Investigar descobertas de identidade e acesso

Esta página explica como trabalhar com descobertas de problemas de segurança relacionados a identidade e acesso (descobertas de identidade e acesso) no console do Google Cloud para investigar e identificar possíveis configurações incorretas.

Como parte dos recursos de gerenciamento de direitos de acesso à infraestrutura de nuvem (CIEM, na sigla em inglês) oferecidos com o nível Enterprise, o Security Command Center gera descobertas de identidade e acesso e as torna facilmente acessíveis na página Visão geral de riscos do Security Command Center. Essas descobertas são selecionadas e categorizadas no painel Identity and access findings.

Antes de começar

Antes de continuar, verifique se você concluiu as seguintes tarefas:

Acessar um resumo das descobertas de identidade e acesso

O painel Descobertas de identidade e acesso na página Visão geral de risco do Security Command Center fornece uma visão geral das principais descobertas de identidade e acesso em todos os seus ambientes de nuvem, como o Google Cloud e a Amazon Web Services (AWS). O painel consiste em uma tabela que organiza as descobertas em três colunas:

  • Gravidade: a gravidade da descoberta é um indicador geral de quão importante é remediar a categoria de descoberta, que pode ser classificada como Critical, High, Medium ou Low.
  • Categoria da descoberta: o tipo de configuração incorreta de identidade e acesso encontrado.
  • Provedor de nuvem: o ambiente de nuvem em que as configurações incorretas foram encontradas.
  • Descobertas totais: o número total de configurações incorretas de identidade e acesso encontradas em uma categoria em uma determinada classificação de gravidade.

Para navegar pelas descobertas no painel, classifique-as por gravidade, categoria de descoberta ou número total de descobertas clicando no cabeçalho correspondente. Também é possível modificar o número de linhas que o painel exibe (até 200) e navegar entre as páginas usando as setas de navegação na parte de baixo da tabela.

Clique no título de uma categoria ou no número total de descobertas correspondente para inspecionar descobertas específicas com mais detalhes na página Descobertas do Security Command Center. Para mais informações, consulte Inspecionar detalhes das descobertas de identidade e acesso.

Os componentes abaixo da tabela de resultados ajudam a fornecer mais contexto para sua identidade e acessar os resultados:

  • O rótulo Origens indica a origem de onde o Security Command Center está ingerindo dados para produzir as descobertas. As descobertas de identidade e acesso podem ser aplicadas aos ambientes do Google Cloud e da AWS e podem vir de diferentes detectores, como o CIEM, o recomendador do IAM e a Análise de integridade da segurança. O Security Command Center só mostra descobertas de identidade e acesso da AWS se você tiver conectado uma instância da AWS e configurado a transferência de registros da AWS para o CIEM.
  • O link Conferir todas as descobertas de identidade e acesso permite navegar até a página Descobertas do Security Command Center para conferir todas as configurações incorretas de identidade e acesso detectadas, independente da categoria ou gravidade.
  • O link Analisar acesso com a Análise de políticas para o Google Cloud oferece acesso rápido à ferramenta Análise de políticas, que mostra quem tem acesso a quais recursos do Google Cloud com base nas suas políticas de permissão do IAM.

Conferir as descobertas de identidade e acesso na página "Descobertas"

O painel Descobertas de identidade e acesso oferece vários pontos de entrada para a página Descobertas do Security Command Center para inspecionar as descobertas de identidade e acesso em detalhes:

  • Clique em qualquer nome de descoberta em Categoria de descoberta ou no número total de descobertas em Descobertas totais para consultar automaticamente a categoria de descoberta e a classificação de gravidade.
  • Clique em Acessar todas as descobertas de identidade e acesso para consultar todas as descobertas sem ordem específica.

O Security Command Center pré-seleciona alguns filtros rápidos que criam uma consulta de descobertas especificamente para configurações incorretas de identidade e acesso. As opções de filtro rápido mudam de acordo com se você consulta uma ou todas as descobertas de identidade e acesso. É possível editar essas consultas conforme necessário. As categorias e opções de filtro rápido específicas que são de interesse para a CIEM incluem:

  • Categoria: filtros para consultar os resultados de categorias de descobertas específicas sobre as quais você quer saber mais. As opções de filtro rápido listadas nesta categoria mudam de acordo com se você consulta uma ou todas as descobertas de identidade e acesso.
  • ID do projeto: filtros para consultar os resultados de descobertas relacionadas a um projeto específico.
  • Tipo de recurso: filtros para consultar os resultados de descobertas relacionadas a um tipo de recurso específico.
  • Gravidade: filtros para consultar os resultados de descobertas de uma gravidade específica.
  • Nome de exibição da origem: filtra para consultar os resultados de descobertas detectadas por um serviço específico que detectou a configuração incorreta.
  • Provedor de nuvem: filtros para consultar os resultados de descobertas de uma plataforma de nuvem específica.

O painel Resultados da consulta de descobertas consiste em várias colunas que fornecem detalhes sobre a descoberta. Entre elas, as seguintes colunas são de interesse para fins de CIEM:

  • Gravidade: mostra a gravidade de uma determinada descoberta para ajudar a priorizar a correção.
  • Nome de exibição do recurso: mostra o recurso em que a descoberta foi detectada.
  • Nome de exibição da origem: mostra o serviço que detectou a descoberta. As fontes que produzem descobertas relacionadas à identidade incluem o CIEM, o recomendador do IAM e o Security Health Analytics.
  • Provedor de nuvem: mostra o ambiente de nuvem em que a descoberta foi detectada, como o Google Cloud e a AWS.
  • Concessões de acesso inadequado: mostra um link para analisar os principais que foram potencialmente atribuídos a papéis inadequados.
  • ID do caso: mostra o número de ID do caso relacionado à detecção.

Para mais informações sobre como trabalhar com descobertas, consulte Analisar e gerenciar descobertas.

Investigar descobertas de identidade e acesso para diferentes plataformas de nuvem

O Security Command Center permite investigar descobertas de configuração incorreta de identidade e acesso para seus ambientes da AWS e do Google Cloud na página Descobertas do Security Command Center.

Muitos serviços de detecção do Security Command Center, como o CIEM, o recomendador de IAM e o Security Health Analytics, geram categorias de descobertas específicas do CIEM que detectam possíveis problemas de segurança de identidade e acesso para suas plataformas de nuvem.

O serviço de detecção de CIEM do Security Command Center gera descobertas específicas para seu ambiente da AWS, e o serviço de detecção do IAM e do Security Health Analytics geram descobertas específicas para seu ambiente do Google Cloud.

Para ver apenas as descobertas detectadas por um serviço específico, selecione esse serviço na categoria de filtros rápidos Nome de exibição da origem. Por exemplo, se você quiser ver apenas as descobertas detectadas pelo serviço de detecção do CIEM, selecione CIEM.

A tabela a seguir descreve todas as descobertas que são consideradas parte dos recursos de CIEM do Security Command Center.

Cloud Platform Categoria da descoberta Descrição Origem
AWS Assumed identity has excessive permissions (ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) Papéis do IAM presumidos detectados no seu ambiente da AWS com políticas altamente permissivas. Para mais informações, consulte Descobertas do CIEM. CIEM
AWS Group has excessive permissions (GROUP_HAS_EXCESSIVE_PERMISSIONS) Grupos do IAM detectados no seu ambiente da AWS com políticas altamente permissivas. Para mais informações, consulte Descobertas do CIEM. CIEM
AWS User has excessive permissions (USER_HAS_EXCESSIVE_PERMISSIONS) Usuários do IAM detectados no seu ambiente da AWS com políticas altamente permissivas. Para mais informações, consulte Descobertas do CIEM. CIEM
AWS User is inactive (INACTIVE_USER) Usuários inativos do IAM são detectados no seu ambiente da AWS. Para mais informações, consulte Descobertas do CIEM. CIEM
AWS Group is inactive (INACTIVE_GROUP) Os grupos do IAM detectados no seu ambiente da AWS não estão ativos. Para mais informações, consulte Descobertas do CIEM. CIEM
AWS Assumed identity is inactive (INACTIVE_ASSUMED_IDENTITY) Os papéis do IAM presumidos detectados no seu ambiente da AWS estão inativos. Para mais informações, consulte Descobertas do CIEM. CIEM
AWS Overly permissive trust policy enforced on assumed identity (OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) A política de confiança aplicada a um papel do IAM assumido é altamente permissiva. Para mais informações, consulte Descobertas do CIEM. CIEM
AWS Assumed identity has lateral movement risk (ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) Uma ou mais identidades podem se mover lateralmente no seu ambiente da AWS por meio da falsificação de identidade de função. Para mais informações, consulte Descobertas do CIEM. CIEM
Google Cloud MFA not enforced (MFA_NOT_ENFORCED) Há usuários que não estão usando a verificação em duas etapas. Para mais informações, consulte Descobertas da autenticação multifator. Security Health Analytics
Google Cloud Custom role not monitored (CUSTOM_ROLE_NOT_MONITORED) As métricas e os alertas de registro não estão configurados para monitorar alterações de função personalizada. Para mais informações, consulte Monitoramento de descobertas de vulnerabilidade. Security Health Analytics
Google Cloud KMS role separation (KMS_ROLE_SEPARATION) A separação de tarefas não é aplicada e existe um usuário que tem um dos seguintes papéis do Cloud Key Management Service ao mesmo tempo: Criptografador/Descriptografador de CryptoKey, Criptografador ou Descriptografador. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. Security Health Analytics
Google Cloud Primitive roles used (PRIMITIVE_ROLES_USED) Um usuário tem um dos seguintes papéis básicos: Proprietário (roles/owner), Editor (roles/editor) ou Leitor (roles/viewer). Para mais informações, consulte Descobertas de vulnerabilidade do IAM. Security Health Analytics
Google Cloud Redis role used on org (REDIS_ROLE_USED_ON_ORG) Um papel do Redis IAM é atribuído no nível da organização ou da pasta. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. Security Health Analytics
Google Cloud Service account role separation (SERVICE_ACCOUNT_ROLE_SEPARATION) Um usuário recebeu os papéis de Administrador da conta de serviço e Usuário da conta de serviço. Isso viola o princípio de "Separação de tarefas". Para mais informações, consulte Descobertas de vulnerabilidade do IAM. Security Health Analytics
Google Cloud Non org IAM member (NON_ORG_IAM_MEMBER) Há um usuário que não está usando credenciais organizacionais. De acordo com o CIS Google Cloud Foundations 1.0, apenas identidades com endereços de e-mail @gmail.com acionam esse detector. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. Security Health Analytics
Google Cloud Open group IAM member (OPEN_GROUP_IAM_MEMBER) Uma conta dos Grupos do Google que pode ser mesclada sem aprovação é usada como principal da política de permissão do IAM. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. Security Health Analytics
Google Cloud Unused IAM role (UNUSED_IAM_ROLE) O recomendador do IAM detectou uma conta de usuário que tem um papel do IAM que não foi usado nos últimos 90 dias. Para mais informações, consulte as conclusões do recomendador do IAM. Recomendador IAM
Google Cloud IAM role has excessive permissions (IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) O recomendador do IAM detectou uma conta de serviço que tem um ou mais papéis do IAM com permissões excessivas para a conta de usuário. Para mais informações, consulte as conclusões do recomendador do IAM. Recomendador IAM
Google Cloud Service agent role replaced with basic role (SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) O recomendador do IAM detectou que o papel do IAM padrão original concedido a um agente de serviço foi substituído por um dos papéis básicos do IAM: Proprietário, Editor ou Leitor. Os papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço. Para mais informações, consulte as conclusões do recomendador do IAM. Recomendador IAM
Google Cloud Service agent granted basic role (SERVICE_AGENT_GRANTED_BASIC_ROLE) O recomendador do IAM detectou que um agente de serviço recebeu um dos papéis básicos do IAM: Proprietário, Editor ou Leitor. Os papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço. Para mais informações, consulte as conclusões do recomendador do IAM. Recomendador IAM
Google Cloud Admin service account (ADMIN_SERVICE_ACCOUNT) Uma conta de serviço tem Administrador, Proprietário ou Editor privilégios. Esses papéis não devem ser atribuídos a contas de serviço criadas pelo usuário. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. Security Health Analytics
Google Cloud Default service account used (DEFAULT_SERVICE_ACCOUNT_USED) Uma instância está configurada para usar a conta de serviço padrão. Para mais informações, consulte Descobertas de vulnerabilidade da instância do Compute. Security Health Analytics
Google Cloud Over privileged account (OVER_PRIVILEGED_ACCOUNT) Uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. Para mais informações, consulte Descobertas de vulnerabilidades de contêineres. Security Health Analytics
Google Cloud Over privileged service account user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) Um usuário tem o papel Usuário da conta de serviço ou Criador de token da conta de serviço no nível do projeto, em vez de para uma conta de serviço específica. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. Security Health Analytics
Google Cloud Service account key not rotated (SERVICE_ACCOUNT_KEY_NOT_ROTATED) Uma chave da conta de serviço não foi alternada por mais de 90 dias. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. Security Health Analytics
Google Cloud Over privileged scopes (OVER_PRIVILEGED_SCOPES) Uma conta de serviço de nó tem escopos de acesso amplos. Para mais informações, consulte Descobertas de vulnerabilidades de contêineres. Security Health Analytics
Google Cloud KMS public key (KMS_PUBLIC_KEY) Uma chave criptográfica do Cloud KMS é acessível publicamente. Para mais informações, consulte Descobertas de vulnerabilidades do KMS. Security Health Analytics
Google Cloud Public bucket ACL (PUBLIC_BUCKET_ACL) Um bucket do Cloud Storage é acessível publicamente. Para mais informações, consulte Descobertas de vulnerabilidade do armazenamento. Security Health Analytics
Google Cloud Public log bucket (PUBLIC_LOG_BUCKET) Um bucket de armazenamento usado como coletor de registros é acessível publicamente. Para mais informações, consulte Descobertas de vulnerabilidade do armazenamento. Security Health Analytics
Google Cloud User managed service account key (USER_MANAGED_SERVICE_ACCOUNT_KEY) Um usuário gerencia uma chave de conta de serviço. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. Security Health Analytics
Google Cloud Too many KMS users (TOO_MANY_KMS_USERS) Há mais de três usuários de chaves criptográficas. Para mais informações, consulte Descobertas de vulnerabilidades do KMS. Security Health Analytics
Google Cloud KMS project has owner (KMS_PROJECT_HAS_OWNER) Um usuário tem permissões de proprietário em um projeto que tem chaves criptográficas. Para mais informações, consulte Descobertas de vulnerabilidades do KMS. Security Health Analytics
Google Cloud Owner not monitored (OWNER_NOT_MONITORED) As métricas e os alertas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto. Para mais informações, consulte Monitoramento de descobertas de vulnerabilidade. Security Health Analytics

Filtrar descobertas de identidade e acesso por plataforma de nuvem

No painel Findings query results, é possível identificar qual descoberta está relacionada a uma determinada plataforma de nuvem inspecionando o conteúdo das colunas Cloud provider, Resource display name ou Resource type.

A página Finding query results mostra a identidade e os resultados de acesso para os ambientes do Google Cloud e da AWS por padrão. Para editar os resultados padrão da consulta de descobertas e mostrar apenas os resultados de uma plataforma de nuvem específica, selecione Amazon Web Services ou Google Cloud Platform na categoria de filtros rápidos Provedor de nuvem.

Inspecionar as descobertas de identidade e acesso em detalhes

Para saber mais sobre uma descoberta de identidade e acesso, abra a visualização detalhada dela clicando no nome da descoberta na coluna Categoria do painel Resultados da consulta de descobertas. Para mais informações sobre a visualização de detalhes da descoberta, consulte Conferir os detalhes de uma descoberta.

As seções a seguir na guia Resumo da visualização detalhada são úteis para investigar descobertas de identidade e acesso.

Concessões de acesso ofensivo

Na guia Resumo do painel de detalhes de uma descoberta, a linha Offensive access grants oferece uma maneira de inspecionar rapidamente os principais, incluindo identidades federadas e o acesso delas aos seus recursos. Essas informações só aparecem para as descobertas quando o recomendador do IAM detecta princípios nos recursos do Google Cloud com papéis altamente permissivos, básicos e não usados.

Clique em Analisar concessões de acesso ofensivo para abrir o painel Analisar concessões de acesso ofensivo, que contém as seguintes informações:

  • O nome do diretor. Os diretores exibidos nesta coluna podem ser uma combinação de contas de usuário, grupos, identidades federadas e contas de serviço do Google Cloud.
  • O nome da função concedida ao diretor.
  • A ação recomendada para corrigir o acesso indevido.

Informações do caso

Na guia Resumo da página de detalhes de uma descoberta, a seção Informações do caso aparece quando há um caso ou tíquete que corresponde a uma descoberta específica. Casos e tickets são criados automaticamente para descobertas com uma classificação de gravidade Critical ou High.

A seção Informações dos casos oferece uma maneira de acompanhar os esforços de correção de uma descoberta específica. Ele fornece detalhes sobre o caso correspondente, como links para qualquer caso correspondente e sistema de emissão de tíquetes (Jira ou ServiceNow), o atribuído, o status do caso e a prioridade do caso.

  • Para acessar o caso correspondente à encontrabilidade, clique no número do ID do caso na linha ID do caso.

  • Para acessar o tíquete do Jira ou do ServiceNow correspondente à detecção, clique no número de ID do tíquete na linha ID do tíquete.

Para conectar seus sistemas de tíquetes ao Security Command Center Enterprise, consulte Integrar o Security Command Center Enterprise a sistemas de tíquetes.

Para mais informações sobre como analisar os casos correspondentes, consulte Analisar casos de descoberta de identidade e acesso.

Próximas etapas

Na guia Resumo da página de detalhes de uma descoberta, a seção Próximas etapas fornece orientações detalhadas sobre como corrigir imediatamente o problema detectado. Essas recomendações são adaptadas para a descoberta específica que você está visualizando.

A seguir