Ergebnisse zu Identität und Zugriff untersuchen

Auf dieser Seite wird erläutert, wie Sie in der Google Cloud Console mit Ergebnissen zu Sicherheitsproblemen im Zusammenhang mit Identität und Zugriff (Ergebnisse zu Identität und Zugriff) arbeiten, um potenzielle Fehlkonfigurationen zu untersuchen und zu identifizieren.

Im Rahmen der Cloud Infrastructure Entitlement Management (CIEM)-Funktionen von Enterprise generiert Security Command Center Informationen zu Identität und Zugriff auf der Security Command Center-Seite Risikoübersicht. Diese Ergebnisse werden im Bereich Ergebnisse zu Identität und Zugriff zusammengestellt und kategorisiert.

Hinweis

Führen Sie die folgenden Aufgaben aus, bevor Sie fortfahren:

Zusammenfassung der Ergebnisse zu Identität und Zugriff ansehen

Der Bereich Ergebnisse zu Identität und Zugriff in Security Command Center Risikoübersicht einen Überblick über die wichtigsten Ergebnisse zu Identität und Zugriff Ihre Cloud-Umgebungen wie Google Cloud und Amazon Web Services (AWS) nutzen. Die Der Bereich besteht aus einer Tabelle, in der die Ergebnisse in drei Spalten angeordnet sind:

  • Schweregrad: Der Schweregrad des Ergebnisses ein allgemeiner Indikator dafür, wie wichtig es ist, die Ergebniskategorie zu korrigieren, die als Critical, High, Medium, oder Low.
  • Ergebniskategorie: Die Art der gefundenen Fehlkonfiguration zur Identitäts- und Zugriffssteuerung.
  • Cloud-Anbieter: Die Cloud-Umgebung, in der die Fehlkonfigurationen aufgetreten sind gefunden.
  • Ergebnisse insgesamt: Die Gesamtzahl der Fehlkonfigurationen zur Identitäts- und Zugriffssteuerung in einer Kategorie mit einer bestimmten Schweregradklassifizierung gefunden werden.

Sie können die Ergebnisse im Bereich nach Schweregrad, Ergebniskategorie oder Anzahl der Ergebnisse insgesamt sortieren, indem Sie auf die entsprechende Überschrift klicken. Sie können ändern Sie auch die Anzahl der im Bereich angezeigten Zeilen (bis zu 200) und navigieren Sie zwischen den Seiten mithilfe der Navigationspfeile unten in der Tabelle.

Sie können auf einen Kategorietitel oder die entsprechende Anzahl bestimmte Ergebnisse in den Ergebnissen von Security Command Center genauer prüfen Seite. Weitere Informationen finden Sie unter Identität und Zugriff auf Ergebnisse im Detail prüfen

Die folgenden Komponenten unter der Ergebnistabelle tragen dazu bei, Kontext zu Ihrer Identität und den Ergebnissen für den Zugriff:

  • Das Label Quellen gibt an, aus welcher Quelle Security Command Center Daten für die Ergebnisse aufnimmt. Die Ergebnisse zu Identität und Zugriff können sowohl für Google Cloud- als auch für AWS-Umgebungen gelten. Security Command Center zeigt nur Identität an und Zugriff Ergebnisse für AWS, wenn Sie ein AWS verbunden haben Instanz und konfiguriert AWS-Logaufnahme für CIEM.
  • Über den Link Alle Ergebnisse zu Identität und Zugriff ansehen gelangen Sie zur Seite Ergebnisse im Security Command Center. Dort werden alle erkannten Fehlkonfigurationen von Identität und Zugriff unabhängig von Kategorie oder Schweregrad angezeigt.
  • Link Zugriff mit Policy Analyzer für Google Cloud prüfen bietet schnellen Zugriff auf die Policy Analyzer Tool, mit dem Sie sehen können, wer Zugriff auf welche Google Cloud-Ressourcen hat basierend auf Ihren IAM-Zulassungsrichtlinien.

Ergebnisse zu Identität und Zugriff auf der Seite „Ergebnisse“ ansehen

Der Bereich Identität und Zugriff Ergebnisse bietet mehrere Einstiegspunkte für die Security Command Center Ergebnisse Seite zur Überprüfung der Identität und zum Zugriff auf Ergebnisse im Detail:

  • Klicken Sie unter Ergebniskategorie auf einen beliebigen Ergebnisnamen oder auf die Gesamtzahl der Ergebnisse. unter Ergebnisse insgesamt, um automatisch für dieses bestimmte Ergebnis abzufragen Kategorie und Schweregradbewertung.
  • Klicken Sie auf Alle Ergebnisse zu Identität und Zugriff ansehen, um alle Ergebnisse in beliebiger Reihenfolge abzufragen.

Security Command Center wählt bestimmte Schnellfilter vorab aus, die eine Ergebnisabfrage erstellen insbesondere auf Fehlkonfigurationen zur Identitäts- und Zugriffssteuerung. Die Schnellfilteroptionen ändern sich je nach ob Sie ein oder alle Ergebnisse zu Identität und Zugriff abfragen. Sie können diese Abfragen bei Bedarf bearbeiten. Zu den Kategorien und Optionen für Schnellfilter, die für CIEM-Zwecke von Interesse sind, gehören:

  • Kategorie: Mit diesen Filtern können Sie die Ergebnisse nach bestimmten Ergebniskategorien abfragen, über die Sie mehr erfahren möchten. Die hier aufgeführten Schnellfilteroptionen Änderung der Kategorie abhängig davon, ob Sie eine oder alle Identitäten und Zugriffsrechte abfragen Ergebnisse.
  • Projekt-ID: Filter zum Abfragen der Ergebnisse für Ergebnisse, die sich auf eine für ein bestimmtes Projekt erstellen.
  • Ressourcentyp: Mit diesen Filtern können Sie die Ergebnisse nach Ergebnissen für einen bestimmten Ressourcentyp abfragen.
  • Schweregrad: Filter, mit denen die Ergebnisse nach Ergebnissen einer bestimmten Schweregrad.
  • Anzeigename der Quelle: Mit diesen Filtern können Sie die Ergebnisse nach Ergebnissen abfragen, die von einem bestimmten Dienst erkannt wurden, der die Fehlkonfiguration erkannt hat.
  • Cloud-Anbieter: Filter, mit denen die Ergebnisse nach Ergebnissen aus einer bestimmten Cloud-Plattform abgefragt werden.

Der Bereich Ergebnisse der Ergebnisabfrage besteht aus mehreren Spalten, die Details zum Ergebnis. Unter anderem sind die folgenden Spalten von Interesse für CIEM-Zwecke:

  • Schweregrad: Zeigt den Schweregrad eines bestimmten Ergebnisses an, um Ihnen bei der Priorisierung zu helfen. und Abhilfe schaffen.
  • Anzeigename der Ressource: Zeigt die Ressource an, in der das Ergebnis gefunden wurde. erkannt.
  • Anzeigename der Quelle: Der Dienst, über den der Fehler erkannt wurde. Quellen, die identitätsbezogene Ergebnisse liefern, sind CIEM, IAM-Recommender und Security Health Analytics.
  • Cloud-Anbieter: Die Cloud-Umgebung, in der der Fehler erkannt wurde, z. B. Google Cloud und AWS.
  • Verstörende Zugriffserteilungen: Hier wird ein Link angezeigt, über den Sie die Hauptkonten prüfen können, die wurden möglicherweise unangemessene Rollen gewährt.
  • Fall-ID: Die ID des Falls, der mit dem Ergebnis in Verbindung steht.

Weitere Informationen zum Arbeiten mit Ergebnissen finden Sie unter Ergebnisse prüfen und verwalten

Ergebnisse zu Identität und Zugriff für verschiedene Cloud-Plattformen untersuchen

Mit Security Command Center können Sie Fehlkonfigurationen zur Identität und zum Zugriff untersuchen Ergebnisse für Ihre AWS- und Google Cloud-Umgebungen auf der Security Command Center-Seite Ergebnisse.

Viele verschiedene Security Command Center-Erkennungsdienste wie CIEM, IAM Recommender und Security Health Analytics generieren CIEM-spezifische Ergebniskategorien, mit denen potenzielle Probleme mit der Identitäts- und Zugriffssicherheit für Ihre Cloud-Plattformen erkannt werden.

Der CIEM-Erkennungsdienst von Security Command Center generiert spezifische Ergebnisse für Ihre AWS-Umgebung. Der IAM-Erkennungsdienst und die Erkennungsdienste von Security Health Analytics generieren spezifische Ergebnisse für Ihre Google Cloud-Umgebung.

Wenn Sie nur Ergebnisse sehen möchten, die von einem bestimmten Dienst erkannt wurden, wählen Sie diesen Dienst aus der Kategorie Anzeigename der Quelle aus. Wenn Sie beispielsweise nur Ergebnisse sehen möchten, die vom CIEM-Erkennungsdienst erkannt wurden, wählen Sie CIEM aus.

In der folgenden Tabelle werden alle Ergebnisse beschrieben, die als Teil des CIEM-Funktionen von Security Command Center.

Cloud Platform Ergebniskategorie Beschreibung Quelle
AWS Assumed identity has excessive permissions (ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) In Ihrer AWS-Umgebung erkannte IAM-Rollen mit sehr permissiven Richtlinien. Weitere Informationen finden Sie unter CIEM. Ergebnisse. CIEM
AWS Group has excessive permissions (GROUP_HAS_EXCESSIVE_PERMISSIONS) IAM-Gruppen in Ihrer AWS-Umgebung mit sehr moderaten Richtlinien erkannt wurden. Weitere Informationen erhalten Sie unter CIEM Ergebnisse. CIEM
AWS User has excessive permissions (USER_HAS_EXCESSIVE_PERMISSIONS) IAM-Nutzer erkannt in Ihrer AWS-Umgebung mit sehr moderaten Richtlinien. Weitere Informationen finden Sie unter CIEM-Ergebnisse. CIEM
Google Cloud MFA not enforced (MFA_NOT_ENFORCED) Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden. Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung Authentifizierungsergebnisse. Security Health Analytics
Google Cloud Custom role not monitored (CUSTOM_ROLE_NOT_MONITORED) Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an benutzerdefinierten Rollen konfiguriert. Weitere Informationen finden Sie unter Ergebnisse zur Überwachung von Sicherheitslücken. Security Health Analytics
Google Cloud KMS role separation (KMS_ROLE_SEPARATION) Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Cloud Key Management Service-Rollen hat: CryptoKey-Verschlüsseler/Entschlüsseler, Verschlüsseler oder Entschlüsseler. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in IAM-Richtlinien. Security Health Analytics
Google Cloud Primitive roles used (PRIMITIVE_ROLES_USED) Ein Nutzer hat eine der folgenden einfachen Rollen: Inhaber (roles/owner), Bearbeiter (roles/editor) oder Betrachter (roles/viewer) Weitere Informationen Siehe IAM Ergebnisse zu Sicherheitslücken. Security Health Analytics
Google Cloud Redis role used on org (REDIS_ROLE_USED_ON_ORG) Eine Redis-IAM-Rolle wird auf Organisations- oder Ordnerebene zugewiesen. Weitere Informationen finden Sie unter IAM Ergebnisse zu Sicherheitslücken. Security Health Analytics
Google Cloud Service account role separation (SERVICE_ACCOUNT_ROLE_SEPARATION) Ein Nutzer wurde Service Account Admin und Service Account Admin Kontonutzer. Dies verstößt gegen die „Aufgabentrennung“ Prinzip. Weitere Informationen finden Sie unter IAM Ergebnisse zu Sicherheitslücken. Security Health Analytics
Google Cloud Non org IAM member (NON_ORG_IAM_MEMBER) Es gibt einen Nutzer, der Anmeldedaten Ihrer Organisation. Gemäß CIS Google Cloud Foundations 1.0 lösen nur Identitäten mit @gmail.com-E-Mail-Adressen diesen Detektor aus. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in IAM-Richtlinien. Security Health Analytics
Google Cloud Open group IAM member (OPEN_GROUP_IAM_MEMBER) Ein Google Groups-Konto, das kann ohne Genehmigung zusammengeführt werden, wird als Hauptkonto für IAM-Zulassungsrichtlinien verwendet. Weitere Informationen finden Sie unter IAM Ergebnisse zu Sicherheitslücken. Security Health Analytics
Google Cloud Unused IAM role (UNUSED_IAM_ROLE) IAM-Recommender hat einen Nutzer erkannt Konto mit einer IAM-Rolle, die in den letzten 90 Tagen nicht verwendet wurde. Weitere Informationen finden Sie unter IAM Recommender-Ergebnisse. IAM Recommender
Google Cloud IAM role has excessive permissions (IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) Der IAM-Empfehlungsmechanismus hat ein Dienstkonto mit einer oder mehreren IAM-Rollen erkannt, die dem Nutzerkonto zu viele Berechtigungen gewähren. Weitere Informationen finden Sie unter Ergebnisse des IAM-Recommenders. IAM Recommender
Google Cloud Service agent role replaced with basic role (SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) Der IAM-Recommender hat erkannt, dass die ursprüngliche IAM-Standardrolle Ein Dienst-Agent wurde durch eine der einfachen IAM-Rollen ersetzt: Owner, Editor oder Betrachter: Einfache Rollen sind zu weit gefasste alte Rollen und sollten Dienst-Agents nicht gewährt werden. Weitere Informationen siehe IAM Recommender-Ergebnisse. IAM Recommender
Google Cloud Service agent granted basic role (SERVICE_AGENT_GRANTED_BASIC_ROLE) IAM-Recommender hat IAM erkannt, dass einem Dienst-Agent eine der einfachen IAM-Rollen gewährt wurde: Owner, Editor oder Betrachter: Einfache Rollen sind veraltet mit zu moderaten Berechtigungen Rollen und sollte Dienst-Agents nicht gewährt werden. Weitere Informationen finden Sie unter Ergebnisse des IAM-Recommenders. IAM Recommender
Google Cloud Admin service account (ADMIN_SERVICE_ACCOUNT) Ein Dienstkonto hat Administrator, Inhaber oder Bearbeiter Berechtigungen. Diese Rollen sollten nicht von Nutzern erstellten Dienstkonten zugewiesen werden. Weitere Informationen finden Sie unter IAM Ergebnisse zu Sicherheitslücken. Security Health Analytics
Google Cloud Default service account used (DEFAULT_SERVICE_ACCOUNT_USED) Eine Instanz ist für die Verwendung des Standarddienstkontos konfiguriert. Weitere Informationen finden Sie unter Computing Ergebnisse zu Sicherheitslücken von Instanzen. Security Health Analytics
Google Cloud Over privileged account (OVER_PRIVILEGED_ACCOUNT) Ein Dienstkonto hat Projektzugriff in einem Cluster zu erweitern. Weitere Informationen finden Sie unter Container- Ergebnisse zu Sicherheitslücken. Security Health Analytics
Google Cloud Over privileged service account user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) A Nutzer hat die Rolle Service Account User oder Service Kontotoken-Ersteller nicht auf Projektebene, für ein bestimmtes Dienstkonto. Weitere Informationen finden Sie unter IAM Ergebnisse zu Sicherheitslücken. Security Health Analytics
Google Cloud Service account key not rotated (SERVICE_ACCOUNT_KEY_NOT_ROTATED) Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in IAM. Security Health Analytics
Google Cloud Over privileged scopes (OVER_PRIVILEGED_SCOPES) Ein Knotendienstkonto hat umfassenden Zugriffsbereichen. Weitere Informationen finden Sie unter Container- Ergebnisse zu Sicherheitslücken. Security Health Analytics
Google Cloud KMS public key (KMS_PUBLIC_KEY) Ein kryptografischer Cloud KMS-Schlüssel öffentlich zugänglich sind. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Cloud KMS. Security Health Analytics
Google Cloud Public bucket ACL (PUBLIC_BUCKET_ACL) Ein Cloud Storage-Bucket ist öffentlich zugänglich sind. Weitere Informationen finden Sie unter Speicher Ergebnisse zu Sicherheitslücken. Security Health Analytics
Google Cloud Public log bucket (PUBLIC_LOG_BUCKET) Einen als Log verwendeten Storage-Bucket Senke öffentlich zugänglich ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken im Speicher. Security Health Analytics
Google Cloud User managed service account key (USER_MANAGED_SERVICE_ACCOUNT_KEY) Ein Nutzer verwaltet einen Dienstkontoschlüssel. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in IAM-Richtlinien. Security Health Analytics
Google Cloud Too many KMS users (TOO_MANY_KMS_USERS) Es gibt mehr als drei Nutzer kryptografischer Schlüssel. Weitere Informationen finden Sie unter KMS“. Ergebnisse zu Sicherheitslücken. Security Health Analytics
Google Cloud KMS project has owner (KMS_PROJECT_HAS_OWNER) Ein Nutzer hat Inhaber-Berechtigungen für ein Projekt mit kryptografischen Schlüsseln. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Cloud KMS. Security Health Analytics
Google Cloud Owner not monitored (OWNER_NOT_MONITORED) Logmesswerte und -benachrichtigungen konfiguriert, um Zuweisungen oder Änderungen der Projektinhaberschaft zu überwachen. Weitere Informationen Informationen hierzu finden Sie unter Monitoring Ergebnisse zu Sicherheitslücken. Security Health Analytics

Ergebnisse zu Identität und Zugriff nach Cloud-Plattform filtern

Im Bereich Ergebnisse der Ergebnisabfrage können Sie sehen, welches Ergebnis sich auf ein Cloud-Plattform durch Überprüfen der Inhalte des Cloud-Anbieters, Anzeigename der Ressource oder Ressourcentyp.

In den Suchergebnissen werden standardmäßig Ergebnisse zu Identitäten und Zugriffen sowohl für Google Cloud- als auch für AWS-Umgebungen angezeigt. So bearbeiten Sie das Standardergebnis: Abfrageergebnisse, um nur Ergebnisse für eine bestimmte Cloud-Plattform anzuzeigen, wählen Sie Amazon Web Services oder die Google Cloud Platform vom Cloud-Anbieter „Schnellfilter“.

Ergebnisse zu Identität und Zugriff im Detail prüfen

Weitere Informationen zu einem Identitäts- und Zugriffsergebnis finden Sie in der Detailansicht von Ergebnis hinzufügen. Klicken Sie dazu in der Spalte Category (Kategorie) auf den Namen des Ergebnisses Bereich Ergebnisse der Ergebnisabfrage: Weitere Informationen zur Detailansicht von Ergebnissen finden Sie unter Details zu einem Ergebnis ansehen.

Die folgenden Abschnitte auf dem Tab Zusammenfassung der Detailansicht sind hilfreich für Identitäts- und Zugriffserkenntnisse untersuchen.

Verstoßende Zugriffserteilungen

Auf dem Tab Zusammenfassung des Detailbereichs eines Ergebnisses Zugriffsverletzung Erteilungen können Sie schnell Hauptkonten prüfen, einschließlich föderierter Identitäten und deren Zugriff auf Ihre Ressourcen. Diese Informationen werden nur für Ergebnisse angezeigt, wenn der IAM-Recommender Berechtigungsinhaber auf Google Cloud-Ressourcen mit sehr permissiven, einfachen und nicht verwendeten Rollen erkennt.

Klicken Sie auf Verstoßende Zugriffserteilungen überprüfen, um den Bereich Verstoßende Zugriffserteilungen überprüfen zu öffnen. Er enthält die folgenden Informationen:

  • Der Name des Schulleiters. Die in dieser Spalte angezeigten Hauptkonten können Google Cloud-Nutzerkonten, Gruppen, föderierte Identitäten und Dienstkonten sein.
  • Der Name der Rolle, die dem Hauptkonto gewährt wurde.
  • Die empfohlene Maßnahme, die Sie ergreifen können, um den nicht berechtigten Zugriff zu beheben.

Informationen zum Fall

Auf dem Tab Zusammenfassung der Detailseite eines Ergebnisses Fall wird angezeigt, wenn es einen Fall oder ein Ticket gibt, zu einem bestimmten Ergebnis passen. Fälle und Tickets werden automatisch erstellt für Ergebnisse mit der Schweregradklassifizierung Critical oder High.

Im Abschnitt Informationen zu Fällen können Sie die für ein bestimmtes Ergebnis. Sie enthält Details zu den zum entsprechenden Fall, z. B. Links zu entsprechenden Fällen und Ticketsystemen (Jira oder ServiceNow) und die zuständige Person, Fallstatus und Fallpriorität.

  • Wenn Sie auf den Fall zugreifen möchten, der der Feststellung entspricht, klicken Sie in der Zeile Case ID (Fall-ID) auf die Fall-ID.

  • Wenn Sie auf das Jira- oder ServiceNow-Ticket zugreifen möchten, das dem Ergebnis entspricht, klicken Sie in der Zeile Ticket-ID auf die Ticket-ID.

Informationen zum Verbinden Ihrer Ticketsysteme mit Security Command Center Enterprise finden Sie unter Integration von Security Command Center Enterprise mit Ticketfunktionen .

Weitere Informationen zum Prüfen entsprechender Fälle finden Sie unter Fälle mit Identitäts- und Zugriffsbefunden überprüfen.

Nächste Schritte

Auf dem Tab Zusammenfassung der Detailseite eines Ergebnisses finden Sie im Abschnitt Nächste Schritte eine detaillierte Anleitung, wie Sie das erkannte Problem sofort beheben können. Diese Empfehlungen sind auf das spezifische Ergebnis zugeschnitten, das Sie finden. ansehen.

Nächste Schritte