuenta de servicio que tiene uno o más roles de IAM que otorgan permisos excesivos a la cuenta de usuario. Para obtener más información, consulta Hallazgos del recomendador de IAM. | Recomendador de IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
El recomendador de IAM detectó que el rol de IAM predeterminado original otorgado a un agente de servicio se reemplazó por uno de los roles básicos de IAM: propietario, editor o visualizador. Los roles básicos son roles heredados demasiado permisivos y no deberían otorgarse a agentes de servicio. Para obtener más información, consulta Hallazgos del recomendador de IAM. | Recomendador de IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | El recomendador de IAM detectó IAM de que a un agente de servicio se le otorgó uno de los roles básicos de IAM: propietario, editor o visualizador. Los roles básicos son roles heredados demasiado permisivos y no deberían otorgarse a agentes de servicio. Para obtener más información, consulta Hallazgos del recomendador de IAM. | Recomendador de IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Una cuenta de servicio tiene privilegios de administrador, propietario o editor. Estos roles no deben asignarse a cuentas de servicio creadas por el usuario. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Una instancia está configurada para usar la cuenta de servicio predeterminada. Para obtener más información, consulta Hallazgos de vulnerabilidades de instancias de procesamiento. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Una cuenta de servicio tiene un acceso demasiado amplio al proyecto en un clúster. Para obtener más información, consulta Hallazgos de vulnerabilidades de contenedores. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Un usuario tiene la función Usuario de cuenta de servicio o Creador de tokens de cuenta de servicio a nivel de proyecto, en lugar de para una cuenta de servicio específica. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | No se rotó una clave de cuenta de servicio durante más de 90 días. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Una cuenta de servicio de nodo tiene permisos de acceso amplios. Para obtener más información, consulta Hallazgos de vulnerabilidades de contenedores. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Las claves criptográficas de Cloud KMS son de acceso público. Para obtener más información, consulta Hallazgos de vulnerabilidades de KMS. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Un bucket de Cloud Storage es de acceso público. Para obtener más información, consulta Hallazgos de vulnerabilidades de almacenamiento. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Un bucket de almacenamiento usado como receptor de registros es de acceso público. Para obtener más información, consulta Hallazgos de vulnerabilidades de almacenamiento. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Un usuario administra una clave de cuenta de servicio. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Hay más de tres usuarios de claves criptográficas. Para obtener más información, consulta Hallazgos de vulnerabilidades de KMS. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Un usuario tiene permisos de Propietario en un proyecto con claves criptográficas. Para obtener más información, consulta Hallazgos de vulnerabilidades de KMS. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Las métricas y alertas de registros no están configuradas para supervisar las asignaciones o los cambios de la propiedad del proyecto. Para obtener más información, consulta Supervisa los hallazgos de vulnerabilidades. | Security Health Analytics |
Filtrar los hallazgos de identidad y acceso por plataforma en la nube
En el panel Resultados de la búsqueda, puedes saber qué hallazgo se relaciona con una plataforma de nube determinada si inspeccionas el contenido de las columnas Proveedor de servicios en la nube, Nombre visible del recurso o Tipo de recurso.
En Resultados de la consulta de resultados, se muestran los hallazgos de identidad y acceso para los entornos de Google Cloud y AWS de forma predeterminada. Para editar los resultados predeterminados de las consultas de búsqueda y mostrar solo los resultados de una plataforma de nube específica, selecciona Amazon Web Services o Google Cloud Platform en la categoría de filtros rápidos del proveedor de servicios en la nube.
Inspecciona los hallazgos sobre identidad y acceso en detalle
Para obtener más información sobre un hallazgo de identidad y acceso, haz clic en el nombre del hallazgo en la columna Categoría del panel Resultados de la búsqueda para abrir la vista detallada. Para obtener más información sobre la vista de detalles de resultados, consulta Visualiza los detalles de un resultado.
Las siguientes secciones en la pestaña Resumen de la vista detallada son útiles para investigar los hallazgos de identidad y acceso.
Otorgamientos de acceso infractores
En la pestaña Resumen del panel de detalles de un resultado, la fila Otorgamiento de acceso infractor proporciona una forma de inspeccionar con rapidez las principales de Google Cloud y de terceros, así como su acceso a tus recursos. Esta información solo aparece para los resultados cuando el recomendador de IAM detecta principales en los recursos de Google Cloud con funciones muy permisivas, básicas y sin usar.
Haz clic en Revisar los otorgamientos de acceso infractores para abrir el panel Revisar los otorgamientos de acceso infractor, que contiene la siguiente información:
- El nombre de la principal. Las principales que se muestran en esta columna pueden ser una
combinación de cuentas de usuario de Google Cloud (
user:example-user@example.com), grupos, identidades de otros proveedores de identidad (//iam.googleapis.com/locations/global/workforcePools/example-pool/subject/example-user@example.com) y cuentas de servicio. - El nombre del rol otorgado a la principal.
- Esta es la acción recomendada que puedes realizar para solucionar el problema de acceso.
Información del caso
En la pestaña Resumen de la página de detalles de un hallazgo, la sección Información del caso muestra cuando hay un caso o ticket que corresponde a un hallazgo en particular. Los casos y los tickets se crean automáticamente para los resultados con una clasificación de gravedad Critical o High.
En la sección Información de casos, se proporciona una manera de hacer un seguimiento de los esfuerzos de corrección para un hallazgo en particular. Proporciona detalles sobre el caso correspondiente, como vínculos a cualquier ticket correspondiente y del sistema de tickets (Jira o ServiceNow), el destinatario, el estado y la prioridad del caso.
Para acceder al caso correspondiente con el hallazgo, haz clic en el número de ID del caso en la fila Case ID.
Para acceder al ticket de Jira o ServiceNow que corresponde al hallazgo, haz clic en el número de ID del ticket en la fila ID de boleto.
Para conectar tus sistemas de tickets con Security Command Center Enterprise, consulta Integra Security Command Center Enterprise con sistemas de tickets.
Para obtener más información sobre cómo revisar los casos correspondientes, consulta Revisa los casos de búsqueda de identidad y acceso.
Próximos pasos
En la pestaña Resumen de la página de detalles de un hallazgo, la sección Próximos pasos proporciona una guía paso a paso sobre cómo solucionar de inmediato el problema detectado. Estas recomendaciones se adaptan al hallazgo específico que estés viendo.
¿Qué sigue?
- Obtén más información para trabajar con los resultados.
- Obtén más información para revisar casos de búsqueda de identidad y acceso.
- Obtén más información sobre los detectores CIEM que generan hallazgos de AWS.