En esta página, se explica cómo trabajar con los hallazgos de problemas de seguridad que se relacionados con la identidad y el acceso (hallazgos de identidad y acceso) en la La consola de Google Cloud para investigar e identificar posibles parámetros de configuración incorrectos.
Como parte de las capacidades de administración de derechos de infraestructura de nube (CIEM) que ofrece la empresa Security Command Center genera hallazgos de identidad y acceso, y los facilita en la página Descripción general de riesgos de Security Command Center. Estos hallazgos se seleccionados y categorizados en el panel Hallazgos de identidad y acceso.
Antes de comenzar
Asegúrate de haber completado las siguientes tareas antes de continuar:
- Obtén más información sobre las funciones de CIEM de Security Command Center.
- Configura permisos para CIEM.
- Habilita el servicio de detección CIEM para AWS.
Consulta un resumen de los hallazgos de identidad y acceso.
El panel Hallazgos de identidad y acceso en Security Command Center Riesgo Descripción general brinda una visión de alto nivel de los principales hallazgos sobre identidad y acceso en tus entornos de nube, como Google Cloud y Amazon Web Services (AWS). El consta de una tabla que organiza los resultados en tres columnas:
- Gravedad: el hallazgo
la gravedad es una
indicador general de lo importante que es corregir la categoría de hallazgo
que se pueden clasificar como
Critical,High,Medium, oLow. - Categoría de hallazgo: Es el tipo de configuración incorrecta de identidad y acceso que se encontró.
- Resultados totales: La cantidad total de parámetros de configuración incorrectos de identidad y acceso. que se encuentran en una categoría en una clasificación de gravedad determinada.
Para navegar por los hallazgos en el panel, puedes ordenarlos por gravedad, encontrar categoría o la cantidad total de resultados haciendo clic en el encabezado correspondiente. Puedes modificar la cantidad de filas que muestra el panel (hasta 200) y navegar entre las páginas con las flechas de navegación ubicadas en la parte inferior de la tabla.
Puedes hacer clic en el título de una categoría o en el número total de hallazgos correspondiente para inspeccionar resultados específicos con más detalle en la página Hallazgos de Security Command Center . Para obtener más información, consulta Inspecciona en detalle los hallazgos de identidad y acceso.
Los siguientes componentes debajo de la tabla de resultados ayudan a proporcionar contextual a tus hallazgos de identidad y acceso:
- La etiqueta Fuentes indica la fuente que Security Command Center está transfiriendo datos para producir los resultados. Los hallazgos sobre identidad y acceso se pueden aplicar a ambos entornos de Google Cloud y AWS. Security Command Center solo muestra identidades y acceder hallazgos para AWS si has conectado una cuenta de instancia y configurada Transferencia de registros de AWS CIEM
- El vínculo Ver todos los hallazgos de identidad y acceso te permite navegar al Página Hallazgos de Security Command Center para ver todas las identidades y los accesos detectados parámetros de configuración incorrectos independientemente de la categoría o gravedad.
- El vínculo Revisar el acceso con el Analizador de políticas proporciona acceso rápido al La herramienta Analizador de políticas, que te permite ver quién tiene acceso a qué según tus políticas de permisos de IAM.
Ver hallazgos sobre identidad y acceso en la página Hallazgos
El panel Hallazgos de identidad y acceso ofrece varios puntos de entrada al Security Command Center Hallazgos página para inspeccionar los hallazgos de identidad y acceso en detalle:
- Haz clic en el nombre de cualquier hallazgo en Categoría del hallazgo o en la cantidad total de hallazgos. en Total de resultados para buscar automáticamente ese resultado específico categoría y gravedad.
- Haz clic en Ver todos los hallazgos de identidad y acceso para consultar todos los hallazgos en ningún orden en particular.
Security Command Center preselecciona ciertos filtros rápidos que crean una consulta de resultados. específicamente por errores de configuración de identidad y acceso. Las opciones de filtro rápido cambian según según si consultas uno o todos los hallazgos de identidad y acceso. Puedes editar estas opciones consultas según sea necesario. Las categorías y opciones de filtro rápido particulares de interés para el CIEM incluyen las siguientes:
- Categoría: Filtra para consultar los resultados por categorías de hallazgos específicas. sobre los que quieras obtener más información. Las opciones de filtro rápido que se enumeran cambio de categoría en función de si consultas una o todas las identidades y accesos de los resultados de búsqueda.
- ID del proyecto: Filtra para consultar los resultados de los hallazgos que se relacionan con un proyecto específico.
- Tipo de recurso: Filtra para consultar los resultados de resultados que se relacionan con un un tipo de recurso específico.
- Gravedad: Filtra para consultar los resultados de los resultados de un determinado gravedad.
- Nombre visible de la fuente: Filtra para consultar los resultados de los resultados detectados. por un servicio específico que detectó una configuración incorrecta.
- Proveedor de servicios en la nube: Filtra para consultar los resultados de los resultados que provienen de en una plataforma de nube específica.
El panel Resultados de la búsqueda consta de varias columnas que proporcionan detalles sobre el hallazgo. Entre ellas, las siguientes columnas son de interés para Propósitos de CIEM:
- Gravedad: Muestra la gravedad de un resultado determinado para ayudarte a priorizar la solución de problemas.
- Nombre visible del recurso: Muestra el recurso en el que se encontró el hallazgo detectado.
- Nombre visible de la fuente: Muestra el servicio que detectó el hallazgo. Las fuentes que producen hallazgos relacionados con la identidad incluyen CIEM, recomendador de IAM y Security Health Analytics.
- Proveedor de servicios en la nube: Muestra el entorno de nube en el que se encontró el hallazgo detectados, como Google Cloud y AWS.
- Otorgamientos de acceso infractores: Se muestra un vínculo para revisar las principales que se les otorgaron potencialmente roles inapropiados.
- Case ID: Muestra el número de ID del caso relacionado con el hallazgo.
Para obtener más información sobre cómo trabajar con los resultados, consulta Trabaja con los resultados en el Consola de Google Cloud.
Investigar los hallazgos de identidad y acceso para diferentes plataformas en la nube
Security Command Center te permite investigar la configuración incorrecta de identidades y accesos resultados para tus entornos de AWS y Google Cloud en Security Command Center Hallazgos.
Muchos servicios de detección de Security Command Center, como CIEM, recomendador de IAM y Security Health Analytics, generan un modelo de para encontrar categorías que detecten posibles problemas de seguridad de identidad y acceso en tus plataformas en la nube.
El servicio de detección CIEM de Security Command Center genera para tu entorno de AWS, el recomendador de IAM y los Security Health Analytics de detección de Google Cloud generan hallazgos específicos para tu entorno de Google Cloud.
Para ver solo los resultados detectados por un servicio específico, selecciona ese servicio en la categoría de filtros rápidos Nombre visible de la fuente Por ejemplo, si quieres ver solo los resultados detectados por el servicio de detección CIEM, seleccionar CIEM
La siguiente tabla describe todos los hallazgos que se consideran parte de las funciones CIEM de Security Command Center.
| Cloud Platform | Categoría | Descripción | Fuente |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Supuesto Se detectaron roles de IAM en tu entorno de AWS con altos permisos y políticas de seguridad. Para obtener más información, consulta CIEM de análisis de datos. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Grupos de IAM detectadas en tu entorno de AWS con políticas altamente permisivas. Para ver más consulta CIEM de análisis de datos. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Usuarios de IAM detectados en tu entorno de AWS con políticas muy permisivas. Para ver más consulta CIEM de análisis de datos. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Hay usuarios que no están usando Verificación en 2 pasos. Para obtener más información, consulta Autenticación de varios factores de autenticación. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Métricas de registros y alertas no están configurados para supervisar los cambios de los roles personalizados. Para obtener más información, consulta Supervisión hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | La separación de obligaciones no es se aplica, y existe un usuario que tiene cualquiera de los siguientes servicios de Cloud Key Management Service al mismo tiempo: Encriptador/Desencriptador de CryptoKey, Encrypter o Desencriptador. Para ver más consulta IAM hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Un usuario tiene uno de los
siguientes roles básicos: Propietario (roles/owner),
Editor (roles/editor) o
Lector (roles/viewer). Para obtener más información,
consulta IAM
de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Un rol de IAM para Redis es asignados a nivel de la organización o la carpeta. Para obtener más información, consulta IAM hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Se ha aplicado a un usuario se asignaron al Administrador de cuenta de servicio y al Administrador Usuario de la cuenta. Esto infringe la “Separación de obligaciones”. . Para obtener más información, consulta IAM hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Hay un usuario que no está usando las credenciales de tu organización. Según CIS, Google Cloud Foundations 1.0, solo las identidades con direcciones de correo electrónico @gmail.com activan este detector. Para ver más consulta IAM hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Una cuenta de Grupos de Google que se puede unir sin aprobación se usa como principal de la política de permisos de IAM. Para obtener más información, consulta IAM hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | El recomendador de IAM detectó un usuario que tiene un rol de IAM que no se usó en los últimos 90 días. Para obtener más información, consulta IAM resultados del recomendador. | Recomendador de IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | Recomendador de IAM detectó una cuenta de servicio con uno o más roles de IAM que otorgan permisos excesivos sobre la cuenta de usuario. Para obtener más información, consulta IAM resultados del recomendador. | Recomendador de IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
El recomendador de IAM detectó que el rol de IAM predeterminado original otorgado a un agente de servicio fue reemplazado por uno de los roles básicos de IAM: Propietario, Editor o Lector. Los roles básicos son heredados demasiado permisivos roles y no deberían otorgarse a agentes de servicio. Para obtener más información, consulta IAM resultados del recomendador. | Recomendador de IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | Recomendador de IAM detectó IAM que a un agente de servicio se le otorgó uno de los roles básicos de IAM: Propietario, Editor o Lector. Los roles básicos son heredados demasiado permisivos roles y no deberían otorgarse a agentes de servicio. Para obtener más información, consulta IAM resultados del recomendador. | Recomendador de IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Una cuenta de servicio tiene Administrador, Propietario o Editor privilegios. Estos roles no se deben asignar al servicio creado por el usuario cuentas de servicio. Para obtener más información, consulta IAM hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Una instancia es configurado para usar la cuenta de servicio predeterminada. Para obtener más información, consulta Procesamiento hallazgos de vulnerabilidades de instancias. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Una cuenta de servicio tiene acceso demasiado amplio a proyectos en un clúster. Para obtener más información, consulta Contenedor hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | R usuario tiene la opción Usuario de cuenta de servicio o Cuenta de servicio rol Creador de tokens de cuenta a nivel del proyecto, en lugar de un cuenta de servicio específica. Para obtener más información, consulta IAM hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Una cuenta de servicio no se rotó más de 90 días. Para obtener más información, consulta IAM hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Una cuenta de servicio de nodo tiene amplios permisos de acceso. Para obtener más información, consulta Contenedor hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Una clave criptográfica de Cloud KMS de acceso público. Para obtener más información, consulta KMS hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Un bucket de Cloud Storage es de acceso público. Para obtener más información, consulta Almacenamiento hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Un bucket de almacenamiento usado como registro receptor sea de acceso público. Para obtener más información, consulta Almacenamiento hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Un usuario administra un clave de cuenta de servicio. Para obtener más información, consulta IAM hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Hay más de tres usuarios de claves criptográficas. Para obtener más información, consulta KMS hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Un usuario tiene Los permisos de Propietario en un proyecto con encriptación claves. Para obtener más información, consulta KMS hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Las métricas de registros y las alertas no se configurado para supervisar las asignaciones o los cambios de la propiedad del proyecto. Para ver más consulta Supervisión hallazgos de vulnerabilidades. | Security Health Analytics |
Filtrar los hallazgos de identidad y acceso por plataforma en la nube
En el panel Resultados de la búsqueda, puedes saber qué hallazgo se relaciona con un una determinada plataforma de nube inspeccionando el contenido del proveedor de servicios en la nube, Columnas Nombre visible del recurso o Tipo de recurso.
La sección Resultados de la búsqueda muestra los hallazgos de identidad y acceso para ambos. los entornos de Google Cloud y AWS de forma predeterminada. Editar la búsqueda predeterminada para mostrar solo los resultados de una plataforma en la nube en particular, selecciona Amazon Web Services o Google Cloud Platform del proveedor de servicios en la nube categoría de filtros rápidos.
Inspecciona los hallazgos sobre identidad y acceso en detalle
Para obtener más información sobre un hallazgo de identidad y acceso, abre la vista detallada de haciendo clic en el nombre del resultado en la columna Categoría en Panel Resultados de la búsqueda. Para obtener más información sobre los detalles del hallazgo consulta Cómo ver los detalles de un hallazgo.
Las siguientes secciones en la pestaña Resumen de la vista detallada son útiles para investigar los hallazgos de identidad y acceso.
Otorgamientos de acceso infractores
En la pestaña Resumen del panel de detalles de un hallazgo, el campo Acceso infractor otorgamientos proporciona una forma de inspeccionar con rapidez Google Cloud y las principales externas, así como el acceso a tus recursos. Esta información solo aparece en los resultados cuando el recomendador de IAM detecta principales en Recursos de Google Cloud con roles muy permisivos, básicos y sin usar.
Haz clic en Revisar otorgamientos de acceso infractores para abrir la opción Revisar los permisos infractores otorgamientos, que contiene la siguiente información:
- El nombre de la principal. Las principales que se muestran en esta columna pueden ser una
combinación de cuentas de usuario de Google Cloud (
user:example-user@example.com), grupos identidades de otros proveedores de identidad (//iam.googleapis.com/locations/global/workforcePools/example-pool/subject/example-user@example.com), y cuentas de servicio. - El nombre del rol otorgado a la principal.
- Esta es la acción recomendada que puedes realizar para solucionar el problema de acceso.
Información del caso
En la pestaña Resumen de la página de detalles de un hallazgo, el Caso
de información se muestra cuando hay un caso o ticket que
corresponde a un hallazgo concreto. Los casos y los tickets se generan automáticamente
se creó para los resultados con una clasificación de gravedad Critical o High.
En la sección Información de los casos, se puede hacer un seguimiento de la de corrección para un hallazgo en particular. Proporciona detalles sobre la caso correspondiente, como vínculos a cualquier caso y sistema de tickets correspondientes (Jira o ServiceNow), el destinatario, el estado y la prioridad del caso.
Para acceder al caso correspondiente a haz clic en el número de ID del caso en la fila Case ID.
Para acceder al ticket de Jira o ServiceNow que corresponde al haz clic en el número de ID del ticket en la fila Ticket ID.
Para conectar tus sistemas de tickets con Security Command Center Enterprise, consulta Integra Security Command Center Enterprise con generación de tickets de la aplicación.
Para obtener más información sobre cómo revisar los casos correspondientes, consulta Revisar la identidad y acceder a los casos de búsqueda.
Próximos pasos
En la pestaña Resumen de la página de detalles de un hallazgo, los Pasos siguientes en la que se proporciona una guía paso a paso sobre cómo solucionar el problema de forma inmediata detectado. Estas recomendaciones se adaptan al hallazgo específico visualización.
¿Qué sigue?
- Obtén más información para trabajar con los resultados.
- Obtén más información para revisar casos de búsqueda de identidad y acceso.
- Obtén información sobre CIEM detectores que generan hallazgos de AWS.