Esta página explica como trabalhar com descobertas de problemas de segurança relacionadas à identidade e acesso (descobertas de identidade e acesso) no console do Google Cloud para investigar e identificar possíveis configurações incorretas.
Como parte dos recursos de gerenciamento de direitos de infraestrutura em nuvem (CIEM, na sigla em inglês) oferecidos com o Enterprise o Security Command Center gera descobertas de identidade e acesso e as torna prontamente na página Visão geral de riscos do Security Command Center. Essas descobertas são selecionadas e categorizadas no painel Descobertas de identidade e acesso.
Antes de começar
Conclua as seguintes tarefas antes de continuar:
- Saiba mais sobre os recursos de CIEM do Security Command Center.
- Configure permissões para o CIEM.
- Ative o serviço de detecção de CIEM para a AWS
Confira um resumo das descobertas de identidade e acesso
O painel Descobertas de identidade e acesso no Risco do Security Command Center Visão geral fornece uma visão geral das principais descobertas de identidade e acesso no seus ambientes de nuvem, como o Google Cloud e a Amazon Web Services (AWS). O consiste em uma tabela que organiza as descobertas em três colunas:
- Gravidade: a descoberta
gravidade é um
um indicador geral da importância de corrigir a categoria de descoberta,
que podem ser classificados como
Critical,High,Medium, ouLow. - Categoria de descoberta: o tipo de configuração de identidade e acesso encontrada.
- Total de descobertas: o número total de configurações incorretas de identidade e acesso encontrados em uma categoria em uma determinada classificação de gravidade.
Para navegar pelas descobertas no painel, você pode classificá-las por gravidade, encontrando categoria ou número total de descobertas clicando no respectivo cabeçalho. Você pode modificar também o número de linhas exibidas pelo painel (até 200) e navegar entre as páginas usando as setas de navegação na parte inferior da tabela.
Você pode clicar no título de uma categoria ou no número total de descobertas correspondente para inspecionar descobertas específicas com mais detalhes nas descobertas do Security Command Center. página. Para mais informações, consulte Inspecionar as descobertas de identidade e acesso.
Os componentes a seguir abaixo da tabela de descobertas ajudam contexto às suas descobertas de identidade e acesso:
- O rótulo Origens indica a origem que o Security Command Center está ingerindo. de dados para produzir as descobertas. As descobertas de identidade e acesso podem ser aplicadas para os dois do Google Cloud e da AWS. O Security Command Center exibe apenas os dados de e acessar descobertas da AWS se tiver conectado uma instância da AWS instância e configuradas Ingestão de registros da AWS para CIEM.
- O link Mostrar todas as descobertas de identidade e acesso permite navegar até Página de Descobertas do Security Command Center para conferir todas as identidades e acessos detectados de configuração independentemente da categoria ou gravidade.
- O link Revisar acesso com a ferramenta Análise de políticas políticas dá acesso rápido ferramenta Análise de políticas políticas, que permite ver quem tem acesso ao que com base nas políticas de permissão do IAM.
Exibir descobertas de identidade e acesso na página "Descobertas"
No painel Descobertas de identidade e acesso, há vários pontos de entrada para o Security Command Center Descobertas para inspecionar descobertas de identidade e acesso em detalhes:
- Clique no nome de qualquer descoberta em Categoria da descoberta ou no número total de descobertas. em Total de descobertas para consultar automaticamente essa descoberta específica classificação de gravidade e categoria.
- Clique em Mostrar todas as descobertas de identidade e acesso para consultar todas elas nenhuma ordem específica.
O Security Command Center pré-seleciona certos filtros rápidos que criam uma consulta de descobertas especificamente de acesso a configurações incorretas de identidade e acesso. As opções de filtro rápido mudam com base de consultar uma ou todas as descobertas de identidade e acesso. Você pode editar essas opções as consultas conforme necessário. As categorias e opções específicas de filtro rápido que interessantes para fins do CIEM incluem:
- Categoria: filtros para consultar os resultados de categorias de descoberta específicas sobre os quais você quer saber mais. As opções de filtro rápido listadas mudança de categoria com base na consulta feita a uma ou todas as regras de identidade e descobertas.
- ID do projeto: filtros para consultar os resultados das descobertas relacionadas a um de um projeto específico.
- Resource type: filtros para consultar os resultados relacionados a um um tipo específico de recurso.
- Gravidade: filtros para consultar os resultados das descobertas de um gravidade.
- Nome de exibição da fonte: filtros para consultar os resultados das descobertas detectadas. por um serviço específico que detectou o erro de configuração.
- Provedor de nuvem: filtros para consultar os resultados das descobertas provenientes em uma plataforma de nuvem específica.
O painel Resultados da consulta de descobertas consiste em várias colunas que fornecem detalhes sobre a descoberta. Entre elas, as seguintes colunas são de interesse para Finalidades do CIEM:
- Gravidade: mostra a gravidade de uma determinada descoberta para ajudar você a priorizar e correção de problemas.
- Nome de exibição do recurso: mostra o recurso em que a descoberta foi feita. detectado.
- Nome de exibição da origem: mostra o serviço que detectou a descoberta. As fontes que produzem descobertas relacionadas à identidade incluem CIEM, recomendador do IAM e Análise de integridade da segurança.
- Provedor de nuvem: mostra o ambiente de nuvem em que a descoberta foi como Google Cloud e AWS.
- Concessões de acesso ofensivos: exibe um link para revisar os principais que receberam papéis inadequados em potencial.
- Código do caso: mostra o número do ID do caso relacionado ao descoberta.
Para mais informações sobre como trabalhar com as descobertas, consulte Trabalhar com as descobertas na Console do Google Cloud.
Investigar as descobertas de identidade e acesso para diferentes plataformas de nuvem
O Security Command Center permite investigar configurações incorretas de identidade e acesso descobertas para seus ambientes da AWS e do Google Cloud no Security Command Center Descobertas.
Vários serviços de detecção do Security Command Center, como O CIEM, o recomendador do IAM e a Análise de integridade da segurança geram resultados encontrar categorias que detectam possíveis problemas de segurança de identidade e acesso nas plataformas de nuvem.
O serviço de detecção CIEM do Security Command Center gera descobertas para seu ambiente da AWS, bem como o recomendador do IAM e a Análise de integridade da segurança de detecção geram descobertas específicas para seu ambiente do Google Cloud.
Para acessar apenas as descobertas detectadas por um serviço específico, selecione-o a categoria de filtros rápidos Nome de exibição da origem. Por exemplo, se você quiser visualizar somente as descobertas detectadas pelo serviço de detecção do CIEM, selecione CIEM
A tabela a seguir descreve todas as descobertas que são consideradas parte os recursos de CIEM do Security Command Center.
| Cloud Platform | Categoria da descoberta | Descrição | Origem |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Assumido Papéis do IAM detectados no seu ambiente AWS com alta permissividade políticas. Para mais informações, consulte CIEM descobertas. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Grupos do IAM detectadas no seu ambiente da AWS com políticas altamente permissivas. Para mais mais informações, consulte o CIEM descobertas. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Usuários do IAM detectados no ambiente da AWS com políticas altamente permissivas. Para mais mais informações, consulte o CIEM descobertas. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Há usuários que não usam Verificação em duas etapas. Para mais informações, consulte Configuração multifator descobertas de autenticação. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Registrar métricas e alertas não estão configurados para monitorar alterações de papéis personalizados. Para mais informações, consulte Monitoramento descobertas de vulnerabilidades. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | A separação de tarefas não é aplicada, e há um usuário que tem um dos seguintes serviços do Cloud Key Management Service ao mesmo tempo: criptografador/descriptografador do CryptoKey, Criptografador ou Descriptografador. Para mais , consulte a documentação descobertas de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | O usuário tem uma das
seguintes papéis básicos: Proprietário (roles/owner),
Editor (roles/editor) ou
Leitor (roles/viewer). Para mais informações,
consulte IAM
descobertas de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Um papel do IAM do Redis são atribuídas no nível da organização ou da pasta. Para mais informações, consulte IAM descobertas de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Um usuário foi Administrador da conta de serviço e Administrador de usuário da conta. Isso viola a "Separação de deveres" do princípio de privilégio mínimo. Para mais informações, consulte IAM descobertas de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Há um usuário que não usa credenciais organizacionais. Somente de acordo com o CIS Google Cloud Foundations 1.0, apenas identidades com endereços de e-mail @gmail.com acionam esse detector. Para mais , consulte a documentação descobertas de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Uma conta dos Grupos do Google que podem ser agrupadas sem aprovação é usado como um principal de política de permissão do IAM. Para mais informações, consulte IAM descobertas de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | O recomendador do IAM detectou um usuário com um papel do IAM que não foi usado nos últimos 90 dias. Para mais informações, consulte IAM descobertas do recomendador. | Recomendador IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | Recomendador do IAM detectar uma conta de serviço que tem um ou mais papéis do IAM que dão permissões excessivas à conta de usuário. Para mais informações, consulte IAM descobertas do recomendador. | Recomendador IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
O recomendador do IAM detectou que o papel do IAM padrão original concedido a um agente de serviço foi substituído por um dos papéis básicos do IAM: Proprietário, Editor ou Leitor. Os papéis básicos são legados excessivamente permissivos papéis e não devem ser concedidos a agentes de serviço. Para mais informações, consulte IAM descobertas do recomendador. | Recomendador IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | Recomendador do IAM detectaram que um agente de serviço recebeu um dos papéis básicos do IAM: Proprietário, Editor ou Leitor. Os papéis básicos são legados excessivamente permissivos papéis e não devem ser concedidos a agentes de serviço. Para mais informações, consulte IAM descobertas do recomendador. | Recomendador IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Uma conta de serviço tem Administrador, Proprietário ou Editor para conceder privilégios de acesso. Esses papéis não devem ser atribuídos a funções contas de serviço. Para mais informações, consulte IAM descobertas de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Uma instância é configurada para usar a conta de serviço padrão. Para mais informações, consulte Computação descobertas de vulnerabilidade da instância. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. Para mais informações, consulte Contêiner descobertas de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Um tem as permissões Usuário da conta de serviço ou Usuário de criação de token de conta para envolvidos no projeto, conta de serviço específica. Para mais informações, consulte IAM descobertas de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Uma conta de serviço a chave não foi alterada há mais de 90 dias. Para mais informações, consulte IAM descobertas de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Uma conta de serviço de nó escopos de acesso amplos. Para mais informações, consulte Contêiner descobertas de vulnerabilidades. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Uma chave criptográfica do Cloud KMS acessíveis ao público. Para mais informações, consulte KMS descobertas de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Um bucket do Cloud Storage é acessíveis ao público. Para mais informações, consulte Armazenamento descobertas de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Um bucket de armazenamento usado como registro quando o coletor é acessível ao público. Para mais informações, consulte Armazenamento descobertas de vulnerabilidades. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Um usuário gerencia chave da conta de serviço. Para mais informações, consulte IAM descobertas de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Há mais de três usuários de chaves criptográficas. Para mais informações, consulte KMS descobertas de vulnerabilidades. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Um usuário tem Permissões de proprietário em um projeto com chaves. Para mais informações, consulte KMS descobertas de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | As métricas e os alertas de registro configurado para monitorar atribuições ou alterações de propriedade do projeto. Para mais informações, consulte Monitoramento descobertas de vulnerabilidades. | Security Health Analytics |
Filtrar descobertas de identidade e acesso por plataforma de nuvem
No painel Resultados da consulta de descobertas, é possível saber qual descoberta está relacionada a uma à plataforma de nuvem inspecionando o conteúdo do provedor de nuvem, Colunas Nome de exibição do recurso ou Tipo de recurso.
Os resultados da consulta de descobertas exibem as descobertas de identidade e acesso para do Google Cloud e da AWS por padrão. Para editar a consulta de descoberta padrão resultados para exibir apenas descobertas para uma plataforma de nuvem específica, selecione Amazon Web Services ou Google Cloud Platform no provedor de nuvem "Filtros rápidos".
Inspecione as descobertas de identidade e acesso em detalhes
Para saber mais sobre uma descoberta de identidade e acesso, abra a visualização detalhada de a descoberta clicando no nome dela na coluna Categoria da Painel Resultados da consulta de descobertas. Para mais informações sobre os detalhes da descoberta consulte Visualizar os detalhes de um descoberta.
As seções a seguir da guia Resumo da visualização detalhada são úteis para investigar descobertas de identidade e acesso.
Concessões de acesso ofensivo
Na guia Resumo do painel de detalhes de uma descoberta, a seção Acesso ofensivo Grants é uma maneira de inspecionar rapidamente o Google Cloud e principais de terceiros e o acesso deles aos seus recursos. Essa informação só aparece para descobertas quando o recomendador do IAM detecta principais em Recursos do Google Cloud com papéis altamente permissivos, básicos e não utilizados.
Clique em Analisar atribuições de acesso ofensivo para abrir a página Analisar acesso ofensivo Grants, que contém as seguintes informações:
- O nome do principal. Os principais exibidos nessa coluna podem ser
combinação de contas de usuário do Google Cloud (
user:example-user@example.com), grupos, identidades de outros provedores de identidade (//iam.googleapis.com/locations/global/workforcePools/example-pool/subject/example-user@example.com), e contas de serviço. - O nome do papel concedido ao principal.
- A ação recomendada que você pode realizar para corrigir o acesso ofensivo.
Informações do caso
Na guia Resumo da página de detalhes de uma descoberta, a seção Caso
informações é exibida quando há um caso ou tíquete que
que correspondem a uma descoberta específica. Casos e tíquetes são automaticamente
criado para descobertas com uma classificação de gravidade Critical ou High.
A seção Informações de casos oferece uma maneira de acompanhar os esforços de correção para uma descoberta específica. Ele fornece detalhes sobre o caso correspondente, como links para qualquer caso e sistema de tíquetes correspondentes (Jira ou ServiceNow), o cessionário, o status e a prioridade do caso.
Para acessar o caso correspondente a a descoberta, clique no código do caso na linha Código do caso.
Para acessar o tíquete do Jira ou do ServiceNow que corresponde ao encontrar, clique no número do ID do tíquete na linha ID do tíquete.
Para conectar seus sistemas de tíquetes ao Security Command Center Enterprise, consulte Integrar Security Command Center Enterprise com venda de ingressos e sistemas.
Para mais informações sobre como analisar os casos correspondentes, acesse Revisar identidade e acessar casos de descoberta.
Próximas etapas
Na guia Resumo da página de detalhes de uma descoberta, as Próximas etapas fornece orientações passo a passo sobre como corrigir imediatamente o problema detectado. Essas recomendações são adaptadas à descoberta específica que você visualização.
A seguir
- Saiba como trabalhar com as descobertas.
- Saiba como analisar a identidade e os casos de descoberta de acesso.
- Saiba mais sobre o CIEM detectores que geram descobertas da AWS.