Cette page explique comment traiter les problèmes de sécurité à l'identité et aux accès (résultats sur l'identité et les accès) dans le console Google Cloud pour examiner et identifier d'éventuelles erreurs de configuration.
Dans le cadre des fonctionnalités de gestion des droits d'accès à l'infrastructure cloud (CIEM) proposées avec le forfait Enterprise Security Command Center génère des résultats liés à l'identité et aux accès, accessible sur la page Présentation des risques de Security Command Center. Ces résultats sont organisées et classées dans le volet Résultats concernant l'identité et les accès.
Avant de commencer
Assurez-vous d'avoir effectué les tâches suivantes avant de continuer:
- Découvrez les fonctionnalités CIEM de Security Command Center.
- Configurez les autorisations pour CIEM.
- Activez le service de détection CIEM pour AWS.
Afficher un résumé des résultats concernant l'identité et les accès
Le volet Résultats liés à l'identité et aux accès de la page Risque Présentation offre une vue d'ensemble des principales données sur l'identité et les accès vos environnements cloud, comme Google Cloud et Amazon Web Services (AWS). La se compose d'une table qui organise les résultats sur trois colonnes:
- Gravité: le résultat
de gravité est un
indicateur général de l'importance de corriger
la catégorie de résultats,
qui peut être classé comme
Critical,High,Medium, ouLow. - Catégorie de résultat: type d'erreur de configuration des identités et des accès détectée.
- Nombre total de résultats: nombre total d'erreurs de configuration concernant les identités et les accès trouvées dans une catégorie à une classification de gravité donnée.
Pour parcourir les résultats du volet, vous pouvez les trier par gravité, une catégorie ou un nombre total de résultats en cliquant sur l'en-tête correspondant. Vous pouvez modifier également le nombre de lignes affichées par le volet (jusqu'à 200) et naviguer entre les pages à l'aide des flèches de navigation en bas du tableau.
Vous pouvez cliquer sur le titre d'une catégorie ou sur le nombre total de résultats correspondant pour inspecter des résultats spécifiques plus en détail sur la page Résultats de Security Command Center . Pour en savoir plus, consultez Inspecter en détail les résultats concernant l'identité et les accès.
Les composants suivants, situés sous le tableau des résultats, fournissent des informations le contexte de vos résultats concernant l'identité et les accès:
- L'étiquette Sources indique la source ingérée par Security Command Center. des données pour produire les résultats. Les résultats concernant l'identité et les accès aux deux dans les environnements Google Cloud et AWS. Security Command Center n'affiche que les données et l'accès pour AWS si vous avez connecté un serveur AWS Compute Engine et configuré Ingestion de journaux AWS pour CIEM.
- Le lien Afficher tous les résultats concernant l'identité et les accès vous permet d'accéder Page Résultats de Security Command Center afin d'afficher toutes les identités et tous les accès détectés erreurs de configuration quelle que soit la catégorie ou la gravité.
- Le lien Examiner l'accès avec Policy Analyzer permet d'accéder rapidement aux Policy Analyzer, qui vous permet de voir qui a accès à quoi en fonction de vos stratégies d'autorisation IAM.
Afficher les résultats concernant l'identité et les accès sur la page "Résultats"
Le volet Résultats liés à l'identité et aux accès offre plusieurs points d'entrée à la Security Command Center Résultats pour inspecter les résultats concernant l'identité et les accès en détail:
- Cliquez sur le nom d'un résultat sous Catégorie de résultat ou sur son nombre total de résultats. sous Nombre total de résultats pour rechercher automatiquement le résultat en question. par catégorie et par gravité.
- Cliquez sur Afficher tous les résultats concernant l'identité et les accès pour interroger tous les résultats dans sans ordre particulier.
Security Command Center présélectionne certains filtres rapides qui créent une requête de résultats en particulier des erreurs de configuration de l'identité et des accès. Les options de filtrage rapide changent en fonction selon que vous interrogez tout ou partie des résultats liés à l'identité et aux accès. Vous pouvez modifier ces les requêtes selon les besoins. Les catégories et les options de filtrage rapide spécifiques présentant un intérêt pour la CIEM incluent:
- Catégorie: filtres permettant d'interroger les résultats en fonction de catégories de résultats spécifiques sur lesquels vous souhaitez en savoir plus. Les options de filtrage rapide présentées dans ce changent de catégorie selon que vous interrogez une ou la totalité des identités et des accès les résultats.
- Project ID (ID du projet) : filtres permettant d'interroger les résultats concernant des résultats projet spécifique.
- Resource type (Type de ressource) : filtres permettant d'interroger les résultats pour obtenir des résultats liés à une un type de ressource spécifique.
- Gravité: filtres permettant d'interroger les résultats pour connaître les résultats d'une et leur gravité.
- Source display name (Nom à afficher pour la source) : filtres permettant d'interroger les résultats pour identifier les résultats par un service spécifique ayant détecté l'erreur de configuration.
- Fournisseur cloud: filtres permettant d'interroger les résultats provenant de sur une plate-forme cloud spécifique.
Le panneau Résultats de la requête de résultat est composé de plusieurs colonnes qui fournissent des détails sur le résultat. Parmi eux, les colonnes suivantes sont intéressantes pour Finalités CIEM:
- Gravité: affiche la gravité d'un résultat donné pour vous aider à la hiérarchiser de correction.
- Nom à afficher de la ressource: affiche la ressource où se trouvait le résultat. détecté.
- Nom à afficher pour la source: indique le service qui a détecté le résultat. Parmi les sources qui produisent des résultats liés à l'identité figurent CIEM, l'outil de recommandation IAM et Security Health Analytics.
- Fournisseur cloud: affiche l'environnement cloud dans lequel le résultat se trouve détectées, comme Google Cloud et AWS.
- Autorisations d'accès incriminées: affiche un lien permettant d'examiner les comptes principaux qui se sont vu attribuer des rôles inappropriés.
- Case ID (Numéro de demande) : affiche le numéro de la demande associée au trouver.
Pour en savoir plus sur l'utilisation des résultats, consultez la section Utiliser les résultats dans le console Google Cloud.
Examiner les résultats d'identification et d'accès pour différentes plates-formes cloud
Security Command Center vous permet d'examiner les erreurs de configuration liées aux identités et aux accès pour vos environnements AWS et Google Cloud dans Security Command Center Résultats
De nombreux services de détection Security Command Center, tels que CIEM, l'outil de recommandation IAM et l'analyse de l'état de la sécurité, génèrent des de trouver des catégories qui détectent les problèmes potentiels de sécurité des identités et des accès pour vos plates-formes cloud.
Le service de détection CIEM de Security Command Center génère pour votre environnement AWS, l'outil de recommandation IAM et Security Health Analytics les services de détection génèrent des résultats spécifiques pour votre environnement Google Cloud.
Pour n'afficher que les résultats détectés par un service spécifique, sélectionnez-le dans la catégorie de filtres rapides Nom à afficher pour la source. Par exemple, si vous souhaitez afficher uniquement les résultats détectés par le service de détection CIEM, sélectionnez CIEM.
Le tableau suivant décrit tous les résultats considérés comme faisant partie de Fonctionnalités CIEM de Security Command Center.
| Cloud Platform | Catégorie de résultats | Description | Source |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Prévu Rôles IAM détectés dans votre environnement AWS avec des autorisations règles. Pour en savoir plus, consultez la page CIEM résultats. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Groupes IAM détectées dans votre environnement AWS avec des stratégies très permissives. Pour plus consultez la page CIEM résultats. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Utilisateurs IAM détectés dans votre environnement AWS avec des stratégies très permissives. Pour plus consultez la page CIEM résultats. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Certains utilisateurs n'utilisent pas Validation en deux étapes. Pour en savoir plus, consultez la section Multi-facteurs résultats d'authentification. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Métriques de journaux et alertes ne sont pas configurés pour surveiller les modifications apportées aux rôles personnalisés. Pour plus d'informations, consultez la page Surveillance et des failles. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | La séparation des tâches n'est pas appliquée, et un utilisateur disposant de l'un des services Cloud Key Management Service suivants simultanément: chiffreur/déchiffreur de clés cryptographiques, Chiffreur ou Déchiffreur. Pour plus consultez la page IAM et des failles. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Un utilisateur possède l'un des
les rôles de base suivants: Propriétaire (roles/owner),
Éditeur (roles/editor) ou
Lecteur (roles/viewer). Pour plus d'informations,
voir IAM
de failles. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Un rôle Redis IAM est attribués au niveau de l'organisation ou du dossier. Pour en savoir plus, consultez la page IAM et des failles. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Un utilisateur a été les rôles d'administrateur de compte de service et de service Utilisateur de compte. Cela enfreint la section "Séparation des tâches" sur ce principe. Pour en savoir plus, consultez la page IAM et des failles. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Un utilisateur n'utilise pas les identifiants de l'organisation. D'après le CIS Google Cloud Foundations 1.0, uniquement les identités avec des adresses e-mail @gmail.com déclenchent ce détecteur. Pour plus consultez la page IAM et des failles. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Un compte Google Groupes peut être joint sans approbation est utilisé comme compte principal de stratégie d'autorisation IAM. Pour en savoir plus, consultez la page IAM et des failles. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | L'outil de recommandation IAM a détecté un utilisateur compte avec un rôle IAM qui n'a pas été utilisé au cours des 90 derniers jours. Pour en savoir plus, consultez la page IAM les résultats de l'outil de recommandation. | Outil de recommandation IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | Outil de recommandation IAM détecté un compte de service disposant d'un ou de plusieurs rôles IAM des autorisations excessives sur le compte utilisateur. Pour en savoir plus, consultez la page IAM les résultats de l'outil de recommandation. | Outil de recommandation IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
L'outil de recommandation IAM a détecté que le rôle IAM par défaut d'origine attribué à un agent de service a été remplacé par l'un des rôles IAM de base: Propriétaire, Éditeur ou Lecteur : Les rôles de base sont trop permissifs dans les anciens rôles et ne doit pas être accordé aux agents de service. Pour plus d'informations, consultez la section IAM les résultats de l'outil de recommandation. | Outil de recommandation IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | Outil de recommandation IAM a détecté IAM qu'un agent de service s'est vu attribuer l'un des rôles IAM de base: Propriétaire, Éditeur ou Lecteur : Les rôles de base sont trop permissifs dans les anciens rôles et ne doit pas être accordé aux agents de service. Pour plus d'informations, consultez la section IAM les résultats de l'outil de recommandation. | Outil de recommandation IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Un compte de service possède Administrateur, Propriétaire ou Éditeur de droits. Ces rôles ne doivent pas être attribués à des comptes de service Google Cloud. Pour en savoir plus, consultez la page IAM et des failles. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Une instance est configuré pour utiliser le compte de service par défaut. Pour en savoir plus, consultez Calcul les failles détectées sur les instances. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Un compte de service possède un accès au projet trop large dans un cluster. Pour plus d'informations, consultez la section et des failles. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | A a le rôle Utilisateur du compte de service ou Service de créateur de jetons de compte au niveau du projet, plutôt que compte de service spécifique. Pour en savoir plus, consultez la page IAM et des failles. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Un compte de service n'a pas fait l'objet d'une rotation depuis plus de 90 jours. Pour en savoir plus, consultez IAM et des failles. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Un compte de service de nœud possède des niveaux d'accès étendus. Pour plus d'informations, consultez la section et des failles. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Une clé cryptographique Cloud KMS est publiquement accessibles. Pour plus d'informations, voir KMS et des failles. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Un bucket Cloud Storage est publiquement accessibles. Pour en savoir plus, consultez la page Stockage et des failles. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Un bucket de stockage utilisé comme journal le récepteur est accessible publiquement. Pour en savoir plus, consultez la page Stockage et des failles. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Un utilisateur gère clé de compte de service. Pour en savoir plus, consultez la page IAM et des failles. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Il y a plus de trois utilisateurs de clés cryptographiques. Pour plus d'informations, voir KMS et des failles. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Un utilisateur a Autorisations Propriétaire sur un projet avec des autorisations de chiffrement clés. Pour plus d'informations, voir KMS et des failles. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Les métriques de journal et les alertes configurés pour surveiller les attributions ou modifications de propriété des projets. Pour plus consultez la page Surveillance et des failles. | Security Health Analytics |
Filtrer les résultats concernant l'identité et les accès par plate-forme cloud
Dans le volet Résultats de la requête de résultat, vous pouvez savoir quel résultat est lié à une plate-forme cloud donnée en inspectant le contenu du fournisseur de services cloud ; Colonnes Nom à afficher pour la ressource ou Type de ressource.
La page Résultats de la requête affiche les résultats concernant l'identité et les accès pour les deux dans les environnements Google Cloud et AWS par défaut. Modifier la requête de résultat par défaut pour afficher uniquement les résultats d'une plate-forme cloud spécifique, sélectionnez Amazon Web Services ou Google Cloud Platform à partir du fournisseur de services cloud catégorie de filtres rapides.
Inspecter en détail les résultats liés à l'identité et aux accès
Pour en savoir plus sur un résultat lié à l'identité et aux accès, ouvrez la vue détaillée de le résultat en cliquant sur son nom dans la colonne Catégorie de la Panneau Résultats de la requête Pour en savoir plus sur les détails des résultats consultez la section Afficher les détails résultats.
Les sections suivantes de l'onglet Résumé de la vue détaillée sont utiles pour : pour analyser les résultats concernant l'identité et les accès.
Autorisations d'accès incriminées
Dans l'onglet Résumé du volet des détails d'un résultat, la colonne Accès incriminé d'attributions permet d'inspecter rapidement Google Cloud et des comptes principaux tiers et leur accès à vos ressources. Ces informations ne s'affiche pour les résultats que lorsque l'outil de recommandation IAM détecte des comptes principaux sur Ressources Google Cloud avec des rôles hautement permissifs, de base et inutilisés
Cliquez sur Examiner les autorisations d'accès incriminées pour ouvrir le lien Examiner les autorisations d'accès incriminées grants, qui contient les informations suivantes:
- Nom du compte principal. Les comptes principaux affichés dans cette colonne peuvent être
une combinaison de comptes utilisateur Google Cloud (
user:example-user@example.com), de groupes, les identités d'autres fournisseurs d'identité (//iam.googleapis.com/locations/global/workforcePools/example-pool/subject/example-user@example.com), et comptes de service. - Nom du rôle attribué au compte principal.
- Action recommandée pour remédier à l'accès incriminé.
Informations sur la demande
Dans l'onglet Résumé de la page des détails d'un résultat, la section Demande
d'assistance s'affiche lorsqu'une demande ou un ticket
correspond à un résultat particulier. Les demandes et les billets sont automatiquement
créé pour les résultats dont le niveau de gravité est défini sur Critical ou High.
La section Demandes d'assistance permet de suivre l'évolution des mesures correctives pour un résultat particulier. Il fournit des informations la demande correspondante, par exemple des liens vers les demandes et systèmes de gestion des demandes correspondants ; (Jira ou ServiceNow), la personne responsable, l'état et la priorité de la demande.
Pour accéder à la demande correspondant à le résultat, cliquez sur le numéro de demande dans la ligne Case ID (Numéro de demande).
Pour accéder au ticket Jira ou ServiceNow correspondant à cliquez sur le numéro d'ID du billet dans la ligne ID du billet.
Pour connecter vos systèmes de demande d'assistance à Security Command Center Enterprise, consultez la section Intégrer Security Command Center Enterprise avec billetterie systèmes.
Pour en savoir plus sur l'examen des demandes correspondantes, consultez la page Examiner les demandes accéder aux cas de recherche.
Étapes suivantes
Dans l'onglet Résumé de la page d'informations d'un résultat, la section Étapes suivantes fournit des conseils détaillés sur la façon de résoudre immédiatement le problème détecté. Ces recommandations sont adaptées aux résultats spécifiques que vous recherchez en cours de visionnage.
Étape suivante
- Découvrez comment utiliser les résultats.
- Découvrez comment examiner les demandes liées à l'identité et aux accès.
- En savoir plus sur la CIEM de sécurité qui génèrent les résultats AWS.