Esaminare i risultati relativi a identità e accesso

Questa pagina spiega come utilizzare i risultati relativi a problemi di sicurezza correlati a identità e accesso (risultati relativi a identità e accesso) nella console Google Cloud per esaminare e identificare potenziali configurazioni errate.

Nell'ambito delle funzionalità di Cloud Infrastructure Entitlement Management (CIEM) offerte con il livello Enterprise, Security Command Center genera risultati relativi a identità e accesso e li rende facilmente accessibili nella pagina Panoramica dei rischi di Security Command Center. Questi risultati vengono selezionati e classificati nel riquadro Risultati relativi a identità e accesso.

Prima di iniziare

Prima di continuare, assicurati di aver completato le seguenti attività:

Visualizzare un riepilogo dei risultati relativi a identità e accesso

Il riquadro Risultati relativi a identità e accessi nella pagina Panoramica dei rischi di Security Command Center fornisce un quadro generale dei principali risultati relativi a identità e accessi nei tuoi ambienti cloud, come Google Cloud e Amazon Web Services (AWS). Il riquadro è costituito da una tabella che organizza i risultati in tre colonne:

  • Gravità: la gravità del rilevamento è un indicatore generale dell'importanza della correzione della categoria del rilevamento, che può essere classificata come Critical, High, Medium o Low.
  • Categoria risultati: il tipo di configurazione errata di identità e accesso trovata.
  • Provider cloud: l'ambiente cloud in cui sono state rilevate le configurazioni errate.
  • Risultati totali: il numero totale di configurazioni errate di identità e accesso trovate in una categoria con una determinata classificazione della gravità.

Per spostarti tra i risultati nel riquadro, puoi ordinarli in base alla gravità, alla categoria o al numero totale di risultati facendo clic sulla rispettiva intestazione. Puoi anche modificare il numero di righe visualizzate nel riquadro (fino a 200) e spostarti tra le pagine utilizzando le frecce di navigazione nella parte inferiore della tabella.

Puoi fare clic sul titolo di una categoria o sul numero totale di risultati corrispondente per esaminare più in dettaglio risultati specifici nella pagina Risultati di Security Command Center. Per saperne di più, consulta Esaminare in dettaglio i risultati relativi a identità e accesso.

I seguenti componenti sotto la tabella dei risultati contribuiscono a fornire un contesto aggiuntivo ai risultati relativi all'identità e all'accesso:

  • L'etichetta Origini indica l'origine da cui Security Command Center importa i dati per produrre i risultati. I risultati relativi a identità e accessi possono essere applicati sia agli ambienti Google Cloud sia ad AWS e provenire da diversi rilevatori, come CIEM, il Recommender IAM e Security Health Analytics. Security Command Center mostra i risultati relativi a identità e accesso per AWS solo se hai collegato un'istanza AWS e configurato l'importazione dei log AWS per CIEM.
  • Il link Visualizza tutti i risultati relativi a identità e accesso ti consente di accedere alla pagina Risultati di Security Command Center per visualizzare tutte le configurazioni errate di identità e accesso rilevate, indipendentemente dalla categoria o dalla gravità.
  • Il link Rivedi l'accesso con Policy Analyzer per Google Cloud consente di accedere rapidamente allo strumento Policy Analyzer, che ti consente di vedere chi ha accesso a quali risorse Google Cloud in base ai tuoi criteri di autorizzazione IAM.

Visualizzare i risultati relativi a identità e accesso nella pagina Risultati

Il riquadro Risultati relativi all'identità e all'accesso offre più punti di accesso alla pagina Risultati di Security Command Center per esaminare in dettaglio i risultati relativi all'identità e all'accesso:

  • Fai clic su un nome di risultato in Categoria di risultati o sul relativo numero di risultati totali in Risultati totali per eseguire automaticamente una query per quella determinata categoria di risultati e la relativa classificazione della gravità.
  • Fai clic su Visualizza tutti i risultati relativi a identità e accesso per eseguire query su tutti i risultati senza un ordine specifico.

Security Command Center preseleziona determinati filtri rapidi che creano una query sui risultati specificamente per le configurazioni errate di identità e accesso. Le opzioni di filtro rapido cambiano in base al fatto che tu esegua una query su uno o su tutti i risultati relativi a identità e accesso. Puoi modificare queste query in base alle tue esigenze. Le categorie e le opzioni di filtri rapidi specifici che sono di interesse ai fini del CIEM includono:

  • Categoria: filtri per eseguire query sui risultati in base a categorie di risultati specifiche su cui vuoi saperne di più. Le opzioni di filtro rapido elencate in questa categoria cambiano in base al fatto che tu esegua query su uno o su tutti i risultati relativi a identità e accesso.
  • ID progetto: filtra i risultati per eseguire query sui risultati relativi a un progetto specifico.
  • Tipo di risorsa: consente di filtrare i risultati in base ai risultati relativi a un tipo di risorsa specifico.
  • Gravità: filtra i risultati per eseguire query sui risultati relativi a elementi con una gravità specifica.
  • Nome visualizzato dell'origine: filtra i risultati per eseguire query sui risultati rilevati da un servizio specifico che ha rilevato la configurazione errata.
  • Provider cloud: filtra i risultati per eseguire query sui risultati provenienti da una piattaforma cloud specifica.

Il riquadro Risultati della query sui risultati è composto da diverse colonne che forniscono dettagli sul risultato. Tra queste, le seguenti colonne sono di interesse per scopi CIEM:

  • Gravità: mostra la gravità di un determinato risultato per aiutarti a dare la priorità al rimedio.
  • Nome visualizzato della risorsa: mostra la risorsa in cui è stato rilevato il rilevamento.
  • Nome visualizzato dell'origine: mostra il servizio che ha rilevato il rilevamento. Le origini che producono risultati relativi all'identità includono CIEM, Recommender IAM e Security Health Analytics.
  • Provider cloud: mostra l'ambiente cloud in cui è stato rilevato il rilevamento, ad esempio Google Cloud e AWS.
  • Concessioni di accesso non conformi: mostra un link per esaminare le entità a cui sono stati potenzialmente concessi ruoli inappropriati.
  • ID richiesta: mostra il numero di ID della richiesta correlata al risultato.

Per ulteriori informazioni sull'utilizzo dei risultati, consulta Esaminare e gestire i risultati.

Esaminare i risultati relativi a identità e accessi per diverse piattaforme cloud

Security Command Center ti consente di esaminare i risultati relativi a errori di configurazione di identità e accesso per i tuoi ambienti AWS e Google Cloud nella pagina Risultati di Security Command Center.

Molti diversi servizi di rilevamento di Security Command Center, come CIEM, il Recommender IAM e Security Health Analytics, generano categorie di risultati specifiche per CIEM che rilevano potenziali problemi di sicurezza di identità e accesso per le tue piattaforme cloud.

Il servizio di rilevamento CIEM di Security Command Center genera risultati specifici per il tuo ambiente AWS, mentre i servizi di rilevamento del Recommender IAM e di Security Health Analytics generano risultati specifici per il tuo ambiente Google Cloud.

Per visualizzare solo i risultati rilevati da un servizio specifico, seleziona il servizio dalla categoria dei filtri rapidi Nome visualizzato dell'origine. Ad esempio, se vuoi visualizzare solo i risultati rilevati dal servizio di rilevamento CIEM, seleziona CIEM.

La tabella seguente descrive tutti i risultati considerati parte delle funzionalità CIEM di Security Command Center.

Cloud Platform Categoria risultati Descrizione Origine
AWS Assumed identity has excessive permissions (ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) Ruoli IAM predefiniti rilevati nel tuo ambiente AWS con criteri molto permissivi. Per ulteriori informazioni, consulta i risultati del CIEM. CIEM
AWS Group has excessive permissions (GROUP_HAS_EXCESSIVE_PERMISSIONS) Gruppi IAM rilevati nel tuo ambiente AWS con criteri molto permissivi. Per ulteriori informazioni, consulta i risultati del CIEM. CIEM
AWS User has excessive permissions (USER_HAS_EXCESSIVE_PERMISSIONS) Utenti IAM rilevati nel tuo ambiente AWS con criteri molto permissivi. Per ulteriori informazioni, consulta i risultati del CIEM. CIEM
AWS User is inactive (INACTIVE_USER) Nel tuo ambiente AWS sono stati rilevati utenti IAM inattivi. Per ulteriori informazioni, consulta i risultati del CIEM. CIEM
AWS Group is inactive (INACTIVE_GROUP) I gruppi IAM rilevati nel tuo ambiente AWS non sono attivi. Per ulteriori informazioni, consulta i risultati del CIEM. CIEM
AWS Assumed identity is inactive (INACTIVE_ASSUMED_IDENTITY) I ruoli IAM assunti rilevati nel tuo ambiente AWS sono inattivi. Per ulteriori informazioni, consulta i risultati del CIEM. CIEM
AWS Overly permissive trust policy enforced on assumed identity (OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) Il criterio attendibilità applicato a un ruolo IAM assunto è molto permissivo. Per ulteriori informazioni, consulta i risultati del CIEM. CIEM
AWS Assumed identity has lateral movement risk (ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) Una o più identità possono spostarsi lateralmente nel tuo ambiente AWS tramite l'usurpazione di identità del ruolo. Per ulteriori informazioni, consulta i risultati del CIEM. CIEM
Google Cloud MFA not enforced (MFA_NOT_ENFORCED) Alcuni utenti non utilizzano la verifica in due passaggi. Per ulteriori informazioni, consulta la sezione Risultati dell'autenticazione a più fattori. Security Health Analytics
Google Cloud Custom role not monitored (CUSTOM_ROLE_NOT_MONITORED) Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche ai ruoli personalizzati. Per ulteriori informazioni, consulta la sezione Monitorare i risultati delle vulnerabilità. Security Health Analytics
Google Cloud KMS role separation (KMS_ROLE_SEPARATION) La separazione dei compiti non è obbligatoria e esiste un utente che dispone contemporaneamente di uno dei seguenti ruoli di Cloud Key Management Service: Autore crittografia/decrittografia CryptoKey, Autore crittografia o Autore decrittografia. Per ulteriori informazioni, consulta i risultati delle vulnerabilità IAM. Security Health Analytics
Google Cloud Primitive roles used (PRIMITIVE_ROLES_USED) Un utente dispone di uno dei seguenti ruoli di base: Proprietario (roles/owner), Editor (roles/editor) o Visualizzatore (roles/viewer). Per ulteriori informazioni, consulta i risultati relativi alle vulnerabilità IAM. Security Health Analytics
Google Cloud Redis role used on org (REDIS_ROLE_USED_ON_ORG) Un ruolo IAM Redis viene assegnato a livello di organizzazione o cartella. Per ulteriori informazioni, consulta i risultati delle vulnerabilità IAM. Security Health Analytics
Google Cloud Service account role separation (SERVICE_ACCOUNT_ROLE_SEPARATION) A un utente sono stati assegnati i ruoli Amministratore account di servizio e Utente account di servizio. Ciò viola il principio di "separazione dei compiti". Per ulteriori informazioni, consulta i risultati delle vulnerabilità IAM. Security Health Analytics
Google Cloud Non org IAM member (NON_ORG_IAM_MEMBER) Un utente non utilizza le credenziali dell'organizzazione. In base a CIS Google Cloud Foundations 1.0, solo le identità con indirizzi email @gmail.com attivano questo rilevatore. Per ulteriori informazioni, consulta i risultati delle vulnerabilità IAM. Security Health Analytics
Google Cloud Open group IAM member (OPEN_GROUP_IAM_MEMBER) Un account Google Gruppi a cui è possibile iscriversi senza approvazione viene utilizzato come entità dei criteri IAM Allow. Per ulteriori informazioni, consulta i risultati delle vulnerabilità IAM. Security Health Analytics
Google Cloud Unused IAM role (UNUSED_IAM_ROLE) Il Recommender IAM ha rilevato un account utente con un ruolo IAM che non è stato utilizzato negli ultimi 90 giorni. Per ulteriori informazioni, consulta i risultati del motore per suggerimenti IAM. Motore per suggerimenti IAM
Google Cloud IAM role has excessive permissions (IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) Il Recommender IAM ha rilevato un account di servizio con uno o più ruoli IAM che concedono autorizzazioni eccessive all'account utente. Per ulteriori informazioni, consulta i risultati del motore per suggerimenti IAM. Motore per suggerimenti IAM
Google Cloud Service agent role replaced with basic role (SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) Il motore per suggerimenti ruolo IAM ha rilevato che il ruolo IAM predefinito originale concesso a un agente di servizio è stato sostituito con uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi agli agenti di servizio. Per ulteriori informazioni, consulta i risultati del motore per suggerimenti IAM. Motore per suggerimenti IAM
Google Cloud Service agent granted basic role (SERVICE_AGENT_GRANTED_BASIC_ROLE) Il motore per suggerimenti IAM ha rilevato che a un agente di servizio è stato concesso uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi agli agenti di servizio. Per ulteriori informazioni, consulta i risultati del motore per suggerimenti IAM. Motore per suggerimenti IAM
Google Cloud Admin service account (ADMIN_SERVICE_ACCOUNT) Un account di servizio ha i privilegi di Amministratore, Proprietario o Editor. Questi ruoli non devono essere assegnati agli account di servizio creati dall'utente. Per ulteriori informazioni, consulta i risultati delle vulnerabilità IAM. Security Health Analytics
Google Cloud Default service account used (DEFAULT_SERVICE_ACCOUNT_USED) Un'istanza è configurata per utilizzare l'account di servizio predefinito. Per ulteriori informazioni, consulta Risultati delle vulnerabilità delle istanze Compute. Security Health Analytics
Google Cloud Over privileged account (OVER_PRIVILEGED_ACCOUNT) Un account di servizio ha accesso a un progetto eccessivamente ampio in un cluster. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container. Security Health Analytics
Google Cloud Over privileged service account user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) Un utente dispone del ruolo Utente account di servizio o Creatore di token account di servizio a livello di progetto anziché per un account di servizio specifico. Per ulteriori informazioni, consulta i risultati delle vulnerabilità IAM. Security Health Analytics
Google Cloud Service account key not rotated (SERVICE_ACCOUNT_KEY_NOT_ROTATED) La chiave di un account di servizio non è stata ruotata da più di 90 giorni. Per ulteriori informazioni, consulta Risultati delle vulnerabilità IAM. Security Health Analytics
Google Cloud Over privileged scopes (OVER_PRIVILEGED_SCOPES) Un account di servizio del nodo ha scopi di accesso molto ampi. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container. Security Health Analytics
Google Cloud KMS public key (KMS_PUBLIC_KEY) Una chiave di crittografia Cloud KMS è accessibile pubblicamente. Per ulteriori informazioni, consulta i risultati delle vulnerabilità di KMS. Security Health Analytics
Google Cloud Public bucket ACL (PUBLIC_BUCKET_ACL) Un bucket Cloud Storage è accessibile pubblicamente. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dello spazio di archiviazione. Security Health Analytics
Google Cloud Public log bucket (PUBLIC_LOG_BUCKET) Un bucket di archiviazione utilizzato come sink di log è accessibile pubblicamente. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dello spazio di archiviazione. Security Health Analytics
Google Cloud User managed service account key (USER_MANAGED_SERVICE_ACCOUNT_KEY) Un utente gestisce una chiave dell'account di servizio. Per ulteriori informazioni, consulta i risultati delle vulnerabilità IAM. Security Health Analytics
Google Cloud Too many KMS users (TOO_MANY_KMS_USERS) Esistono più di tre utenti delle chiavi di crittografia. Per ulteriori informazioni, consulta i risultati delle vulnerabilità di KMS. Security Health Analytics
Google Cloud KMS project has owner (KMS_PROJECT_HAS_OWNER) Un utente ha autorizzazioni di proprietario per un progetto protetto da chiavi di crittografia. Per ulteriori informazioni, consulta i risultati delle vulnerabilità di KMS. Security Health Analytics
Google Cloud Owner not monitored (OWNER_NOT_MONITORED) Le metriche e gli avvisi dei log non sono configurati per monitorare le assegnazioni o le modifiche alla proprietà del progetto. Per ulteriori informazioni, consulta Monitorare i risultati delle vulnerabilità. Security Health Analytics

Filtrare i risultati relativi a identità e accesso in base alla piattaforma cloud

Dal riquadro Risultati della query sui risultati, puoi capire quale risultato si riferisce a una determinata piattaforma cloud esaminando i contenuti delle colonne Provider cloud, Nome visualizzato risorsa o Tipo di risorsa.

Per impostazione predefinita, i risultati della query sui risultati mostrano i risultati relativi a identità e accessi sia per gli ambienti Google Cloud sia per quelli AWS. Per modificare i risultati della query di risultati predefiniti in modo da visualizzare solo i risultati per una determinata piattaforma cloud, seleziona Amazon Web Services o Google Cloud dalla categoria dei filtri rapidi Provider cloud.

Esaminare in dettaglio i risultati relativi a identità e accesso

Per saperne di più su un rilevamento di identità e accesso, apri la visualizzazione dettagliata facendo clic sul nome del rilevamento nella colonna Categoria del riquadro Risultati della query sui rilevamenti. Per ulteriori informazioni sulla visualizzazione dei dettagli del risultato, consulta Visualizzare i dettagli di un risultato.

Le seguenti sezioni della scheda Riepilogo della visualizzazione dei dettagli sono utili per esaminare i risultati relativi a identità e accesso.

Concessioni di accesso illecite

Nella scheda Riepilogo del riquadro dei dettagli di un rilevamento, la riga Concessioni di accesso in violazione consente di ispezionare rapidamente i principali, incluse le identità federate, e il loro accesso alle risorse. Queste informazioni vengono visualizzate solo per i risultati quando il Recommender IAM rileva entità nelle risorse Google Cloud con ruoli di base, molto permissivi e non utilizzati.

Fai clic su Esamina le concessioni di accesso per aprire il riquadro Esamina le concessioni di accesso, che contiene le seguenti informazioni:

  • Il nome del principale. Le entità visualizzate in questa colonna possono essere un insieme di account utente, gruppi, identità federate e service account Google Cloud.
  • Il nome del ruolo concesso all'entità.
  • L'azione consigliata che puoi intraprendere per correggere l'accesso illecito.

Informazioni sulla richiesta

Nella scheda Riepilogo della pagina dei dettagli di un risultato, la sezione Informazioni sulla richiesta viene visualizzata quando esiste una richiesta o un ticket corrispondente a un determinato risultato. Le richieste e i ticket vengono creati automaticamente per i risultati con una classificazione di gravità Critical o High.

La sezione Informazioni sulle richieste consente di monitorare le attività di rimedio per un determinato rilevamento. Fornisce dettagli sulla richiesta corrispondente, ad esempio link a eventuali richieste e ticket del sistema di ticketing corrispondente (Jira o ServiceNow), all'assegnatario, allo stato e alla priorità della richiesta.

  • Per accedere alla richiesta corrispondente al rilievo, fai clic sul numero dell'ID richiesta nella riga Case ID (ID richiesta).

  • Per accedere al ticket Jira o ServiceNow corrispondente al risultato, fai clic sul numero ID ticket nella riga ID ticket.

Per collegare i sistemi di ticketing a Security Command Center Enterprise, consulta Eseguire l'integrazione di Security Command Center Enterprise con i sistemi di ticketing.

Per saperne di più su come esaminare le richieste corrispondenti, consulta Esaminare le richieste relative ai risultati relativi a identità e accesso.

Passaggi successivi

Nella scheda Riepilogo della pagina dei dettagli di un rilevamento, la sezione Passaggi successivi fornisce indicazioni dettagliate su come risolvere immediatamente il problema rilevato. Questi consigli sono personalizzati in base al risultato specifico visualizzato.

Passaggi successivi