Auf dieser Seite wird erläutert, wie Sie mit Ergebnissen für Sicherheitsprobleme arbeiten, die im Zusammenhang mit Identität und Zugriff (Ergebnisse zu Identität und Zugriff) in der Google Cloud Console, um potenzielle Fehlkonfigurationen zu untersuchen und zu identifizieren
Im Rahmen der Cloud Infrastructure Entitlement Management (CIEM)-Funktionen von Enterprise generiert Security Command Center Informationen zu Identität und Zugriff auf der Security Command Center-Seite Risikoübersicht. Diese Ergebnisse sind im Bereich Identität und Zugriff Ergebnisse ausgewählt und kategorisiert.
Hinweise
Führen Sie die folgenden Schritte aus, bevor Sie fortfahren:
- Weitere Informationen zu den CIEM-Funktionen von Security Command Center
- Berechtigungen für CIEM einrichten
- Aktivieren Sie den CIEM-Erkennungsdienst für AWS.
Zusammenfassung der Ergebnisse zu Identität und Zugriff ansehen
Der Bereich Ergebnisse zu Identität und Zugriff im Security Command Center Risiko Übersicht einen Überblick über die wichtigsten Ergebnisse zu Identität und Zugriff Ihre Cloud-Umgebungen wie Google Cloud und Amazon Web Services (AWS) nutzen. Die Der Bereich besteht aus einer Tabelle, in der die Ergebnisse in drei Spalten angeordnet sind:
- Schweregrad: Die Ergebnis
Schweregrad ist ein
ein allgemeiner Indikator dafür, wie wichtig es ist,
die Ergebniskategorie zu korrigieren,
die als
Critical,High,Medium, oderLow. - Ergebniskategorie: Die Art der gefundenen Identität und der fehlerhaften Zugriffskonfiguration.
- Ergebnisse insgesamt: Die Gesamtzahl der Fehlkonfigurationen zur Identitäts- und Zugriffssteuerung in einer Kategorie mit einer bestimmten Schweregradklassifizierung gefunden werden.
Um die Ergebnisse im Bereich zu navigieren, können Sie sie nach Schweregrad sortieren, Kategorie oder die Gesamtzahl der Ergebnisse, indem Sie auf die entsprechende Überschrift klicken. Sie können ändern Sie auch die Anzahl der im Bereich angezeigten Zeilen (bis zu 200) und navigieren Sie zwischen den Seiten mithilfe der Navigationspfeile unten in der Tabelle.
Sie können auf einen Kategorietitel oder die entsprechende Anzahl bestimmte Ergebnisse in den Ergebnissen von Security Command Center genauer prüfen Seite. Weitere Informationen finden Sie unter Identität und Zugriff auf Ergebnisse im Detail prüfen.
Die folgenden Komponenten unter der Ergebnistabelle tragen dazu bei, Kontext zu Ihrer Identität und den Ergebnissen für den Zugriff:
- Das Label Quellen gibt die Quelle an, die Security Command Center aufnimmt aus denen die Daten stammen. Die Ergebnisse zu Identität und Zugriff können angewendet werden für beide Google Cloud- und AWS-Umgebungen. Security Command Center zeigt nur Identität an und Zugriff Ergebnisse für AWS, wenn Sie ein AWS verbunden haben Instanz und konfiguriert AWS-Logaufnahme für CIEM
- Über den Link Alle Ergebnisse zu Identität und Zugriff ansehen können Sie zum Security Command Center-Seite Ergebnisse, um die gesamte erkannte Identität und den gesamten Zugriff anzusehen Fehlkonfigurationen und zwar unabhängig von Kategorie oder Schweregrad.
- Über den Link Zugriff mit Policy Analyzer prüfen können Sie schnell auf das Policy Analyzer, mit dem Sie sehen können, wer auf was zugreifen kann basierend auf Ihren IAM-Zulassungsrichtlinien.
Identität und Zugriff auf Ergebnisse auf der Seite „Ergebnisse“ ansehen
Der Bereich Identität und Zugriff Ergebnisse bietet mehrere Einstiegspunkte für die Security Command Center Ergebnisse Seite zur Überprüfung der Identität und zum Zugriff auf Ergebnisse im Detail:
- Klicken Sie unter Ergebniskategorie auf einen beliebigen Ergebnisnamen oder auf die Gesamtzahl der Ergebnisse. unter Ergebnisse insgesamt, um automatisch für dieses bestimmte Ergebnis abzufragen Kategorie und Schweregradbewertung.
- Klicken Sie auf Alle Ergebnisse zu Identität und Zugriff ansehen, um alle Ergebnisse in abzufragen. keine bestimmte Reihenfolge.
Security Command Center wählt bestimmte Schnellfilter vorab aus, die eine Ergebnisabfrage erstellen insbesondere auf Fehlkonfigurationen zur Identitäts- und Zugriffssteuerung. Die Schnellfilteroptionen ändern sich je nach ob Sie ein oder alle Ergebnisse zu Identität und Zugriff abfragen. Sie können diese bearbeiten Abfragen nach Bedarf. Die jeweiligen Schnellfilterkategorien und -optionen, sind für CIEM-Zwecke von Interesse:
- Kategorie: Filter zum Abfragen der Ergebnisse für bestimmte Ergebniskategorien über die Sie mehr erfahren möchten. Die hier aufgeführten Schnellfilteroptionen Änderung der Kategorie abhängig davon, ob Sie eine oder alle Identitäten und Zugriffsrechte abfragen Ergebnisse.
- Projekt-ID: Filter zum Abfragen der Ergebnisse für Ergebnisse, die sich auf eine für ein bestimmtes Projekt erstellen.
- Ressourcentyp: Filter zum Abfragen der Ergebnisse für Ergebnisse, die sich auf eine Ressourcentyp.
- Schweregrad: Filter, mit denen die Ergebnisse nach Ergebnissen einer bestimmten Schweregrad.
- Anzeigename der Quelle: Filter zum Abfragen der Ergebnisse nach erkannten Ergebnissen der die fehlerhafte Konfiguration erkannt hat.
- Cloud-Anbieter: Filter zum Abfragen der Ergebnisse für Ergebnisse aus auf einer bestimmten Cloud-Plattform.
Der Bereich Ergebnisse der Ergebnisabfrage besteht aus mehreren Spalten, die Details zum Ergebnis. Unter anderem sind die folgenden Spalten von Interesse für CIEM-Zwecke:
- Schweregrad: Zeigt den Schweregrad eines bestimmten Ergebnisses an, um Ihnen bei der Priorisierung zu helfen. und Abhilfe schaffen.
- Anzeigename der Ressource: Zeigt die Ressource an, in der das Ergebnis gefunden wurde. erkannt.
- Anzeigename der Quelle: Zeigt den Dienst an, der das Ergebnis erkannt hat. Quellen, die identitätsbezogene Ergebnisse liefern, sind CIEM, IAM-Recommender und Security Health Analytics.
- Cloud-Anbieter: Zeigt die Cloud-Umgebung an, in der das Ergebnis aufgetreten ist. wie Google Cloud und AWS.
- Verstörende Zugriffserteilungen: Hier wird ein Link angezeigt, über den Sie die Hauptkonten prüfen können, die wurden möglicherweise unangemessene Rollen gewährt.
- Case ID (Fall-ID): Hier wird die ID des Falls für den Fall angezeigt, zu finden.
Weitere Informationen zum Arbeiten mit Ergebnissen finden Sie unter Mit Ergebnissen arbeiten in der Google Cloud Console
Ergebnisse zu Identität und Zugriff für verschiedene Cloud-Plattformen untersuchen
Mit Security Command Center können Sie Fehlkonfigurationen zur Identität und zum Zugriff untersuchen Ergebnisse für Ihre AWS- und Google Cloud-Umgebungen im Security Command Center Seite Ergebnisse:
Viele verschiedene Security Command Center-Erkennungsdienste wie CIEM, IAM Recommender und Security Health Analytics, generieren CIEM-spezifische Kategorien finden, die potenzielle Identitäts- und Zugriffsprobleme für für Ihre Cloud-Plattformen.
Der CIEM-Erkennungsdienst von Security Command Center generiert spezifische Ergebnisse für Ihre AWS-Umgebung, den IAM-Recommender und Security Health Analytics Erkennungsdienste generieren spezifische Ergebnisse für Ihre Google Cloud-Umgebung.
Wenn Sie nur Ergebnisse ansehen möchten, die von einem bestimmten Dienst erkannt wurden, wählen Sie diesen Dienst aus die Schnellfilterkategorie Anzeigename der Quelle. Wenn Sie zum Beispiel Nur vom CIEM-Erkennungsdienst erkannte Ergebnisse ansehen, auswählen CIEM:
In der folgenden Tabelle werden alle Ergebnisse beschrieben, die als Teil des CIEM-Funktionen von Security Command Center.
| Cloud Platform | Ergebniskategorie | Beschreibung | Quelle |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Ausgehend In Ihrer AWS-Umgebung erkannte IAM-Rollen mit stark Berechtigungen Richtlinien. Weitere Informationen finden Sie unter CIEM. Ergebnisse. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | IAM-Gruppen in Ihrer AWS-Umgebung mit sehr moderaten Richtlinien erkannt wurden. Weitere Informationen erhalten Sie unter CIEM Ergebnisse. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | IAM-Nutzer erkannt in Ihrer AWS-Umgebung mit sehr moderaten Richtlinien. Weitere Informationen erhalten Sie unter CIEM Ergebnisse. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Es gibt Nutzende, die nicht 2‐Faktor-Authentifizierung. Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung Authentifizierungsergebnisse. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Messwerte und Benachrichtigungen protokollieren nicht zur Überwachung von Änderungen an benutzerdefinierten Rollen konfiguriert sind. Weitere Informationen Siehe Monitoring Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | Die Aufgabentrennung ist nicht erzwungen und es gibt einen Nutzer, der einen der folgenden Cloud Key Management Service hat Rollen gleichzeitig: CryptoKey Encrypter/Decrypter, Encrypter oder Decrypter verwendet wird. Weitere Informationen erhalten Sie unter IAM Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Ein Nutzer hat eine der
folgenden einfachen Rollen: Inhaber (roles/owner),
Bearbeiter (roles/editor) oder
Betrachter (roles/viewer) Weitere Informationen
Siehe IAM
Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Eine Redis-IAM-Rolle ist die auf Organisations- oder Ordnerebene zugewiesen wurden. Weitere Informationen finden Sie unter IAM Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Ein Nutzer wurde Service Account Admin und Service Account Admin Kontonutzer. Dies verstößt gegen die „Aufgabentrennung“ Prinzip. Weitere Informationen finden Sie unter IAM Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Es gibt einen Nutzer, der Anmeldedaten Ihrer Organisation. Nur gemäß CIS Google Cloud Foundations 1.0 Identitäten mit @gmail.com-E-Mail-Adressen lösen diesen Detektor aus. Weitere Informationen erhalten Sie unter IAM Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Ein Google Groups-Konto, das kann ohne Genehmigung zusammengeführt werden, wird als Hauptkonto für IAM-Zulassungsrichtlinien verwendet. Weitere Informationen finden Sie unter IAM Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | IAM-Recommender hat einen Nutzer erkannt Konto mit einer IAM-Rolle, die in den letzten 90 Tagen nicht verwendet wurde. Weitere Informationen finden Sie unter IAM Recommender-Ergebnisse. | IAM Recommender |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | IAM-Recommender ein Dienstkonto mit einer oder mehreren IAM-Rollen erkannt hat, zu viele Berechtigungen für das Nutzerkonto. Weitere Informationen finden Sie unter IAM Recommender-Ergebnisse. | IAM Recommender |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
Der IAM-Recommender hat erkannt, dass die ursprüngliche IAM-Standardrolle Ein Dienst-Agent wurde durch eine der einfachen IAM-Rollen ersetzt: Owner, Editor oder Betrachter: Einfache Rollen sind veraltet mit zu moderaten Berechtigungen Rollen und sollte Dienst-Agents nicht gewährt werden. Weitere Informationen siehe IAM Recommender-Ergebnisse. | IAM Recommender |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | IAM-Recommender hat IAM erkannt, dass einem Dienst-Agent eine der einfachen IAM-Rollen gewährt wurde: Owner, Editor oder Betrachter: Einfache Rollen sind veraltet mit zu moderaten Berechtigungen Rollen und sollte Dienst-Agents nicht gewährt werden. Weitere Informationen siehe IAM Recommender-Ergebnisse. | IAM Recommender |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Ein Dienstkonto hat Administrator, Inhaber oder Bearbeiter Berechtigungen. Diese Rollen sollten nicht einem von Nutzern erstellten Dienst zugewiesen werden Konten. Weitere Informationen finden Sie unter IAM Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Eine Instanz ist das Standarddienstkonto verwendet. Weitere Informationen finden Sie unter Computing Ergebnisse zu Sicherheitslücken von Instanzen. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Ein Dienstkonto hat Projektzugriff in einem Cluster zu erweitern. Weitere Informationen finden Sie unter Container- Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | A Nutzer hat die Rolle Service Account User oder Service Kontotoken-Ersteller nicht auf Projektebene, für ein bestimmtes Dienstkonto. Weitere Informationen finden Sie unter IAM Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Ein Dienstkonto Schlüssel seit mehr als 90 Tagen nicht rotiert wurde. Weitere Informationen finden Sie unter IAM Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Ein Knotendienstkonto hat umfassenden Zugriffsbereichen. Weitere Informationen finden Sie unter Container- Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Ein kryptografischer Cloud KMS-Schlüssel öffentlich zugänglich sind. Weitere Informationen finden Sie unter KMS“. Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Ein Cloud Storage-Bucket ist öffentlich zugänglich sind. Weitere Informationen finden Sie unter Speicher Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Einen als Log verwendeten Storage-Bucket Senke öffentlich zugänglich ist. Weitere Informationen finden Sie unter Speicher Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Ein Nutzer verwaltet ein Dienstkontoschlüssel. Weitere Informationen finden Sie unter IAM Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Es gibt mehr als drei Nutzer von kryptografischen Schlüsseln. Weitere Informationen finden Sie unter KMS“. Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Ein Nutzer hat Inhaberberechtigungen für ein Projekt mit kryptografischen Elementen Schlüssel. Weitere Informationen finden Sie unter KMS“. Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Logmesswerte und -benachrichtigungen konfiguriert wurden, um Zuweisungen oder Änderungen der Projektinhaberschaft zu überwachen. Weitere Informationen Informationen hierzu finden Sie unter Monitoring Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
Ergebnisse zu Identität und Zugriff nach Cloud-Plattform filtern
Im Bereich Ergebnisse der Ergebnisabfrage können Sie sehen, welches Ergebnis sich auf ein Cloud-Plattform durch Überprüfen der Inhalte des Cloud-Anbieters, Anzeigename der Ressource oder Ressourcentyp.
Unter Abfrageergebnisse finden werden die Identität und der Zugriff auf Ergebnisse für beide angezeigt. Google Cloud- und AWS-Umgebungen standardmäßig. So bearbeiten Sie die Standardergebnisabfrage: um nur Ergebnisse für eine bestimmte Cloud-Plattform anzuzeigen, wählen Sie Amazon Web Services oder die Google Cloud Platform vom Cloud-Anbieter „Schnellfilter“.
Identität und Zugriff auf Ergebnisse im Detail prüfen
Weitere Informationen zu einem Identitäts- und Zugriffsergebnis finden Sie in der Detailansicht von Ergebnis, indem Sie auf den Namen des Ergebnisses in der Spalte Category (Kategorie) im Bereich Ergebnisse der Ergebnisabfrage: Weitere Informationen zu den Ergebnisdetails finden Sie unter Details zu einem Ergebnis.
Die folgenden Abschnitte auf dem Tab Zusammenfassung der Detailansicht sind hilfreich für Identitäts- und Zugriffserkenntnisse untersuchen.
Verstoßende Zugriffserteilungen
Auf dem Tab Zusammenfassung des Detailbereichs eines Ergebnisses Zugriffsverletzung grants können Sie auf eine schnelle Prüfung von Google Cloud und Hauptkonten von Drittanbietern und deren Zugriff auf Ihre Ressourcen. Diese Informationen wird nur für Ergebnisse angezeigt, wenn der IAM-Recommender Hauptkonten auf Google Cloud-Ressourcen mit stark moderaten, einfachen und nicht verwendeten Rollen
Klicken Sie auf Zugriffserteilungen überprüfen, die einen Verstoß darstellen, um die Seite Zugriffserteilungen überprüfen, die einen Verstoß darstellen. Erteilungen mit den folgenden Informationen:
- Der Name des Hauptkontos. Die in dieser Spalte angezeigten Hauptkonten können ein
Kombination aus Google Cloud-Nutzerkonten (
user:example-user@example.com), Gruppen, Identitäten von anderen Identitätsanbietern (//iam.googleapis.com/locations/global/workforcePools/example-pool/subject/example-user@example.com), und Dienstkonten. - Der Name der Rolle, die dem Hauptkonto gewährt wurde.
- Die empfohlene Maßnahme, um die Zugriffsrechte zu beheben.
Informationen zum Fall
Auf dem Tab Zusammenfassung der Detailseite eines Ergebnisses Fall
wird angezeigt, wenn es einen Fall oder ein Ticket gibt,
zu einem bestimmten Ergebnis passen. Fälle und Tickets werden automatisch
erstellt für Ergebnisse mit der Schweregradklassifizierung Critical oder High.
Im Abschnitt Informationen zu Fällen können Sie die für ein bestimmtes Ergebnis. Sie enthält Details zu den zum entsprechenden Fall, z. B. Links zu entsprechenden Fällen und Ticketsystemen (Jira oder ServiceNow) und die zuständige Person, Fallstatus und Fallpriorität.
Um auf den Fall zuzugreifen, der das Ergebnis angezeigt wird, klicken Sie in der Zeile Case ID auf die Fall-ID.
Um auf das Jira- oder ServiceNow-Ticket für die entsprechende Klicken Sie in der Zeile Ticket ID auf die Ticket-ID.
Informationen zum Verbinden Ihrer Ticketsysteme mit Security Command Center Enterprise finden Sie unter Integration von Security Command Center Enterprise mit Ticketfunktionen .
Weitere Informationen zum Überprüfen entsprechender Fälle finden Sie unter Identität überprüfen und Auf Supportanfragen zugreifen
Nächste Schritte
Auf der Detailseite eines Ergebnisses auf dem Tab Zusammenfassung finden Sie unter Nächste Schritte eine detaillierte Anleitung zur sofortigen Fehlerbehebung. erkannt. Diese Empfehlungen sind auf das jeweilige Ergebnis zugeschnitten. ansehen.
Nächste Schritte
- Mit Ergebnissen arbeiten
- Weitere Informationen zum Prüfen von Supportanfragen zu Identität und Zugriff
- Weitere Informationen zum CIEM detektoren die AWS-Ergebnisse generieren.