Investiga los hallazgos de identidad y acceso

En esta página, se explica cómo trabajar con los resultados de los problemas de seguridad relacionados con la identidad y el acceso (resultados de identidad y acceso) en la consola de Google Cloud para investigar e identificar posibles parámetros de configuración incorrectos.

Como parte de las funciones de administración de derechos de infraestructura de nube (CIEM) que se ofrecen con el nivel empresarial, Security Command Center genera hallazgos de identidad y acceso, y permite acceder a ellos fácilmente en la página Resumen de riesgos de Security Command Center. Estos hallazgos se seleccionados y categorizados en el panel Hallazgos de identidad y acceso.

Antes de comenzar

Asegúrate de haber completado las siguientes tareas antes de continuar:

Consulta un resumen de los hallazgos de identidad y acceso.

El panel Hallazgos de identidad y acceso en Security Command Center Descripción general de riesgos brinda una visión de alto nivel de los principales hallazgos sobre identidad y acceso en tus entornos de nube, como Google Cloud y Amazon Web Services (AWS). El consta de una tabla que organiza los resultados en tres columnas:

  • Gravedad: la la gravedad de resultados es una indicador general de lo importante que es corregir la categoría de hallazgo que se pueden clasificar como Critical, High, Medium, o Low.
  • Categoría de hallazgo: Es el tipo de error de configuración de identidad y acceso que se encontró.
  • Proveedor de servicios en la nube: Es el entorno de nube en el que se encontraron los parámetros de configuración incorrectos.
  • Total de hallazgos: Es la cantidad total de parámetros de configuración incorrectos de identidad y acceso que se encontraron en una categoría con una clasificación de gravedad determinada.

Para navegar por los hallazgos en el panel, puedes ordenarlos por gravedad, encontrar categoría o la cantidad total de resultados haciendo clic en el encabezado correspondiente. También puedes modificar la cantidad de filas que muestra el panel (hasta 200) y navegar entre páginas con las flechas de navegación que se encuentran en la parte inferior de la tabla.

Puedes hacer clic en el título de una categoría o en el número total de resultados correspondiente para inspeccionar resultados específicos con más detalle en la página Resultados de Security Command Center. Para obtener más información, consulta Cómo inspeccionar los resultados de identidad y acceso en detalle.

Los siguientes componentes debajo de la tabla de resultados ayudan a proporcionar contextual a tus hallazgos de identidad y acceso:

  • La etiqueta Fuentes indica la fuente de la que Security Command Center transfiere datos para generar los resultados. Los resultados de identidad y acceso se pueden aplicar a los entornos de Google Cloud y AWS. Security Command Center solo muestra identidades y acceder hallazgos para AWS si has conectado una cuenta de instancia y configurada Transferencia de registros de AWS CIEM
  • El vínculo Ver todos los hallazgos de identidad y acceso te permite navegar al Página Hallazgos de Security Command Center para ver todas las identidades y los accesos detectados parámetros de configuración incorrectos independientemente de la categoría o gravedad.
  • Vínculo Revisa el acceso con el Analizador de políticas para Google Cloud proporciona acceso rápido a la Analizador de políticas para ver quién tiene acceso a qué recursos de Google Cloud según tus políticas de permisos de IAM.

Ver hallazgos sobre identidad y acceso en la página Hallazgos

El panel Resultados de identidad y acceso ofrece varios puntos de entrada a la página Resultados de Security Command Center para inspeccionar los resultados de identidad y acceso en detalle:

  • Haz clic en el nombre de cualquier hallazgo en Categoría del hallazgo o en la cantidad total de hallazgos. en Total de resultados para buscar automáticamente ese resultado específico categoría y gravedad.
  • Haz clic en Ver todos los hallazgos de identidades y accesos para consultar todos los hallazgos sin ningún orden en particular.

Security Command Center preselecciona ciertos filtros rápidos que crean una consulta de resultados específica para errores de configuración de identidad y acceso. Las opciones de filtro rápido cambian según si consultas uno o todos los resultados de identidad y acceso. Puedes editar estas consultas según sea necesario. Entre las categorías y opciones de filtros rápidos que son de interés para los fines de la CIEM, se incluyen las siguientes:

  • Categoría: Filtros para consultar los resultados de categorías de búsqueda específicas sobre las que deseas obtener más información. Las opciones de filtro rápido que se enumeran en esta categoría cambian según si consultas uno o todos los resultados de identidad y acceso.
  • ID del proyecto: Filtra para consultar los resultados de los hallazgos que se relacionan con un proyecto específico.
  • Tipo de recurso: Filtros para consultar los resultados en busca de hallazgos que se relacionen con un tipo de recurso específico.
  • Gravedad: Filtra para consultar los resultados de los resultados de un determinado gravedad.
  • Nombre visible de la fuente: Filtra para consultar los resultados de los resultados detectados por un servicio específico que detectó la configuración incorrecta.
  • Proveedor de servicios en la nube: Filtra para consultar los resultados de los resultados que provienen de en una plataforma de nube específica.

El panel Resultados de la búsqueda consta de varias columnas que proporcionan detalles sobre el hallazgo. Entre ellas, las siguientes columnas son de interés para Propósitos de CIEM:

  • Gravedad: Muestra la gravedad de un hallazgo determinado para ayudarte a priorizar la solución.
  • Nombre visible del recurso: Muestra el recurso en el que se detectó el hallazgo.
  • Nombre visible de la fuente: Muestra el servicio que detectó el resultado. Las fuentes que producen hallazgos relacionados con la identidad incluyen CIEM, recomendador de IAM y Security Health Analytics.
  • Proveedor de servicios en la nube: Muestra el entorno de nube en el que se detectó el hallazgo, como Google Cloud y AWS.
  • Otorgamientos de acceso infractores: Se muestra un vínculo para revisar las principales que se les otorgaron potencialmente roles inapropiados.
  • Case ID: Muestra el número de ID del caso relacionado con el hallazgo.

Para obtener más información sobre cómo trabajar con los resultados, consulta Cómo revisar y administrar los resultados.

Investiga los hallazgos de identidad y acceso de diferentes plataformas en la nube

Security Command Center te permite investigar los resultados de configuración incorrecta de identidad y acceso de tus entornos de AWS y Google Cloud en la página Resultados de Security Command Center.

Muchos servicios de detección de Security Command Center, como CIEM, recomendador de IAM y Security Health Analytics, generan un modelo de para encontrar categorías que detecten posibles problemas de seguridad de identidad y acceso en tus plataformas en la nube.

El servicio de detección CIEM de Security Command Center genera para tu entorno de AWS, el recomendador de IAM y Security Health Analytics de detección de Google Cloud generan hallazgos específicos para tu entorno en un entorno de nube.

Para ver solo los resultados detectados por un servicio específico, selecciona ese servicio en la categoría de filtros rápidos Nombre visible de la fuente Por ejemplo, si deseas ver solo los resultados detectados por el servicio de detección de CIEM, selecciona CIEM.

La siguiente tabla describe todos los hallazgos que se consideran parte de las funciones CIEM de Security Command Center.

Cloud Platform Categoría Descripción Fuente
AWS Assumed identity has excessive permissions (ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) Roles de IAM asumidos detectados en tu entorno de AWS con políticas muy permisivas Para obtener más información, consulta los resultados de CIEM. CIEM
AWS Group has excessive permissions (GROUP_HAS_EXCESSIVE_PERMISSIONS) Grupos de IAM detectadas en tu entorno de AWS con políticas altamente permisivas. Para ver más consulta CIEM de los resultados de búsqueda. CIEM
AWS User has excessive permissions (USER_HAS_EXCESSIVE_PERMISSIONS) Usuarios de IAM detectados en tu entorno de AWS con políticas muy permisivas. Para obtener más información, consulta los resultados de CIEM. CIEM
Google Cloud MFA not enforced (MFA_NOT_ENFORCED) Hay usuarios que no están usando Verificación en 2 pasos. Para obtener más información, consulta Autenticación de varios factores de autenticación. Security Health Analytics
Google Cloud Custom role not monitored (CUSTOM_ROLE_NOT_MONITORED) Las métricas y las alertas de registro no están configuradas para supervisar los cambios de roles personalizados. Para obtener más información, consulta Supervisa los hallazgos de vulnerabilidades. Security Health Analytics
Google Cloud KMS role separation (KMS_ROLE_SEPARATION) La separación de obligaciones no es se aplica, y existe un usuario que tiene cualquiera de los siguientes servicios de Cloud Key Management Service al mismo tiempo: Encriptador/Desencriptador de CryptoKey, Encrypter o Desencriptador. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. Security Health Analytics
Google Cloud Primitive roles used (PRIMITIVE_ROLES_USED) Un usuario tiene uno de los siguientes roles básicos: Propietario (roles/owner), Editor (roles/editor) o Visualizador (roles/viewer). Para obtener más información, consulta los resultados de vulnerabilidades de IAM. Security Health Analytics
Google Cloud Redis role used on org (REDIS_ROLE_USED_ON_ORG) Una función de IAM de Redis se asigna a nivel de organización o carpeta. Para obtener más información, consulta IAM hallazgos de vulnerabilidades. Security Health Analytics
Google Cloud Service account role separation (SERVICE_ACCOUNT_ROLE_SEPARATION) Se ha aplicado a un usuario se asignaron al Administrador de cuenta de servicio y al Administrador Usuario de la cuenta. Esto infringe el principio de “Separación de obligaciones”. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. Security Health Analytics
Google Cloud Non org IAM member (NON_ORG_IAM_MEMBER) Hay un usuario que no está usando las credenciales de tu organización. Según CIS para Google Cloud Foundations 1.0, solo las identidades con direcciones de correo electrónico @gmail.com activan este detector. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. Security Health Analytics
Google Cloud Open group IAM member (OPEN_GROUP_IAM_MEMBER) Se usa una cuenta de Grupos de Google a la que se puede unirse sin aprobación como principal de la política de permisos de IAM. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. Security Health Analytics
Google Cloud Unused IAM role (UNUSED_IAM_ROLE) El recomendador de IAM detectó un usuario que tiene un rol de IAM que no se usó en los últimos 90 días. Para obtener más información, consulta IAM resultados del recomendador. Recomendador de IAM
Google Cloud IAM role has excessive permissions (IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) El recomendador de IAM detectó una cuenta de servicio que tiene uno o más roles de IAM que otorgan permisos excesivos a la cuenta de usuario. Para obtener más información, consulta IAM resultados del recomendador. Recomendador de IAM
Google Cloud Service agent role replaced with basic role (SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) El recomendador de IAM detectó que el rol de IAM predeterminado original otorgado a un agente de servicio se reemplazó por uno de los roles de IAM básicos: propietario, editor o visualizador. Los roles básicos son heredados demasiado permisivos roles y no deberían otorgarse a agentes de servicio. Para obtener más información, consulta IAM resultados del recomendador. Recomendador de IAM
Google Cloud Service agent granted basic role (SERVICE_AGENT_GRANTED_BASIC_ROLE) El recomendador de IAM detectó que a un agente de servicio se le otorgó uno de los roles de IAM básicos: Propietario, Editor o Visualizador. Los roles básicos son roles heredados demasiado permisivos y no se deben otorgar a los agentes de servicio. Para obtener más información, consulta IAM resultados del recomendador. Recomendador de IAM
Google Cloud Admin service account (ADMIN_SERVICE_ACCOUNT) Una cuenta de servicio tiene privilegios de administrador, propietario o editor. Estas funciones no se deben asignar a las cuentas de servicio creadas por el usuario. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. Security Health Analytics
Google Cloud Default service account used (DEFAULT_SERVICE_ACCOUNT_USED) Una instancia está configurada para usar la cuenta de servicio predeterminada. Para obtener más información, consulta Resultados de las vulnerabilidades de las instancias de Compute. Security Health Analytics
Google Cloud Over privileged account (OVER_PRIVILEGED_ACCOUNT) Una cuenta de servicio tiene acceso a proyectos demasiado amplio en un clúster. Para obtener más información, consulta Contenedor hallazgos de vulnerabilidades. Security Health Analytics
Google Cloud Over privileged service account user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) R usuario tiene la condición Usuario de cuenta de servicio o Usuario rol Creador de tokens de cuenta a nivel del proyecto, en lugar de un cuenta de servicio específica. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. Security Health Analytics
Google Cloud Service account key not rotated (SERVICE_ACCOUNT_KEY_NOT_ROTATED) La clave de una cuenta de servicio no se rota durante más de 90 días. Para obtener más información, consulta los resultados de vulnerabilidades de IAM. Security Health Analytics
Google Cloud Over privileged scopes (OVER_PRIVILEGED_SCOPES) Una cuenta de servicio de nodo tiene amplios permisos de acceso. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. Security Health Analytics
Google Cloud KMS public key (KMS_PUBLIC_KEY) Se puede acceder a una clave criptográfica de Cloud KMS de forma pública. Para obtener más información, consulta KMS hallazgos de vulnerabilidades. Security Health Analytics
Google Cloud Public bucket ACL (PUBLIC_BUCKET_ACL) Un bucket de Cloud Storage es de acceso público. Para obtener más información, consulta Almacenamiento hallazgos de vulnerabilidades. Security Health Analytics
Google Cloud Public log bucket (PUBLIC_LOG_BUCKET) Un bucket de almacenamiento usado como registro receptor sea de acceso público. Para obtener más información, consulta Almacenamiento hallazgos de vulnerabilidades. Security Health Analytics
Google Cloud User managed service account key (USER_MANAGED_SERVICE_ACCOUNT_KEY) Un usuario administra una clave de cuenta de servicio. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. Security Health Analytics
Google Cloud Too many KMS users (TOO_MANY_KMS_USERS) Hay más de tres usuarios de claves criptográficas. Para obtener más información, consulta Hallazgos de vulnerabilidades de KMS. Security Health Analytics
Google Cloud KMS project has owner (KMS_PROJECT_HAS_OWNER) Un usuario tiene Los permisos de Propietario en un proyecto con encriptación claves. Para obtener más información, consulta KMS hallazgos de vulnerabilidades. Security Health Analytics
Google Cloud Owner not monitored (OWNER_NOT_MONITORED) Las métricas y las alertas de registros no están configuradas para supervisar los cambios o las asignaciones de propiedad del proyecto. Para ver más consulta Supervisión hallazgos de vulnerabilidades. Security Health Analytics

Filtrar los hallazgos de identidad y acceso por plataforma en la nube

En el panel Resultados de la búsqueda de resultados, puedes saber qué resultado se relaciona con una plataforma de nube determinada inspeccionando el contenido de las columnas Proveedor de nube, Nombre visible del recurso o Tipo de recurso.

En Finding query results, se muestran los resultados de identidad y acceso de los entornos de Google Cloud y AWS de forma predeterminada. Editar el hallazgo predeterminado para mostrar solo los resultados de una plataforma en la nube en particular, selecciona Amazon Web Services o Google Cloud Platform del proveedor de servicios en la nube categoría de filtros rápidos.

Inspecciona los hallazgos sobre identidad y acceso en detalle

Para obtener más información sobre un hallazgo de identidad y acceso, abre la vista detallada de haciendo clic en el nombre del resultado en la columna Categoría en Panel Resultados de la búsqueda. Para obtener más información sobre los detalles del hallazgo ver, consultar Consulta los detalles de un resultado.

Las siguientes secciones en la pestaña Resumen de la vista detallada son útiles para investigar los hallazgos de identidad y acceso.

Otorgamientos de acceso infractores

En la pestaña Resumen del panel de detalles de un hallazgo, la fila Concesiones de acceso ofensivas proporciona una forma de inspeccionar rápidamente los principales, incluidas las identidades federadas, y su acceso a tus recursos. Esta información solo aparece para los resultados cuando el recomendador de IAM detecta principales en los recursos de Google Cloud con requisitos de roles sin usar.

Haz clic en Revisar otorgamientos de acceso infractores para abrir la opción Revisar los permisos infractores otorgamientos, que contiene la siguiente información:

  • El nombre de la principal. Los principales que se muestran en esta columna pueden ser una combinación de cuentas de usuario, grupos, identidades federadas y cuentas de servicio de Google Cloud.
  • Es el nombre del rol otorgado al principal.
  • Esta es la acción recomendada que puedes realizar para solucionar el problema de acceso.

Información del caso

En la pestaña Resumen de la página de detalles de un hallazgo, la sección Información del caso se muestra cuando hay un caso o ticket que corresponde a un hallazgo en particular. Los casos y los tickets se generan automáticamente se creó para los resultados con una clasificación de gravedad Critical o High.

La sección Información de casos proporciona una forma de hacer un seguimiento de los esfuerzos de remediación de un hallazgo en particular. Proporciona detalles sobre la caso correspondiente, como vínculos a cualquier caso y sistema de tickets correspondientes (Jira o ServiceNow), el destinatario, el estado y la prioridad del caso.

  • Para acceder al caso correspondiente a haz clic en el número de ID del caso en la fila Case ID.

  • Para acceder al ticket de Jira o ServiceNow correspondiente al hallazgo, haz clic en el número de ID del ticket en la fila ID del ticket.

Para conectar tus sistemas de tickets con Security Command Center Enterprise, consulta Integra Security Command Center Enterprise con generación de tickets de la aplicación.

Para obtener más información sobre cómo revisar los casos correspondientes, consulta Cómo revisar los casos de búsqueda de identidad y acceso.

Próximos pasos

En la pestaña Resumen de la página de detalles de un hallazgo, la sección Próximos pasos proporciona orientación paso a paso para corregir de inmediato el problema detectado. Estas recomendaciones se adaptan al hallazgo específico visualización.

¿Qué sigue?