Cette page explique comment traiter les problèmes de sécurité à l'identité et aux accès (résultats sur l'identité et les accès) dans le la console Google Cloud pour examiner et identifier d'éventuelles erreurs de configuration.
Dans le cadre des fonctionnalités de gestion des droits d'accès à l'infrastructure cloud (CIEM) proposées avec le forfait Enterprise Security Command Center génère des résultats liés à l'identité et aux accès, accessible sur la page Présentation des risques de Security Command Center. Ces résultats sont organisées et classées dans le volet Résultats concernant l'identité et les accès.
Avant de commencer
Avant de continuer, assurez-vous d'avoir effectué les tâches suivantes :
- En savoir plus Fonctionnalités CIEM de Security Command Center
- Configurez les autorisations pour CIEM.
- Activez le service de détection CIEM pour AWS.
Afficher un résumé des résultats concernant l'identité et les accès
Volet Résultats liés à l'identité et aux accès de Security Command Center Vue d'ensemble des risques propose une vue d'ensemble des principales données sur l'identité et les accès vos environnements cloud, comme Google Cloud et Amazon Web Services (AWS). La se compose d'une table qui organise les résultats sur trois colonnes:
- Gravité : la gravité de la non-conformité est un indicateur général de l'importance de corriger la catégorie de non-conformité, qui peut être classée comme suit :
Critical,High,MediumouLow. - Catégorie de résultat : type d'erreur de configuration concernant l'identité et les accès détectée.
- Fournisseur cloud: environnement cloud dans lequel les erreurs de configuration ont été détectées trouvé.
- Nombre total de résultats : nombre total de configurations incorrectes d'identité et d'accès détectées dans une catégorie pour un niveau de gravité donné.
Pour parcourir les résultats dans le volet, vous pouvez les trier par gravité, catégorie de résultats ou nombre total de résultats en cliquant sur l'en-tête correspondant. Vous pouvez modifier également le nombre de lignes affichées par le volet (jusqu'à 200) et naviguer entre les pages à l'aide des flèches de navigation en bas du tableau.
Vous pouvez cliquer sur le titre d'une catégorie ou sur le nombre total de résultats correspondant pour examiner plus en détail des résultats spécifiques sur la page Résultats de Security Command Center. Pour en savoir plus, consultez Inspectez en détail les résultats concernant l'identité et les accès.
Les composants suivants, situés sous le tableau des résultats, fournissent des informations le contexte de vos résultats concernant l'identité et les accès:
- L'étiquette Sources indique la source ingérée par Security Command Center. des données pour produire les résultats. Les résultats concernant l'identité et les accès aux deux dans les environnements Google Cloud et AWS. Security Command Center n'affiche les résultats d'identité et d'accès pour AWS que si vous avez connecté une instance AWS et configuré l'ingestion des journaux AWS pour le CIEM.
- Le lien Afficher tous les résultats concernant l'identité et les accès vous permet d'accéder Page Résultats de Security Command Center afin d'afficher toutes les identités et tous les accès détectés erreurs de configuration quelle que soit la catégorie ou la gravité.
- Le lien Examiner les accès avec Policy Analyzer pour Google Cloud vous permet d'accéder rapidement à l'outil Policy Analyzer, qui vous permet de voir qui a accès à quelles ressources Google Cloud en fonction de vos stratégies d'autorisation IAM.
Afficher les résultats concernant l'identité et les accès sur la page "Résultats"
Le volet Résultats liés à l'identité et aux accès propose plusieurs points d'entrée vers la page Résultats de Security Command Center pour inspecter les résultats liés à l'identité et aux accès en détail :
- Cliquez sur le nom d'un résultat sous Catégorie de résultats ou sur le nombre total de résultats sous Nombre total de résultats pour effectuer automatiquement une requête pour cette catégorie de résultats et cette gravité.
- Cliquez sur Afficher tous les résultats concernant l'identité et les accès pour interroger tous les résultats dans sans ordre particulier.
Security Command Center présélectionne certains filtres rapides qui créent une requête de résultats spécifiquement pour les erreurs de configuration d'identité et d'accès. Les options de filtrage rapide changent en fonction selon que vous interrogez tout ou partie des résultats liés à l'identité et aux accès. Vous pouvez modifier ces requêtes si nécessaire. Les catégories et options de filtres rapides spécifiques qui sont intéressantes à des fins de CIEM incluent les suivantes :
- Catégorie : filtres permettant d'interroger les résultats pour des catégories de résultats spécifiques sur lesquelles vous souhaitez en savoir plus. Les options de filtrage rapide présentées dans ce changent de catégorie selon que vous interrogez une ou la totalité des identités et des accès les résultats.
- ID du projet : filtres permettant de rechercher dans les résultats les résultats qui concernent un projet spécifique.
- Resource type (Type de ressource) : filtres permettant d'interroger les résultats pour obtenir des résultats liés à une un type de ressource spécifique.
- Gravité : filtres permettant d'interroger les résultats pour les résultats d'un niveau de gravité spécifique.
- Nom à afficher de la source : filtres permettant d'interroger les résultats pour les résultats détectés par un service spécifique qui a détecté la mauvaise configuration.
- Fournisseur de services cloud : filtres permettant de rechercher les résultats provenant d'une plate-forme cloud spécifique.
Le panneau Résultats de la requête de résultat est composé de plusieurs colonnes qui fournissent des détails sur le résultat. Parmi eux, les colonnes suivantes sont intéressantes pour Finalités CIEM:
- Gravité: affiche la gravité d'un résultat donné pour vous aider à la hiérarchiser de correction.
- Nom à afficher de la ressource: affiche la ressource où se trouvait le résultat. détecté.
- Source display name (Nom à afficher de la source) : indique le service qui a détecté le résultat. Parmi les sources qui produisent des données liées à l'identité figurent CIEM, l'outil de recommandation IAM et Security Health Analytics.
- Fournisseur cloud: affiche l'environnement cloud dans lequel le résultat se trouve détectées, comme Google Cloud et AWS.
- Autorisations d'accès incriminées: affiche un lien permettant d'examiner les comptes principaux qui se sont vu attribuer des rôles inappropriés.
- Numéro de demande : affiche le numéro de demande associé à la non-conformité.
Pour en savoir plus sur l'utilisation des résultats, consultez la section Examiner et gérer les résultats.
Examiner les résultats concernant l'identité et les accès pour différentes plates-formes cloud
Security Command Center vous permet d'examiner les erreurs de configuration liées aux identités et aux accès pour vos environnements AWS et Google Cloud Page Résultats de Security Command Center.
De nombreux services de détection Security Command Center, tels que le CIEM, le recommender IAM et Security Health Analytics, génèrent des catégories de résultats spécifiques au CIEM qui détectent les problèmes potentiels de sécurité de l'identité et des accès pour vos plates-formes cloud.
Le service de détection CIEM de Security Command Center génère pour votre environnement AWS, l'outil de recommandation IAM et Security Health Analytics les services de détection génèrent des résultats spécifiques pour vos Google Cloud environnement.
Pour n'afficher que les résultats détectés par un service spécifique, sélectionnez ce service dans la catégorie de filtres rapides Nom à afficher pour la source. Par exemple, si vous souhaitez afficher uniquement les résultats détectés par le service de détection CIEM, sélectionnez CIEM.
Le tableau suivant décrit tous les résultats considérés comme faisant partie de Fonctionnalités CIEM de Security Command Center.
| Cloud Platform | Catégorie de résultats | Description | Source |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Prévu Rôles IAM détectés dans votre environnement AWS avec des autorisations règles. Pour en savoir plus, consultez les résultats de l'analyse CIEM. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Groupes IAM détectés dans votre environnement AWS avec des stratégies très permissives. Pour plus consultez la page CIEM résultats. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Utilisateurs IAM détectés dans votre environnement AWS avec des stratégies très permissives. Pour plus consultez la page CIEM résultats. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Certains utilisateurs n'utilisent pas Validation en deux étapes. Pour plus d'informations, consultez la section Multi-facteurs les résultats d'authentification. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au rôle personnalisé. Pour plus d'informations, consultez la page Surveillance et des failles. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | La séparation des tâches n'est pas appliquée, et un utilisateur disposant de l'un des services Cloud Key Management Service suivants simultanément: chiffreur/déchiffreur de clés cryptographiques, Chiffreur ou Déchiffreur. Pour en savoir plus, consultez la page Résultats des failles liées à IAM. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Un utilisateur possède l'un des
les rôles de base suivants: Propriétaire (roles/owner),
Éditeur (roles/editor) ou
Lecteur (roles/viewer) Pour plus d'informations,
voir IAM
de failles. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Un rôle IAM Redis est attribué au niveau de l'organisation ou du dossier. Pour en savoir plus, consultez la page Résultats des failles liées à IAM. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Un utilisateur a été les rôles d'administrateur de compte de service et de service Utilisateur de compte. Cela enfreint la section "Séparation des tâches" sur ce principe. Pour en savoir plus, consultez la page Résultats des failles liées à IAM. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Un utilisateur n'utilise pas d'identifiants d'organisation. Conformément aux règles CIS Google Cloud Foundations 1.0, seules les identités disposant d'adresses e-mail @gmail.com déclenchent ce détecteur. Pour plus consultez la page IAM et des failles. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Un compte Google Groupes peut être joint sans approbation est utilisé comme compte principal de stratégie d'autorisation IAM. Pour en savoir plus, consultez la page Résultats des failles liées à IAM. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | L'outil de recommandation IAM a détecté un compte utilisateur dont le rôle IAM n'a pas été utilisé au cours des 90 derniers jours. Pour en savoir plus, consultez la page IAM les résultats de l'outil de recommandation. | Outil de recommandation IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | Le recommender IAM a détecté un compte de service qui possède un ou plusieurs rôles IAM qui accordent des autorisations excessives au compte utilisateur. Pour en savoir plus, consultez la page IAM les résultats de l'outil de recommandation. | Outil de recommandation IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
L'outil de recommandation IAM a détecté que le rôle IAM par défaut d'origine attribué à un agent de service a été remplacé par l'un des rôles IAM de base : Propriétaire, Éditeur ou Lecteur. Les rôles de base sont trop permissifs dans les anciens rôles et ne doit pas être accordé aux agents de service. Pour en savoir plus, consultez les résultats de l'outil de recommandation IAM. | Outil de recommandation IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | L'outil de recommandation IAM a détecté qu'un agent de service avait reçu l'un des rôles IAM de base : Propriétaire, Éditeur ou Lecteur. Les rôles de base sont des rôles anciens excessivement permissifs et ne doivent pas être accordés aux agents de service. Pour en savoir plus, consultez les résultats de l'outil de recommandation IAM. | Outil de recommandation IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Un compte de service dispose des droits d'administrateur, de propriétaire ou d'éditeur. Ces rôles ne doivent pas être attribués à des comptes de service créés par l'utilisateur. Pour en savoir plus, consultez la page Résultats des failles liées à IAM. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Une instance est configurée pour utiliser le compte de service par défaut. Pour en savoir plus, consultez Calcul les failles détectées sur les instances. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Un compte de service possède un accès au projet trop large dans un cluster. Pour en savoir plus, consultez la page Résultats des failles liées aux conteneurs. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Un utilisateur possède le rôle Utilisateur du compte de service ou Créateur de jetons du compte de service au niveau du projet, plutôt que pour un compte de service spécifique. Pour en savoir plus, consultez la page IAM et des failles. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Un compte de service n'a pas fait l'objet d'une rotation depuis plus de 90 jours. Pour en savoir plus, consultez la page Résultats des failles liées à IAM. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Un compte de service de nœud possède des niveaux d'accès étendus. Pour en savoir plus, consultez la page Résultats des failles liées aux conteneurs. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Une clé cryptographique Cloud KMS est accessible au public. Pour en savoir plus, consultez la page Résultats des failles liées à KMS. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Un bucket Cloud Storage est accessible au public. Pour en savoir plus, consultez la page Stockage et des failles. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Un bucket de stockage utilisé comme journal le récepteur est accessible publiquement. Pour en savoir plus, consultez la page Stockage et des failles. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Un utilisateur gère clé de compte de service. Pour en savoir plus, consultez la page IAM et des failles. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Il y a plus de trois utilisateurs de clés cryptographiques. Pour en savoir plus, consultez la page Résultats des failles liées à KMS. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Un utilisateur a Autorisations Propriétaire sur un projet doté de droits de chiffrement clés. Pour plus d'informations, voir KMS et des failles. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Les métriques de journal et les alertes configurés pour surveiller les attributions ou modifications de propriété des projets. Pour plus consultez la page Surveillance et des failles. | Security Health Analytics |
Filtrer les résultats concernant l'identité et les accès par plate-forme cloud
Dans le volet Résultats de la requête de résultat, vous pouvez savoir quel résultat est lié à plate-forme cloud donnée en inspectant le contenu du fournisseur de services cloud, Colonnes Nom à afficher pour la ressource ou Type de ressource.
Les résultats de la requête de recherche affichent les résultats d'identité et d'accès pour les environnements Google Cloud et AWS par défaut. Pour modifier le résultat par défaut : pour afficher uniquement les résultats d'une plate-forme cloud spécifique, sélectionnez Amazon Web Services ou Google Cloud Platform à partir du fournisseur de services cloud catégorie de filtres rapides.
Examiner en détail les résultats concernant l'identité et les accès
Pour en savoir plus sur un résultat lié à l'identité et aux accès, ouvrez la vue détaillée de le résultat en cliquant sur son nom dans la colonne Catégorie de la Panneau Résultats de la requête Pour en savoir plus sur les détails des résultats vue, voir Afficher les détails d'un résultat
Les sections suivantes de l'onglet Récapitulatif de la vue détaillée sont utiles pour examiner les résultats liés à l'identité et aux accès.
Autorisations d'accès incriminées
Dans l'onglet Résumé du volet de détails d'un résultat, la colonne Accès incriminé octrois permet d'inspecter rapidement les comptes principaux, y compris les comptes fédérés leurs identités et leur accès à vos ressources. Ces informations ne s'affichent que pour les résultats lorsque l'outil de recommandation IAM détecte des principaux sur des ressources Google Cloud avec des rôles très permissifs, de base et inutilisés.
Cliquez sur Examiner les autorisations d'accès incriminées pour ouvrir le lien Examiner les accès incriminés grants, qui contient les informations suivantes:
- Nom du principal. Les comptes principaux affichés dans cette colonne peuvent être une combinaison de comptes utilisateur, de groupes, d'identités fédérées et des comptes de service.
- Nom du rôle attribué au compte principal.
- Action recommandée pour remédier à l'accès incriminé.
Informations sur la demande
Dans l'onglet Résumé de la page des détails d'un résultat, la section Demande
d'assistance s'affiche lorsqu'une demande ou un ticket
correspond à un résultat particulier. Des demandes et des tickets sont automatiquement créés pour les résultats avec une classification de gravité Critical ou High.
La section Demandes d'assistance permet de suivre l'évolution des mesures correctives pour un résultat particulier. Il fournit des informations la demande correspondante, par exemple des liens vers les demandes et systèmes de gestion des demandes correspondants ; (Jira ou ServiceNow), la personne responsable, l'état et la priorité de la demande.
Pour accéder à la demande correspondant à le résultat, cliquez sur le numéro de demande dans la ligne Case ID (Numéro de demande).
Pour accéder au ticket Jira ou ServiceNow correspondant à cliquez sur le numéro d'ID du billet dans la ligne ID du billet.
Pour connecter vos systèmes de demande d'assistance à Security Command Center Enterprise, consultez la section Intégrer Security Command Center Enterprise avec billetterie systèmes.
Pour en savoir plus sur l'examen des cas correspondants, consultez la section Examiner les cas de résultats d'identification et d'accès.
Étapes suivantes
Dans l'onglet Récapitulatif de la page d'informations d'un résultat, la section Étapes suivantes fournit des instructions détaillées pour résoudre immédiatement le problème détecté. Ces recommandations sont adaptées aux résultats spécifiques que vous recherchez en cours de visionnage.
Étape suivante
- Découvrez comment examiner et gérer les résultats.
- Découvrez comment examiner les cas de détection d'identité et d'accès.
- En savoir plus sur les Détecteurs CIEM qui génèrent les résultats AWS.