Auf dieser Seite wird erläutert, wie Sie in der Google Cloud Console mit Ergebnissen für Sicherheitsprobleme im Zusammenhang mit Identität und Zugriff (Ergebnisse zu Identität und Zugriff) arbeiten, um potenzielle Fehlkonfigurationen zu untersuchen und zu identifizieren.
Security Command Center ist Teil der Cloud Infrastructure Entitlement Management-Funktionen (CIEM), die auf der Enterprise-Stufe verfügbar sind. Es generiert Identitäts- und Zugriffsdaten und macht sie auf der Seite Risikoübersicht von Security Command Center leicht zugänglich. Diese Ergebnisse werden im Bereich Identität und Zugriff Ergebnisse ausgewählt und kategorisiert.
Hinweise
Führen Sie die folgenden Schritte aus, bevor Sie fortfahren:
- Weitere Informationen zu den CIEM-Funktionen von Security Command Center
- Berechtigungen für CIEM einrichten
- Aktivieren Sie den CIEM-Erkennungsdienst für AWS.
Zusammenfassung der Ergebnisse zu Identität und Zugriff ansehen
Der Bereich Ergebnisse zu Identität und Zugriff auf der Seite Risikoübersicht von Security Command Center bietet einen allgemeinen Überblick über die wichtigsten Ergebnisse zu Identität und Zugriff in Ihren Cloud-Umgebungen wie Google Cloud und Amazon Web Services (AWS). Der Bereich besteht aus einer Tabelle, in der die Ergebnisse in drei Spalten angeordnet sind:
- Schweregrad: Der Ergebnisschweregrad ist ein allgemeiner Indikator dafür, wie wichtig es ist, die Ergebniskategorie zu korrigieren. Sie kann als
Critical,High,MediumoderLowklassifiziert werden. - Ergebniskategorie: Die Art der gefundenen Identität und der fehlerhaften Zugriffskonfiguration.
- Ergebnisse insgesamt: Die Gesamtzahl der Fehlkonfigurationen in Bezug auf Identität und Zugriff, die in einer Kategorie mit einer bestimmten Schweregradklassifizierung gefunden wurden.
Zum Navigieren durch die Ergebnisse im Bereich können Sie sie nach Schweregrad, Ergebniskategorie oder Anzahl der Ergebnisse insgesamt sortieren. Klicken Sie dazu auf den entsprechenden Header. Außerdem können Sie die Anzahl der im Bereich angezeigten Zeilen ändern (bis zu 200) und mithilfe der Navigationspfeile am Ende der Tabelle zwischen den Seiten wechseln.
Sie können auf einen Kategorietitel oder die entsprechende Anzahl der Ergebnisse klicken, um bestimmte Ergebnisse auf der Seite Ergebnisse des Security Command Center genauer zu prüfen. Weitere Informationen finden Sie unter Identität und Zugriff auf Ergebnisse im Detail prüfen.
Die folgenden Komponenten unter der Ergebnistabelle tragen dazu bei, zusätzlichen Kontext zu Ihrer Identität und den Ergebnissen für den Zugriff bereitzustellen:
- Das Label Quellen gibt die Quelle an, aus der Security Command Center Daten aufnimmt, um die Ergebnisse zu generieren. Die Ergebnisse zu Identität und Zugriff können sowohl für Google Cloud- als auch für AWS-Umgebungen gelten. Security Command Center zeigt Identitäts- und Zugriffsdaten für AWS nur an, wenn Sie eine AWS-Instanz verbunden und AWS-Logaufnahme für CIEM konfiguriert haben.
- Über den Link Alle Ergebnisse zu Identität und Zugriff ansehen können Sie die Seite Ergebnisse in Security Command Center aufrufen, um alle erkannten Fehlkonfigurationen zu Identität und Zugriff unabhängig von Kategorie oder Schweregrad anzusehen.
- Über den Link Zugriff mit Policy Analyzer prüfen können Sie schnell auf das Policy Analyzer-Tool zugreifen. Damit können Sie sehen, wer basierend auf Ihren IAM-Zulassungsrichtlinien Zugriff auf welche Ressourcen hat.
Identität und Zugriff auf Ergebnisse auf der Seite „Ergebnisse“ ansehen
Der Bereich Ergebnisse zu Identität und Zugriff bietet mehrere Einstiegspunkte für die Seite Ergebnisse von Security Command Center, um die Identität zu prüfen und auf Ergebnisse im Detail zuzugreifen:
- Klicken Sie unter Ergebniskategorie auf einen beliebigen Ergebnisnamen oder unter Gesamtergebnisse auf einen Ergebnisnamen, um automatisch nach dieser Ergebniskategorie und Schweregradbewertung abzufragen.
- Klicken Sie auf Alle Ergebnisse zu Identität und Zugriff ansehen, um alle Ergebnisse in keiner bestimmten Reihenfolge abzufragen.
Security Command Center wählt bestimmte Schnellfilter vorab aus, die eine Ergebnisabfrage speziell für Identitäts- und Zugriffsfehlerkonfigurationen erstellen. Die Schnellfilteroptionen ändern sich, je nachdem, ob Sie eine oder alle Identitäten abfragen und auf Ergebnisse zugreifen. Sie können diese Abfragen nach Bedarf bearbeiten. Zu den Schnellfilter-Kategorien und -optionen, die für CIEM-Zwecke von Interesse sind, gehören:
- Category (Kategorie): Filtert zum Abfragen der Ergebnisse für bestimmte Ergebniskategorien, über die Sie mehr erfahren möchten. Die in dieser Kategorie aufgeführten Schnellfilteroptionen ändern sich je nachdem, ob Sie eine oder alle Identitäten und Zugriffsergebnisse abfragen.
- Projekt-ID: Filter zum Abfragen der Ergebnisse für Ergebnisse, die sich auf ein bestimmtes Projekt beziehen.
- Ressourcentyp: Filter zum Abfragen der Ergebnisse für Ergebnisse, die sich auf einen bestimmten Ressourcentyp beziehen.
- Schweregrad: Filtert, um die Ergebnisse nach Ergebnissen mit einem bestimmten Schweregrad abzufragen.
- Anzeigename der Quelle: Filtert zum Abfragen der Ergebnisse für Ergebnisse, die von einem bestimmten Dienst erkannt wurden, der die Fehlkonfiguration erkannt hat.
- Cloud-Anbieter: Filter zum Abfragen der Ergebnisse für Ergebnisse von einer bestimmten Cloud-Plattform.
Der Bereich Ergebnisse der Ergebnisabfrage besteht aus mehreren Spalten, die Details zum Ergebnis enthalten. Unter anderem sind die folgenden Spalten für CIEM-Zwecke von Interesse:
- Schweregrad: Zeigt den Schweregrad eines bestimmten Ergebnisses an, um Ihnen bei der Problembehebung zu helfen.
- Anzeigename der Ressource: Zeigt die Ressource an, in der das Ergebnis erkannt wurde.
- Anzeigename der Quelle: Zeigt den Dienst an, der das Ergebnis erkannt hat. Zu den Quellen, die identitätsbezogene Ergebnisse liefern, gehören CIEM, IAM Recommender und Security Health Analytics.
- Cloud-Anbieter: Zeigt die Cloud-Umgebung an, in der das Ergebnis erkannt wurde, z. B. Google Cloud und AWS.
- Verstörende Zugriffsrechte: Hier wird ein Link angezeigt, über den die Hauptkonten überprüft werden können, denen potenziell unangemessene Rollen gewährt wurden.
- Fall-ID: Gibt die ID des Falls an, der sich auf das Ergebnis bezieht.
Weitere Informationen zum Arbeiten mit Ergebnissen finden Sie unter In der Google Cloud Console mit Ergebnissen arbeiten.
Ergebnisse zu Identität und Zugriff für verschiedene Cloud-Plattformen untersuchen
Mit Security Command Center können Sie auf der Seite Ergebnisse von Security Command Center Ergebnisse zu Identitäts- und Zugriffsfehlern für Ihre AWS- und Google Cloud-Umgebungen untersuchen.
Viele verschiedene Erkennungsdienste von Security Command Center, wie CIEM, IAM Recommender und Security Health Analytics, generieren CIEM-spezifische Erkennungskategorien, die potenzielle Sicherheitsprobleme in Bezug auf Identität und Zugriff für Ihre Cloud-Plattformen erkennen.
Der CIEM-Erkennungsdienst von Security Command Center generiert bestimmte Ergebnisse für Ihre AWS-Umgebung, während der IAM-Recommender und die Erkennungsdienste von Security Health Analytics spezifische Ergebnisse für Ihre Google Cloud-Umgebung generieren.
Wenn Sie nur Ergebnisse ansehen möchten, die von einem bestimmten Dienst erkannt wurden, wählen Sie diesen Dienst aus der Schnellfilterkategorie Anzeigename der Quelle aus. Wenn Sie beispielsweise nur Ergebnisse ansehen möchten, die vom CIEM-Erkennungsdienst erkannt wurden, wählen Sie CIEM aus.
In der folgenden Tabelle werden alle Ergebnisse beschrieben, die als Teil der CIEM-Funktionen von Security Command Center gelten.
| Cloud Platform | Ergebniskategorie | Beschreibung | Quelle |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Angenommene IAM-Rollen, die in Ihrer AWS-Umgebung mit stark freizügigen Richtlinien erkannt wurden. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | Logo: CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | In Ihrer AWS-Umgebung erkannte IAM-Gruppen mit stark moderaten Richtlinien. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | Logo: CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | IAM-Nutzer in Ihrer AWS-Umgebung mit stark moderaten Richtlinien erkannt. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | Logo: CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Es gibt Nutzer, die die Bestätigung in zwei Schritten noch nicht verwenden. Weitere Informationen finden Sie unter Ergebnisse der Multi-Faktor-Authentifizierung. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Logmesswerte und -benachrichtigungen sind nicht zum Überwachen von Änderungen an benutzerdefinierten Rollen konfiguriert. Weitere Informationen finden Sie unter Ergebnisse von Sicherheitslücken überwachen. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | Die Aufgabentrennung wird nicht erzwungen und es gibt einen Nutzer, der gleichzeitig eine der folgenden Cloud Key Management Service-Rollen hat: CryptoKey Encrypter/Decrypter, Encrypter oder Decrypter. Weitere Informationen finden Sie unter Ergebnisse von IAM-Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Ein Nutzer hat eine der folgenden einfachen Rollen: Inhaber (roles/owner), Bearbeiter (roles/editor) oder Betrachter (roles/viewer). Weitere Informationen finden Sie unter Ergebnisse von IAM-Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Eine Redis-IAM-Rolle wird auf Organisations- oder Ordnerebene zugewiesen. Weitere Informationen finden Sie unter Ergebnisse von IAM-Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Einem Nutzer wurden die Rollen Dienstkontoadministrator und Dienstkontonutzer zugewiesen. Dies verstößt gegen das Prinzip der „Aufgabentrennung“. Weitere Informationen finden Sie unter Ergebnisse von IAM-Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Es gibt einen Nutzer, der keine Anmeldedaten der Organisation verwendet. Gemäß CIS Google Cloud Foundations 1.0 lösen nur Identitäten mit @gmail.com-E-Mail-Adressen diesen Detektor aus. Weitere Informationen finden Sie unter Ergebnisse von IAM-Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Ein Google Groups-Konto, das ohne Genehmigung beigetreten werden kann, wird als Hauptkonto für IAM-Zulassungsrichtlinien verwendet. Weitere Informationen finden Sie unter Ergebnisse von IAM-Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | Der IAM-Recommender hat ein Nutzerkonto mit einer IAM-Rolle erkannt, die in den letzten 90 Tagen nicht verwendet wurde. Weitere Informationen finden Sie unter Ergebnisse des IAM-Recommenders. | IAM Recommender |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | Der IAM-Recommender hat ein Dienstkonto mit einer oder mehreren IAM-Rollen erkannt, die dem Nutzerkonto übermäßig viele Berechtigungen gewähren. Weitere Informationen finden Sie unter Ergebnisse des IAM-Recommenders. | IAM Recommender |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
Der IAM-Recommender hat erkannt, dass die ursprüngliche IAM-Standardrolle, die einem Dienst-Agent zugewiesen wurde, durch eine der einfachen IAM-Rollen ersetzt wurde: Inhaber, Bearbeiter oder Betrachter. Einfache Rollen sind Legacy-Rollen mit zu umfangreichen Berechtigungen und sollten Dienst-Agents nicht gewährt werden. Weitere Informationen finden Sie unter Ergebnisse des IAM-Recommenders. | IAM Recommender |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | Der IAM-Recommender hat in IAM erkannt, dass einem Dienst-Agent eine der einfachen IAM-Rollen Inhaber, Bearbeiter oder Betrachter zugewiesen wurde. Einfache Rollen sind Legacy-Rollen mit zu umfangreichen Berechtigungen und sollten Dienst-Agents nicht gewährt werden. Weitere Informationen finden Sie unter Ergebnisse des IAM-Recommenders. | IAM Recommender |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Ein Dienstkonto hat die Berechtigungen Administrator, Inhaber oder Bearbeiter. Diese Rollen sollten keinen von Nutzern erstellten Dienstkonten zugewiesen werden. Weitere Informationen finden Sie unter Ergebnisse von IAM-Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto verwendet. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Compute-Instanzen. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Ein Dienstkonto hat einen zu umfassenden Projektzugriff in einem Cluster. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Ein Nutzer hat die Rolle Dienstkontonutzer oder Ersteller von Dienstkonto-Tokens auf Projektebene anstatt für ein bestimmtes Dienstkonto. Weitere Informationen finden Sie unter Ergebnisse von IAM-Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert. Weitere Informationen finden Sie unter Ergebnisse von IAM-Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Ein Knotendienstkonto hat umfassende Zugriffsbereiche. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich. Weitere Informationen finden Sie unter Ergebnisse zu KMS-Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Ein Cloud Storage-Bucket ist öffentlich zugänglich. Weitere Informationen finden Sie unter Ergebnisse zu Storage-Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Ein als Logsenke verwendeter Storage-Bucket ist öffentlich zugänglich. Weitere Informationen finden Sie unter Ergebnisse zu Storage-Sicherheitslücken. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Ein Nutzer verwaltet einen Dienstkontoschlüssel. Weitere Informationen finden Sie unter Ergebnisse von IAM-Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Es gibt mehr als drei Nutzer von kryptografischen Schlüsseln. Weitere Informationen finden Sie unter Ergebnisse zu KMS-Sicherheitslücken. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Ein Nutzer hat die Berechtigung Inhaber für ein Projekt, das kryptografische Schlüssel enthält. Weitere Informationen finden Sie unter Ergebnisse zu KMS-Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Logmesswerte und -benachrichtigungen sind nicht zum Überwachen von Zuweisungen oder Änderungen der Projektinhaberschaft konfiguriert. Weitere Informationen finden Sie unter Ergebnisse von Sicherheitslücken überwachen. | Security Health Analytics |
Ergebnisse zu Identität und Zugriff nach Cloud-Plattform filtern
Im Bereich Ergebnisse der Ergebnisabfrage können Sie anhand des Inhalts der Spalten Cloud-Anbieter, Anzeigename der Ressource oder Ressourcentyp feststellen, welches Ergebnis sich auf eine bestimmte Cloud-Plattform bezieht.
Unter Abfrageergebnisse finden werden standardmäßig die Identität und der Zugriff auf Ergebnisse für Google Cloud- und AWS-Umgebungen angezeigt. Wenn Sie die standardmäßigen Ergebnisabfrageergebnisse so bearbeiten möchten, dass nur Ergebnisse für eine bestimmte Cloud-Plattform angezeigt werden, wählen Sie Amazon Web Services oder Google Cloud Platform aus der Schnellfilterkategorie Cloud-Anbieter aus.
Identität und Zugriff auf Ergebnisse im Detail prüfen
Wenn Sie weitere Informationen zu einem Identitäts- und Zugriffsergebnis erhalten möchten, öffnen Sie die Detailansicht des Ergebnisses. Klicken Sie dazu im Bereich Ergebnisse der Ergebnisabfrage in der Spalte Kategorie auf den Ergebnisnamen. Weitere Informationen zur Ergebnisdetailansicht finden Sie unter Details eines Befunds ansehen.
In den folgenden Abschnitten auf dem Tab Zusammenfassung der Detailansicht können Sie Ergebnisse zu Identität und Zugriff prüfen.
Verstoßende Zugriffserteilungen
Auf dem Tab Zusammenfassung des Detailbereichs eines Ergebnisses bietet die Zeile Verstößige Zugriffsrechte eine Möglichkeit, Google Cloud- und Hauptkonten von Drittanbietern sowie deren Zugriff auf Ihre Ressourcen schnell zu prüfen. Diese Informationen werden nur für Ergebnisse angezeigt, wenn der IAM-Recommender Hauptkonten in Google Cloud-Ressourcen mit stark moderaten, einfachen und nicht verwendeten Rollen erkennt.
Klicken Sie auf Verstörende Zugriffserteilungen überprüfen, um den Bereich Zugriffserteilungen überprüfen zu öffnen, die die folgenden Informationen enthalten:
- Der Name des Hauptkontos. Die in dieser Spalte angezeigten Hauptkonten können eine Kombination aus Google Cloud-Nutzerkonten (
user:example-user@example.com), Gruppen, Identitäten von anderen Identitätsanbietern (//iam.googleapis.com/locations/global/workforcePools/example-pool/subject/example-user@example.com) und Dienstkonten sein. - Der Name der Rolle, die dem Hauptkonto gewährt wurde.
- Die empfohlene Maßnahme, um die Zugriffsrechte zu beheben.
Informationen zum Fall
Auf dem Tab Zusammenfassung der Detailseite eines Ergebnisses werden die Fallinformationen angezeigt, wenn es einen Fall oder ein Ticket zu einem bestimmten Ergebnis gibt. Für Ergebnisse mit der Schweregradklassifizierung Critical oder High werden automatisch Fälle und Tickets erstellt.
Im Abschnitt Fallinformationen können Sie die Korrekturmaßnahmen für ein bestimmtes Ergebnis verfolgen. Sie enthält Details zum entsprechenden Fall, z. B. Links zum Ticket für den entsprechenden Fall und das Ticketsystem (Jira oder ServiceNow), die zuständige Person, den Fallstatus und die Fallpriorität.
Klicken Sie auf die Fall-ID in der Zeile Case ID (Fall-ID), um auf den dem Ergebnis entsprechenden Fall zuzugreifen.
Klicken Sie auf die Ticket-ID in der Zeile Ticket ID (Ticket-ID), um auf das zum Ergebnis gehörende Jira- oder ServiceNow-Ticket zuzugreifen.
Informationen zum Verbinden Ihrer Ticketsysteme mit Security Command Center Enterprise finden Sie unter Security Command Center Enterprise in Ticketsysteme einbinden.
Weitere Informationen zum Überprüfen entsprechender Fälle finden Sie unter Fälle zur Identität und zum Zugriff überprüfen.
Weitere Informationen
Auf der Detailseite eines Ergebnisses finden Sie auf dem Tab Zusammenfassung im Abschnitt Nächste Schritte eine detaillierte Anleitung zur sofortigen Behebung des erkannten Problems. Diese Empfehlungen sind auf das jeweilige Ergebnis zugeschnitten, das Sie sich ansehen.
Nächste Schritte
- Mit Ergebnissen arbeiten
- Weitere Informationen zum Prüfen von Supportanfragen zu Identität und Zugriff
- CIEM-Detektoren, die AWS-Ergebnisse generieren