En esta página se explica cómo trabajar con las detecciones de problemas de seguridad relacionados con la identidad y el acceso (detecciones de identidad y acceso) en la consola deGoogle Cloud para investigar e identificar posibles errores de configuración.
Como parte de las funciones de gestión de derechos de infraestructura en la nube (CIEM) que se ofrecen en el nivel Enterprise, Security Command Center genera resultados de identidad y acceso, y los pone a disposición en la página Resumen de riesgos de Security Command Center. Estos resultados se organizan y clasifican en el panel Resultados de identidad y acceso.
Antes de empezar
Antes de continuar, asegúrate de que has completado las siguientes tareas:
- Consulta información sobre las funciones de CIEM de Security Command Center.
- Configura los permisos de CIEM.
- Habilita el servicio de detección de CIEM en tu nube.
Ver los resultados de identidad y acceso en la página Resultados
La vista Identidad de la página Resultados de Security Command Center muestra los resultados de identidad y acceso de tus entornos de nube, como Google Cloud y Amazon Web Services (AWS).
En la consola de Google Cloud , selecciona Resultados en el menú de navegación.
Selecciona la vista Identidad.
La vista Identidad añade una condición de filtro para mostrar solo los resultados en los que el campo domains.category contiene el valor IDENTITY_AND_ACCESS.
Para mostrar solo los resultados de una plataforma en la nube específica, usa los botones AWS y Google.
Usa el panel Filtros rápidos y el Editor de consultas para filtrar aún más los resultados. Para ver solo las detecciones de un servicio concreto, selecciona ese servicio en la categoría Nombre visible de la fuente del panel Filtros rápidos. Por ejemplo, si solo quiere ver los resultados detectados por el servicio de detección de CIEM, seleccione CIEM. Otros ejemplos son:
- Categoría: filtra los resultados de la consulta por categorías de hallazgos específicas sobre las que quieras obtener más información.
- ID de proyecto: filtra los resultados de la consulta para mostrar las detecciones relacionadas con un proyecto específico.
- Tipo de recurso: filtra para consultar los resultados de las detecciones relacionadas con un tipo de recurso específico.
- Gravedad: filtra los resultados para buscar vulnerabilidades de una gravedad específica.
- Nombre visible de origen: filtra para consultar los resultados de las detecciones realizadas por un servicio específico que ha detectado la configuración incorrecta.
El panel Resultados de la consulta de detecciones consta de varias columnas que proporcionan detalles sobre la detección. Entre ellas, las siguientes columnas son de interés para los fines de CIEM:
- Gravedad: muestra la gravedad de un resultado para ayudarte a priorizar la corrección.
- Nombre visible del recurso: muestra el recurso en el que se ha detectado el resultado.
- Nombre visible del origen: muestra el servicio que ha detectado el resultado. Entre las fuentes que generan resultados relacionados con la identidad se incluyen CIEM, el recomendador de IAM, Security Health Analytics y Event Threat Detection.
- Proveedor de servicios en la nube: muestra el entorno de nube en el que se ha detectado el hallazgo, como Google Cloud, AWS y Microsoft Azure.
- Concesiones de acceso infractoras: muestra un enlace para revisar las entidades a las que se les han concedido roles inapropiados.
- ID de asistencia: muestra el número de ID del caso relacionado con la conclusión.
Para obtener más información sobre cómo trabajar con las detecciones, consulta Revisar y gestionar detecciones.
Investigar las detecciones de identidades y accesos de diferentes plataformas en la nube
Security Command Center te permite investigar los resultados de errores de configuración de identidades y accesos de tus entornos de AWS, Microsoft Azure y Google Cloud en la página Resultados de Security Command Center.
Muchos servicios de detección de Security Command Center, como CIEM, el recomendador de gestión de identidades y accesos, Security Health Analytics y Event Threat Detection, generan categorías de resultados específicas de CIEM que detectan posibles problemas de seguridad de identidades y accesos en tus plataformas en la nube.
El servicio de detección de CIEM de Security Command Center genera resultados específicos para tus entornos de AWS y Microsoft Azure, mientras que los servicios de detección de recomendaciones de gestión de identidades y accesos, Security Health Analytics y Event Threat Detection generan resultados específicos para tu entorno de Google Cloud.
Para ver solo las detecciones de un servicio específico, selecciona ese servicio en la categoría de filtros rápidos Nombre visible de origen. Por ejemplo, si solo quieres ver las detecciones detectadas por el servicio de detección de CIEM, selecciona CIEM.
En la siguiente tabla se describen todas las detecciones que se consideran parte de las funciones de CIEM de Security Command Center.
| Plataforma en la nube | Categorías de resultado | Descripción | Fuente |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Roles de gestión de identidades y accesos detectados en tu entorno de AWS con políticas muy permisivas. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Grupos de gestión de identidades y accesos de AWS o de IAM Identity Center de AWS detectados en su entorno de AWS con políticas muy permisivas. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Se han detectado usuarios de AWS IAM o de AWS IAM Identity Center en su entorno de AWS con políticas muy permisivas. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| AWS | User is inactive
(INACTIVE_USER) | Se han detectado usuarios inactivos de AWS IAM o de AWS IAM Identity Center en tu entorno de AWS. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| AWS | Group is inactive
(INACTIVE_GROUP) | Los grupos de AWS IAM o AWS IAM Identity Center detectados en su entorno de AWS no están activos. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| AWS | Assumed identity is inactive
(INACTIVE_ASSUMED_IDENTITY) | Se han detectado roles de gestión de identidades y accesos asumidos inactivos en tu entorno de AWS. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity
(OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | La política de confianza aplicada a un rol de gestión de identidades y accesos asumido es muy permisiva. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| AWS | Assumed identity has lateral movement risk
(ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | Una o varias identidades pueden moverse lateralmente en tu entorno de AWS mediante la suplantación de roles. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| Microsoft Azure | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) |
Se han detectado identidades gestionadas o entidades de servicio en tu entorno de Azure con asignaciones de roles muy permisivas. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| Microsoft Azure | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) |
Grupos detectados en tu entorno de Azure con asignaciones de roles muy permisivas. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| Microsoft Azure | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) |
Usuarios detectados en tu entorno de Azure con asignaciones de roles muy permisivas. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Hay usuarios que no usan la verificación en dos pasos. Para obtener más información, consulta Resultados de la autenticación multifactor. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Las métricas de registro y las alertas no están configuradas para monitorizar los cambios en los roles personalizados. Para obtener más información, consulta Monitorizar las detecciones de vulnerabilidades. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | No se aplica la separación de funciones y hay un usuario que tiene al mismo tiempo alguno de los siguientes roles de Cloud Key Management Service: Encargado del encriptado y desencriptado de la clave criptográfica, Encriptador o Desencriptador. Para obtener más información, consulta Resultados de vulnerabilidades de gestión de identidades y accesos. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Un usuario tiene uno de los siguientes roles básicos: Propietario (roles/owner), Editor (roles/editor) o Lector (roles/viewer). Para obtener más información, consulta Detecciones de vulnerabilidades de gestión de identidades y accesos. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Un rol de gestión de identidades y accesos de Redis se asigna a nivel de organización o de carpeta. Para obtener más información, consulta Resultados de vulnerabilidades de gestión de identidades y accesos. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Se ha asignado a un usuario los roles Administrador de cuenta de servicio y Usuario de cuenta de servicio. Esto infringe el principio de separación de funciones. Para obtener más información, consulta Resultados de vulnerabilidades de gestión de identidades y accesos. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Hay un usuario que no utiliza credenciales de la organización. Según CIS Google Cloud Foundations 1.0, solo las identidades con direcciones de correo @gmail.com activan este detector. Para obtener más información, consulta Resultados de vulnerabilidades de gestión de identidades y accesos. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Se usa una cuenta de Grupos de Google a la que se puede unir sin aprobación como principal de una política de permiso de gestión de identidades y accesos. Para obtener más información, consulta Resultados de vulnerabilidades de gestión de identidades y accesos. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | El recomendador de IAM ha detectado una cuenta de usuario que tiene un rol de IAM que no se ha usado en los últimos 90 días. Para obtener más información, consulta Resultados del recomendador de gestión de identidades y accesos. | Recomendador de gestión de identidades y accesos |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | El recomendador de gestión de identidades y accesos ha detectado una cuenta de servicio que tiene uno o varios roles de gestión de identidades y accesos que le dan permisos excesivos a la cuenta de usuario. Para obtener más información, consulta Resultados del recomendador de gestión de identidades y accesos. | Recomendador de gestión de identidades y accesos |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
El recomendador de IAM ha detectado que el rol de IAM predeterminado original que se concedía a un agente de servicio se ha sustituido por uno de los roles de IAM básicos: Propietario, Editor o Lector. Los roles básicos son roles antiguos excesivamente permisivos y no se deben conceder a los agentes de servicio. Para obtener más información, consulta el artículo sobre detecciones del recomendador de gestión de identidades y accesos. | Recomendador de gestión de identidades y accesos |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | Recomendador de gestión de identidades y accesos ha detectado que se ha concedido a un agente de servicio uno de los roles básicos de gestión de identidades y accesos: Propietario, Editor o Lector. Los roles básicos son roles antiguos excesivamente permisivos y no se deben conceder a los agentes de servicio. Para obtener más información, consulta el artículo sobre detecciones del recomendador de gestión de identidades y accesos. | Recomendador de gestión de identidades y accesos |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Una cuenta de servicio tiene privilegios de administrador, propietario o editor. Estos roles no deben asignarse a cuentas de servicio creadas por usuarios. Para obtener más información, consulta Resultados de vulnerabilidades de gestión de identidades y accesos. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Una instancia está configurada para usar la cuenta de servicio predeterminada. Para obtener más información, consulta Resultados de vulnerabilidades de instancias de Compute. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Una cuenta de servicio tiene un acceso al proyecto demasiado amplio en un clúster. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Un usuario tiene el rol Usuario de cuenta de servicio o Creador de tokens de cuenta de servicio a nivel de proyecto, en lugar de para una cuenta de servicio específica. Para obtener más información, consulta Resultados de vulnerabilidades de gestión de identidades y accesos. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Una clave de cuenta de servicio no se ha rotado en más de 90 días. Para obtener más información, consulta Resultados de vulnerabilidades de gestión de identidades y accesos. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Una cuenta de servicio de nodo tiene permisos de acceso amplios. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Una clave criptográfica de Cloud KMS es de acceso público. Para obtener más información, consulta Resultados de vulnerabilidades de KMS. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Se puede acceder públicamente a un segmento de Cloud Storage. Para obtener más información, consulta Resultados de vulnerabilidades de almacenamiento. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Se puede acceder públicamente a un segmento de almacenamiento que se utiliza como sumidero de registros. Para obtener más información, consulta Resultados de vulnerabilidades de almacenamiento. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Un usuario gestiona una clave de cuenta de servicio. Para obtener más información, consulta Resultados de vulnerabilidades de gestión de identidades y accesos. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Hay más de tres usuarios de claves criptográficas. Para obtener más información, consulta Resultados de vulnerabilidades de KMS. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Un usuario tiene permisos de propietario en un proyecto que tiene claves criptográficas. Para obtener más información, consulta Resultados de vulnerabilidades de KMS. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Las métricas de registro y las alertas no están configuradas para monitorizar las asignaciones o los cambios de propiedad del proyecto. Para obtener más información, consulta Monitorizar las detecciones de vulnerabilidades. | Security Health Analytics |
Filtrar las detecciones de identidades y accesos por plataforma en la nube
En el panel Resultados de la consulta de detecciones, puedes saber a qué plataforma en la nube corresponde una detección consultando el contenido de las columnas Proveedor de nube, Nombre visible del recurso o Tipo de recurso.
En la sección Resultados de la consulta, se muestran de forma predeterminada los resultados de identidad y acceso de los entornos deGoogle Cloud, AWS y Microsoft Azure. Para editar los resultados de la consulta de detecciones predeterminada de forma que solo se muestren las detecciones de una plataforma en la nube concreta, selecciona Amazon Web Services o Google Cloud Platform en la categoría de filtros rápidos Proveedor de servicios en la nube.
Inspeccionar los resultados de identidad y acceso en detalle
Para obtener más información sobre una detección de identidad y acceso, abre la vista detallada de la detección haciendo clic en su nombre en la columna Categoría del panel Detecciones. Para obtener más información sobre la vista de detalles de las detecciones, consulta Ver los detalles de una detección.
Las siguientes secciones de la pestaña Resumen de la vista de detalles son útiles para investigar los resultados de identidad y acceso.
Concesiones de acceso infractoras
En la pestaña Resumen del panel de detalles de un resultado, la fila Concesiones de acceso infractoras ofrece una forma de inspeccionar rápidamente las entidades principales, incluidas las identidades federadas, y su acceso a tus recursos. Esta información solo aparece en las detecciones cuando el recomendador de gestión de identidades y accesos detecta principales en Google Cloud recursos con roles básicos, poco restrictivos y sin usar.
Haz clic en Revisar concesiones de acceso infractoras para abrir el panel Revisar concesiones de acceso infractoras, que contiene la siguiente información:
- Nombre del principal. Las entidades principales que se muestran en esta columna pueden ser una combinación de cuentas de usuario, grupos, identidades federadas y cuentas de servicio. Google Cloud
- Nombre del rol asignado a la cuenta principal.
- La acción recomendada que puedes llevar a cabo para corregir el acceso infractor.
Información sobre el caso
En la pestaña Resumen de la página de detalles de una detección, la sección Información del caso se muestra cuando hay un caso o una incidencia que se corresponde con una detección concreta.
La sección Información de casos ofrece una forma de monitorizar las medidas correctivas de un hallazgo concreto. Proporciona detalles sobre el caso correspondiente, como enlaces a cualquier caso y ticket del sistema de gestión de incidencias (Jira o ServiceNow), el asignado, el estado y la prioridad del caso.
Para acceder al caso correspondiente a la detección, haz clic en el número de ID de caso de la fila ID de caso.
Para acceder a la incidencia de Jira o ServiceNow correspondiente a la detección, haz clic en el número de ID de la incidencia de la fila ID de incidencia.
Para conectar tus sistemas de asistencia con Security Command Center Enterprise, consulta el artículo sobre cómo integrar Security Command Center Enterprise con sistemas de asistencia.
Para obtener más información sobre cómo revisar los casos correspondientes, consulta Revisar casos de detecciones de identidades y accesos.
Pasos siguientes
En la pestaña Resumen de la página de detalles de una detección, la sección Pasos siguientes proporciona instrucciones paso a paso sobre cómo solucionar inmediatamente el problema detectado. Estas recomendaciones se adaptan a la conclusión específica que estés viendo.
Siguientes pasos
- Consulta cómo revisar y gestionar las detecciones.
- Consulta cómo revisar los casos de detecciones de identidades y accesos.
- Consulta información sobre los detectores de CIEM que generan resultados de AWS y Microsoft Azure.