Nesta página, explicamos como trabalhar com as descobertas de problemas de segurança relacionados a identidade e acesso (descobertas de identidade e acesso) no console do Google Cloud para investigar e identificar possíveis configurações incorretas.
Como parte dos recursos de gerenciamento de direitos de acesso à infraestrutura do Cloud (CIEM, na sigla em inglês) oferecidos com o nível Enterprise, o Security Command Center gera descobertas de identidade e acesso e as torna acessíveis na página Visão geral de riscos do Security Command Center. Essas descobertas são selecionadas e categorizadas no painel Descobertas de identidade e acesso.
Antes de começar
Conclua as seguintes tarefas antes de continuar:
- Saiba mais sobre os recursos de CIEM do Security Command Center.
- Configure permissões para o CIEM.
- Ative o serviço de detecção de CIEM para a AWS
Confira um resumo das descobertas de identidade e acesso
O painel Descobertas de identidade e acesso na página Visão geral de risco do Security Command Center fornece uma visão geral das principais descobertas de identidade e acesso nos seus ambientes de nuvem, como o Google Cloud e a Amazon Web Services (AWS). Esse painel consiste em uma tabela que organiza as descobertas em três colunas:
- Gravidade: a gravidade
da descoberta é um
indicador geral da importância de corrigir a categoria da descoberta,
que pode ser classificada como
Critical,High,MediumouLow. - Categoria de descoberta: o tipo de configuração de identidade e acesso encontrada.
- Total de descobertas: o número total de configurações incorretas de identidade e acesso encontradas em uma categoria em uma determinada classificação de gravidade.
Para navegar pelas descobertas no painel, você pode classificá-las por gravidade, categoria de descoberta ou número total de descobertas clicando no respectivo cabeçalho. Também é possível modificar o número de linhas que o painel exibe (até 200) e navegar entre as páginas usando as setas na parte de baixo da tabela.
É possível clicar no título de uma categoria ou no número total de descobertas correspondente para inspecionar descobertas específicas com mais detalhes na página Descobertas do Security Command Center. Para mais informações, consulte Inspecionar as descobertas de identidade e acesso.
Os componentes a seguir abaixo da tabela de descobertas ajudam a fornecer mais contexto para suas descobertas de identidade e acesso:
- O rótulo Origens indica a fonte de onde o Security Command Center está ingerindo dados para produzir as descobertas. As descobertas de identidade e acesso podem ser aplicadas aos ambientes do Google Cloud e da AWS. O Security Command Center só exibirá descobertas de identidade e acesso para a AWS se você tiver conectado uma instância da AWS e configurado a ingestão de registros da AWS para o CIEM.
- O link Mostrar todas as descobertas de identidade e acesso permite navegar até a página Descobertas do Security Command Center para conferir todas as configurações de identidade e acesso detectadas, independente da categoria ou gravidade.
- O link Revisar acesso com a Análise de políticas fornece acesso rápido à ferramenta Análise de políticas, que permite ver quem tem acesso a quais recursos com base nas políticas de permissão do IAM.
Exibir descobertas de identidade e acesso na página "Descobertas"
O painel Descobertas de identidade e acesso oferece vários pontos de entrada para a página Descobertas do Security Command Center para inspecionar as descobertas de identidade e acesso em detalhes:
- Clique em qualquer nome de descoberta em Categoria de descobertas ou o número total de descobertas em Total de descobertas para consultar automaticamente essa categoria e a classificação de gravidade específicas.
- Clique em Ver todas as descobertas de identidade e acesso para consultá-las, sem uma ordem específica.
O Security Command Center pré-seleciona certos filtros rápidos que criam uma consulta de descobertas especificamente para configurações incorretas de identidade e acesso. As opções de filtro rápido mudam se você consultar uma ou todas as descobertas de identidade e acesso. É possível editar essas consultas conforme necessário. As categorias e opções de filtro rápido específicas interessantes para fins de CIEM incluem:
- Categoria: filtros para consultar os resultados de categorias de descoberta específicas sobre as quais você quer saber mais. As opções de filtro rápido listadas nesta categoria mudam com base na consulta de uma ou em todas as descobertas de identidade e acesso.
- ID do projeto: filtros para consultar os resultados das descobertas relacionadas a um projeto específico.
- Resource type: filtros para consultar os resultados de descobertas relacionadas a um tipo de recurso específico.
- Gravidade: filtros para consultar os resultados de descobertas de uma gravidade específica.
- Nome de exibição da origem: filtros para consultar os resultados das descobertas detectadas por um serviço específico que detectou o erro de configuração.
- Provedor de nuvem: filtros para consultar os resultados de descobertas de uma plataforma de nuvem específica.
O painel Resultados da consulta de descobertas consiste em várias colunas com detalhes sobre a descoberta. Entre elas, as seguintes colunas são de interesse para fins CIEM:
- Gravidade: exibe a gravidade de uma determinada descoberta para ajudar você a priorizar a correção.
- Nome de exibição do recurso: mostra o recurso em que a descoberta foi detectada.
- Nome de exibição da origem: mostra o serviço que detectou a descoberta. As fontes que produzem descobertas relacionadas à identidade incluem CIEM, recomendador do IAM e Análise de integridade da segurança.
- Provedor de nuvem: exibe o ambiente de nuvem em que a descoberta foi detectada, como o Google Cloud e a AWS.
- Concessões de acesso ofensivos: exibe um link para revisar os principais que talvez tenham recebido papéis inadequados.
- Código do caso: mostra o código do caso relacionado à descoberta.
Para mais informações sobre como trabalhar com as descobertas, consulte Trabalhar com as descobertas no console do Google Cloud.
Investigar as descobertas de identidade e acesso para diferentes plataformas de nuvem
O Security Command Center permite investigar descobertas de configurações incorretas de identidade e acesso para seus ambientes da AWS e do Google Cloud na página Descobertas do Security Command Center.
Muitos serviços diferentes de detecção do Security Command Center, como CIEM, recomendador do IAM e Security Health Analytics, geram categorias de descoberta específicas do CIEM que detectam possíveis problemas de segurança de identidade e acesso nas suas plataformas de nuvem.
O serviço de detecção CIEM do Security Command Center gera descobertas específicas para o ambiente da AWS, e o recomendador do IAM e os serviços de detecção da Análise de integridade da segurança geram descobertas específicas para o ambiente do Google Cloud.
Para visualizar apenas as descobertas detectadas por um serviço específico, selecione esse serviço na categoria de filtros rápidos Nome de exibição da origem. Por exemplo, se você quiser visualizar somente as descobertas detectadas pelo serviço de detecção do CIEM, selecione CIEM.
A tabela a seguir descreve todas as descobertas consideradas parte dos recursos CIEM do Security Command Center.
| Cloud Platform | Categoria da descoberta | Descrição | Origem |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Papéis do IAM pressupostos detectados no ambiente da AWS com políticas altamente permissivas. Para mais informações, consulte Descobertas do CIEM. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Grupos do IAM detectados no ambiente da AWS com políticas altamente permissivas. Para mais informações, consulte Descobertas do CIEM. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Usuários do IAM detectados no ambiente da AWS com políticas altamente permissivas. Para mais informações, consulte Descobertas do CIEM. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Alguns usuários não usam a verificação em duas etapas. Para mais informações, consulte Descobertas de autenticação multifator. | Análise de integridade da segurança |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | As métricas e os alertas de registro não estão configurados para monitorar alterações de papéis personalizados. Para mais informações, consulte Como monitorar descobertas de vulnerabilidades. | Análise de integridade da segurança |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | A separação de tarefas não é aplicada, e há um usuário com qualquer um dos seguintes papéis do Cloud Key Management Service ao mesmo tempo: CryptoKey Criptografador/Descriptografador, Criptografador ou Descriptografador. Para mais informações, consulte Descobertas de vulnerabilidades do IAM. | Análise de integridade da segurança |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Um usuário tem um dos
seguintes papéis básicos: Proprietário (roles/owner),
Editor (roles/editor) ou
Leitor (roles/viewer). Para mais informações,
consulte Descobertas de
vulnerabilidades do IAM. | Análise de integridade da segurança |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Um papel do IAM do Redis é atribuído no nível da organização ou da pasta. Para mais informações, consulte Descobertas de vulnerabilidades do IAM. | Análise de integridade da segurança |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Um usuário recebeu os papéis Administrador da conta de serviço e Usuário da conta de serviço. Isso viola o princípio da "separação de deveres". Para mais informações, consulte Descobertas de vulnerabilidades do IAM. | Análise de integridade da segurança |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Há um usuário que não está usando credenciais organizacionais. De acordo com o CIS Google Cloud Foundations 1.0, apenas identidades com endereços de e-mail @gmail.com acionam esse detector. Para mais informações, consulte Descobertas de vulnerabilidades do IAM. | Análise de integridade da segurança |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Uma conta dos Grupos do Google que pode ser mesclada sem aprovação é usada como um principal da política de permissão do IAM. Para mais informações, consulte Descobertas de vulnerabilidades do IAM. | Análise de integridade da segurança |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | O recomendador do IAM detectou uma conta de usuário que tem um papel do IAM que não foi usado nos últimos 90 dias. Para mais informações, consulte Descobertas do recomendador do IAM. | Recomendador IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | O recomendador do IAM detectou uma conta de serviço com um ou mais papéis do IAM que dão permissões excessivas à conta de usuário. Para mais informações, consulte Descobertas do recomendador do IAM. | Recomendador IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
O recomendador do IAM detectou que o papel do IAM padrão original concedido a um agente de serviço foi substituído por um dos papéis básicos do IAM: Proprietário, Editor ou Leitor. Papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço. Para mais informações, consulte Descobertas do recomendador do IAM. | Recomendador IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | O recomendador do IAM detectou que um agente de serviço recebeu um dos papéis básicos: Proprietário, Editor ou Leitor. Papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço. Para mais informações, consulte Descobertas do recomendador do IAM. | Recomendador IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Ela tem privilégios de administrador, proprietário ou editor. Esses papéis não podem ser atribuídos a contas de serviço criadas pelo usuário. Para mais informações, consulte Descobertas de vulnerabilidades do IAM. | Análise de integridade da segurança |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Uma instância é configurada para usar a conta de serviço padrão. Para mais informações, consulte Descobertas de vulnerabilidades da instância do Compute. | Análise de integridade da segurança |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. Para mais informações, consulte Descobertas de vulnerabilidades de contêiner. | Análise de integridade da segurança |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Um usuário tem o papel Usuário da conta de serviço ou Criador de token da conta de serviço no nível do projeto, em vez de uma conta de serviço específica. Para mais informações, consulte Descobertas de vulnerabilidades do IAM. | Análise de integridade da segurança |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | uma chave de conta de serviço não tiver sido alternada há mais de 90 dias; Para mais informações, consulte Descobertas de vulnerabilidades do IAM. | Análise de integridade da segurança |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Uma conta de serviço de nó tem amplos escopos de acesso. Para mais informações, consulte Descobertas de vulnerabilidades de contêiner. | Análise de integridade da segurança |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Uma chave criptográfica do Cloud KMS é acessível publicamente. Para mais informações, consulte Descobertas de vulnerabilidades do KMS. | Análise de integridade da segurança |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Um bucket do Cloud Storage é acessível publicamente. Para mais informações, consulte Descobertas de vulnerabilidade de armazenamento. | Análise de integridade da segurança |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Um bucket de armazenamento usado como coletor de registros é de acesso público. Para mais informações, consulte Descobertas de vulnerabilidade de armazenamento. | Análise de integridade da segurança |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Um usuário gerencia uma chave de conta de serviço. Para mais informações, consulte Descobertas de vulnerabilidades do IAM. | Análise de integridade da segurança |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Há mais de três usuários de chaves criptográficas. Para mais informações, consulte Descobertas de vulnerabilidades do KMS. | Análise de integridade da segurança |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Um usuário tem permissões de Proprietário em um projeto que tem chaves criptográficas. Para mais informações, consulte Descobertas de vulnerabilidades do KMS. | Análise de integridade da segurança |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Alertas e métricas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto. Para mais informações, consulte Como monitorar descobertas de vulnerabilidades. | Análise de integridade da segurança |
Filtrar descobertas de identidade e acesso por plataforma de nuvem
No painel Resultados da consulta de descobertas, é possível saber qual descoberta está relacionada a uma determinada plataforma de nuvem inspecionando o conteúdo das colunas Provedor de nuvem, Nome de exibição do recurso ou Tipo de recurso.
Os resultados da consulta de descobertas exibem descobertas de identidade e acesso para ambientes do Google Cloud e da AWS por padrão. Para editar os resultados da consulta de descoberta padrão e exibir apenas as descobertas de uma determinada plataforma de nuvem, selecione Amazon Web Services ou Google Cloud Platform na categoria de filtros rápidos do provedor de nuvem.
Inspecione as descobertas de identidade e acesso em detalhes
Para saber mais sobre uma descoberta de identidade e acesso, abra a visualização detalhada da descoberta clicando no nome dela na coluna Categoria do painel Resultados da consulta de descobertas. Para mais informações sobre a visualização de detalhes da descoberta, consulte Visualizar os detalhes de uma descoberta.
As seções a seguir na guia Resumo da visualização detalhada são úteis para investigar descobertas de identidade e acesso.
Concessões de acesso ofensivo
Na guia Resumo do painel de detalhes de uma descoberta, a linha Concessões de acesso ofensivo oferece uma maneira de inspecionar rapidamente os principais do Google Cloud e de terceiros e o acesso deles aos seus recursos. Essas informações só aparecem para descobertas quando o recomendador do IAM detecta principais nos recursos do Google Cloud com papéis altamente permissivos, básicos e não utilizados.
Clique em Analisar concessões de acesso ofensivo para abrir o painel Revisar concessões de acesso ofensivo, que contém as seguintes informações:
- O nome do principal. Os principais exibidos nessa coluna podem ser uma
combinação de contas de usuário do Google Cloud (
user:example-user@example.com), grupos, identidades de outros provedores de identidade (//iam.googleapis.com/locations/global/workforcePools/example-pool/subject/example-user@example.com) e contas de serviço. - O nome do papel concedido ao principal.
- A ação recomendada que você pode realizar para corrigir o acesso ofensivo.
Informações do caso
Na guia Resumo da página de detalhes de uma descoberta, a seção Informações do caso é exibida quando há um caso ou tíquete que corresponde a uma descoberta específica. Casos e tíquetes são criados automaticamente para descobertas com uma classificação de gravidade Critical ou High.
A seção Informações de casos oferece uma maneira de rastrear os esforços de correção de uma descoberta específica. Ele fornece detalhes sobre o caso correspondente, como links para qualquer caso correspondente e tíquete do sistema de tíquetes (Jira ou ServiceNow), o cessionário, o status do caso e a prioridade dele.
Para acessar o caso correspondente à descoberta, clique no número do código do caso na linha Código do caso.
Para acessar o tíquete do Jira ou ServiceNow correspondente à descoberta, clique no código do tíquete na linha ID do tíquete.
Para conectar seus sistemas de tíquetes ao Security Command Center Enterprise, consulte Integrar o Security Command Center Enterprise com sistemas de tíquetes.
Para mais informações sobre como analisar os casos correspondentes, consulte Analisar casos de descoberta de identidade e acesso.
Próximas etapas
Na guia Resumo da página de detalhes de uma descoberta, a seção Próximas etapas fornece orientações detalhadas sobre como corrigir imediatamente o problema detectado. Essas recomendações são adaptadas à descoberta específica que você está visualizando.
A seguir
- Saiba como trabalhar com as descobertas.
- Saiba como analisar a identidade e os casos de descoberta de acesso.
- Saiba mais sobre os detectores CIEM que geram descobertas da AWS.