En esta página, se explica cómo trabajar con los resultados de los problemas de seguridad relacionados con la identidad y el acceso (resultados de identidad y acceso) en la consola de Google Cloud para investigar y detectar posibles parámetros de configuración incorrectos.
Como parte de las funciones de administración de derechos de infraestructura de nube (CIEM) que se ofrecen con el nivel empresarial, Security Command Center genera hallazgos de identidad y acceso, y permite acceder a ellos fácilmente en la página Resumen de riesgos de Security Command Center. Estos hallazgos se seleccionan y clasifican en el panel Hallazgos sobre identidad y acceso.
Antes de comenzar
Antes de continuar, asegúrate de haber completado las siguientes tareas:
- Obtén información sobre las funciones de CIEM de Security Command Center.
- Configura los permisos de CIEM.
- Habilita el servicio de detección de CIEM para AWS.
Consulta un resumen de los hallazgos de identidad y acceso
El panel Resultados de identidad y acceso de la página Resumen de riesgos de Security Command Center proporciona una descripción general de alto nivel de los principales resultados de identidad y acceso en tus entornos de nube, como Google Cloud y Amazon Web Services (AWS). El panel consiste en una tabla que organiza los resultados en tres columnas:
- Gravedad: La gravedad del resultado es un indicador general de la importancia de corregir la categoría del resultado, que se puede clasificar como
Critical,High,MediumoLow. - Categoría de hallazgo: Es el tipo de error de configuración de identidad y acceso que se encontró.
- Proveedor de servicios en la nube: Es el entorno de nube en el que se encontraron los parámetros de configuración incorrectos.
- Total de hallazgos: Es la cantidad total de parámetros de configuración incorrectos de identidad y acceso que se encontraron en una categoría con una clasificación de gravedad determinada.
Para navegar por los resultados en el panel, puedes ordenarlos por gravedad, categoría de resultado o cantidad de resultados totales haciendo clic en el encabezado correspondiente. También puedes modificar la cantidad de filas que muestra el panel (hasta 200) y navegar entre páginas con las flechas de navegación que se encuentran en la parte inferior de la tabla.
Puedes hacer clic en el título de una categoría o en el número total de resultados correspondiente para inspeccionar resultados específicos con más detalle en la página Resultados de Security Command Center. Para obtener más información, consulta Cómo inspeccionar los resultados de identidad y acceso en detalle.
Los siguientes componentes debajo de la tabla de resultados ayudan a proporcionar contexto adicional a tus resultados de identidad y acceso:
- La etiqueta Fuentes indica la fuente de la que Security Command Center transfiere datos para generar los resultados. Los resultados de identidad y acceso se pueden aplicar a los entornos de Google Cloud y AWS, y pueden provenir de diferentes detectores, como CIEM, el recomendador de IAM y Security Health Analytics. Security Command Center solo muestra los resultados de identidad y acceso de AWS si conectaste una instancia de AWS y configuraste la transferencia de registros de AWS para CIEM.
- El vínculo Ver todos los resultados de identidad y acceso te permite navegar a la página Resultados de Security Command Center para ver todas las configuraciones incorrectas de identidad y acceso detectadas, independientemente de la categoría o la gravedad.
- El vínculo Revisar los accesos con el Analizador de políticas para Google Cloud proporciona acceso rápido a la herramienta Policy Analyzer, que te permite ver quién tiene acceso a qué recursos de Google Cloud en función de tus políticas de permisos de IAM.
Cómo ver los hallazgos de identidad y acceso en la página Hallazgos
El panel Resultados de identidad y acceso ofrece varios puntos de entrada a la página Resultados de Security Command Center para inspeccionar los resultados de identidad y acceso en detalle:
- Haz clic en cualquier nombre de resultado en Categoría de resultado o en su cantidad de resultados totales en Resultados totales para consultar automáticamente esa categoría de resultado y la calificación de gravedad en particular.
- Haz clic en Ver todos los hallazgos de identidades y accesos para consultar todos los hallazgos sin ningún orden en particular.
Security Command Center preselecciona ciertos filtros rápidos que crean una consulta de resultados específica para errores de configuración de identidad y acceso. Las opciones de filtro rápido cambian según si consultas uno o todos los resultados de identidad y acceso. Puedes editar estas consultas según sea necesario. Entre las categorías y opciones de filtros rápidos que son de interés para los fines de la CIEM, se incluyen las siguientes:
- Categoría: Filtros para consultar los resultados de categorías de búsqueda específicas sobre las que deseas obtener más información. Las opciones de filtro rápido que se enumeran en esta categoría cambian según si consultas uno o todos los resultados de identidad y acceso.
- ID del proyecto: Filtros para consultar los resultados en busca de hallazgos que se relacionen con un proyecto específico.
- Tipo de recurso: Filtros para consultar los resultados en busca de hallazgos que se relacionen con un tipo de recurso específico.
- Gravedad: Filtros para consultar los resultados en busca de hallazgos de una gravedad específica.
- Nombre visible de la fuente: Filtra para consultar los resultados de los resultados detectados por un servicio específico que detectó la configuración incorrecta.
- Proveedor de servicios en la nube: Filtra los resultados para buscar hallazgos que provienen de una plataforma de nube específica.
El panel Resultados de la búsqueda consta de varias columnas que proporcionan detalles sobre el hallazgo. Entre ellas, las siguientes columnas son de interés para los fines de la CIEM:
- Gravedad: Muestra la gravedad de un hallazgo determinado para ayudarte a priorizar la solución.
- Nombre visible del recurso: Muestra el recurso en el que se detectó el hallazgo.
- Nombre visible de la fuente: Muestra el servicio que detectó el resultado. Entre las fuentes que producen resultados relacionados con la identidad, se incluyen CIEM, el recomendador de IAM y las estadísticas del estado de seguridad.
- Proveedor de servicios en la nube: Muestra el entorno de nube en el que se detectó el hallazgo, como Google Cloud y AWS.
- Otorgamientos de acceso infractores: Muestra un vínculo para revisar las principales a las que se les otorgaron roles inapropiados.
- ID del caso: Muestra el número de ID del caso relacionado con el hallazgo.
Para obtener más información sobre cómo trabajar con los resultados, consulta Cómo revisar y administrar los resultados.
Investiga los hallazgos de identidad y acceso de diferentes plataformas en la nube
Security Command Center te permite investigar los resultados de configuración incorrecta de identidad y acceso de tus entornos de AWS y Google Cloud en la página Resultados de Security Command Center.
Muchos servicios de detección de Security Command Center, como Security Health Analytics, el recomendador de IAM y el CIEM, generan categorías de resultados específicos del CIEM que detectan posibles problemas de seguridad de identidad y acceso para tus plataformas en la nube.
El servicio de detección de CIEM de Security Command Center genera resultados específicos para tu entorno de AWS, y el recomendador de IAM y los servicios de detección de Security Health Analytics generan resultados específicos para tu entorno de Google Cloud.
Para ver solo los resultados detectados por un servicio específico, selecciónalo en la categoría de filtros rápidos Nombre visible de la fuente. Por ejemplo, si deseas ver solo los resultados detectados por el servicio de detección de CIEM, selecciona CIEM.
En la siguiente tabla, se describen todos los hallazgos que se consideran parte de las funciones de CIEM de Security Command Center.
| Cloud Platform | Categoría | Descripción | Fuente |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Roles de IAM asumidos detectados en tu entorno de AWS con políticas muy permisivas Para obtener más información, consulta los resultados de CIEM. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Grupos de IAM detectados en tu entorno de AWS con políticas muy permisivas Para obtener más información, consulta los resultados de CIEM. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Se detectaron usuarios de IAM en tu entorno de AWS con políticas muy permisivas. Para obtener más información, consulta los resultados de CIEM. | CIEM |
| AWS | User is inactive
(INACTIVE_USER) | Se detectan usuarios de IAM inactivos en tu entorno de AWS. Para obtener más información, consulta los resultados de CIEM. | CIEM |
| AWS | Group is inactive
(INACTIVE_GROUP) | Los grupos de IAM detectados en tu entorno de AWS no están activos. Para obtener más información, consulta los resultados de CIEM. | CIEM |
| AWS | Assumed identity is inactive
(INACTIVE_ASSUMED_IDENTITY) | Los roles de IAM asumidos detectados en tu entorno de AWS están inactivos. Para obtener más información, consulta los resultados de CIEM. | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity
(OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | La política de confianza que se aplica a un rol de IAM asumido es muy permisiva. Para obtener más información, consulta los resultados de CIEM. | CIEM |
| AWS | Assumed identity has lateral movement risk
(ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | Una o más identidades pueden moverse lateralmente en tu entorno de AWS a través de la suplantación de identidad de roles. Para obtener más información, consulta los resultados de CIEM. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Hay usuarios que no usan la verificación en 2 pasos. Para obtener más información, consulta Resultados de la autenticación de varios factores. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Las métricas y las alertas de registro no están configuradas para supervisar los cambios de roles personalizados. Para obtener más información, consulta Supervisa los hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | No se aplica la separación de obligaciones, y existe un usuario que tiene cualquiera de los siguientes roles de Cloud Key Management Service al mismo tiempo: Encriptador/desencriptador de CryptoKey, Encriptador o Desencriptador. Para obtener más información, consulta los resultados de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Un usuario tiene uno de los siguientes roles básicos: Propietario (roles/owner), Editor (roles/editor) o Visualizador (roles/viewer). Para obtener más información, consulta los resultados de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Una función de IAM de Redis se asigna a nivel de organización o carpeta. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Se asignó a un usuario los roles de administrador de cuentas de servicio y usuario de cuentas de servicio. Esto infringe el principio de “Separación de obligaciones”. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Hay un usuario que no usa credenciales de organización. Según CIS para Google Cloud Foundations 1.0, solo las identidades con direcciones de correo electrónico @gmail.com activan este detector. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Se usa una cuenta de Grupos de Google a la que se puede unirse sin aprobación como principal de la política de permisos de IAM. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | El recomendador de IAM detectó una cuenta de usuario que tiene un rol de IAM que no se usó en los últimos 90 días. Para obtener más información, consulta los resultados del recomendador de IAM. | Recomendador de IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | El recomendador de IAM detectó una cuenta de servicio que tiene uno o más roles de IAM que otorgan permisos excesivos a la cuenta de usuario. Para obtener más información, consulta los resultados del recomendador de IAM. | Recomendador de IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
El recomendador de IAM detectó que el rol de IAM predeterminado original otorgado a un agente de servicio se reemplazó por uno de los roles de IAM básicos: propietario, editor o visualizador. Los roles básicos son roles heredados demasiado permisivos y no se deben otorgar a los agentes de servicio. Para obtener más información, consulta los resultados del recomendador de IAM. | Recomendador de IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | El recomendador de IAM detectó que a un agente de servicio se le otorgó uno de los roles básicos de IAM: Propietario, Editor o Visualizador. Los roles básicos son roles heredados demasiado permisivos y no se deben otorgar a los agentes de servicio. Para obtener más información, consulta los resultados del recomendador de IAM. | Recomendador de IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Una cuenta de servicio tiene privilegios de administrador, propietario o editor. Estas funciones no se deben asignar a las cuentas de servicio creadas por el usuario. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Una instancia está configurada para usar la cuenta de servicio predeterminada. Para obtener más información, consulta Resultados de las vulnerabilidades de las instancias de Compute. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Una cuenta de servicio tiene acceso a proyectos demasiado amplio en un clúster. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Un usuario tiene el rol de Usuario de cuenta de servicio o Creador de tokens de cuenta de servicio a nivel del proyecto, en lugar de una cuenta de servicio específica. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | La clave de una cuenta de servicio no se rota durante más de 90 días. Para obtener más información, consulta los resultados de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Una cuenta de servicio de nodo tiene permisos de acceso amplios. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Se puede acceder a una clave criptográfica de Cloud KMS de forma pública. Para obtener más información, consulta Hallazgos de vulnerabilidades de KMS. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Un bucket de Cloud Storage es de acceso público. Para obtener más información, consulta Resultados de vulnerabilidades de almacenamiento. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Un bucket de almacenamiento que se usa como receptor de registros es de acceso público. Para obtener más información, consulta Resultados de vulnerabilidades de almacenamiento. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Un usuario administra una clave de cuenta de servicio. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Hay más de tres usuarios de claves criptográficas. Para obtener más información, consulta Hallazgos de vulnerabilidades de KMS. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Un usuario tiene permisos de Propietario en un proyecto que tiene claves criptográficas. Para obtener más información, consulta Hallazgos de vulnerabilidades de KMS. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Las métricas y las alertas de registros no están configuradas para supervisar los cambios o las asignaciones de propiedad del proyecto. Para obtener más información, consulta Supervisa los hallazgos de vulnerabilidades. | Security Health Analytics |
Filtra los hallazgos de identidad y acceso por plataforma en la nube
En el panel Resultados de la búsqueda de resultados, puedes saber qué resultado se relaciona con una plataforma de nube determinada inspeccionando el contenido de las columnas Proveedor de nube, Nombre visible del recurso o Tipo de recurso.
En Finding query results, se muestran los resultados de identidad y acceso de los entornos de Google Cloud y AWS de forma predeterminada. Para editar los resultados de la búsqueda de hallazgos predeterminados y mostrar solo los hallazgos de una plataforma de nube en particular, selecciona Amazon Web Services o Google Cloud Platform en la categoría de filtros rápidos Proveedor de servicios en la nube.
Inspecciona los hallazgos de identidad y acceso en detalle
Para obtener más información sobre un resultado de identidad y acceso, abre la vista detallada del resultado haciendo clic en su nombre en la columna Categoría del panel Resultados de la consulta de resultados. Para obtener más información sobre la vista de detalles de los hallazgos, consulta Cómo ver los detalles de un hallazgo.
Las siguientes secciones de la pestaña Resumen de la vista de detalles son útiles para investigar los resultados de identidad y acceso.
Otorgamientos de acceso infractores
En la pestaña Resumen del panel de detalles de un hallazgo, la fila Concesiones de acceso ofensivas proporciona una forma de inspeccionar rápidamente los principales, incluidas las identidades federadas, y su acceso a tus recursos. Esta información solo aparece para los resultados cuando el recomendador de IAM detecta principales en recursos de Google Cloud con roles muy permisivos, básicos y sin usar.
Haz clic en Revisar los otorgamientos de acceso infractores para abrir el panel Revisar los otorgamientos de acceso infractores, que contiene la siguiente información:
- Es el nombre del director. Los principales que se muestran en esta columna pueden ser una combinación de cuentas de usuario, grupos, identidades federadas y cuentas de servicio de Google Cloud.
- Es el nombre del rol otorgado al principal.
- La acción recomendada que puedes realizar para corregir el acceso infractor
Información del caso
En la pestaña Resumen de la página de detalles de un hallazgo, la sección Información del caso se muestra cuando hay un caso o ticket que corresponde a un hallazgo en particular. Los casos y los tickets se crean automáticamente para los hallazgos con una clasificación de gravedad Critical o High.
La sección Información de casos proporciona una forma de hacer un seguimiento de los esfuerzos de remediación de un hallazgo en particular. Proporciona detalles sobre el caso correspondiente, como vínculos a cualquier caso y ticket del sistema de tickets (Jira o ServiceNow) correspondiente, el asignado, el estado del caso y la prioridad del caso.
Para acceder al caso correspondiente al hallazgo, haz clic en el número de ID del caso en la fila Case ID.
Para acceder al ticket de Jira o ServiceNow correspondiente al hallazgo, haz clic en el número de ID del ticket en la fila ID del ticket.
Para conectar tus sistemas de tickets con Security Command Center Enterprise, consulta Cómo integrar Security Command Center Enterprise con sistemas de tickets.
Para obtener más información sobre cómo revisar los casos correspondientes, consulta Cómo revisar los casos de búsqueda de identidad y acceso.
Próximos pasos
En la pestaña Resumen de la página de detalles de un hallazgo, la sección Próximos pasos proporciona orientación paso a paso para corregir de inmediato el problema detectado. Estas recomendaciones se adaptan al hallazgo específico que estás viendo.
¿Qué sigue?
- Obtén información para revisar y administrar los resultados.
- Obtén información para revisar casos de búsqueda de identidad y acceso.
- Obtén información sobre los detectores de CIEM que generan resultados de AWS.