Halaman ini menjelaskan cara menangani temuan untuk masalah keamanan yang yang terkait dengan identitas dan akses (temuan identitas dan akses) di Konsol Google Cloud untuk menyelidiki dan mengidentifikasi potensi kesalahan konfigurasi.
Sebagai bagian dari kemampuan Cloud Infrastructure Entitlement Management (CIEM) yang ditawarkan dengan Enterprise keamanan, Security Command Center menghasilkan temuan identitas dan akses, serta membuatnya dapat diakses di halaman Ringkasan Risiko Security Command Center. Temuan-temuan ini diseleksi dan dikategorikan pada panel Identity and access discovery.
Sebelum memulai
Pastikan Anda telah menyelesaikan tugas berikut sebelum melanjutkan:
- Pelajari tentang Kemampuan CIEM Security Command Center.
- Menyiapkan izin untuk CIEM.
- Mengaktifkan layanan deteksi CIEM untuk AWS.
Lihat ringkasan temuan akses dan identitas
Panel Identity and access discovery di Security Command Center Ringkasan Risiko memberikan gambaran tingkat tinggi tentang temuan akses dan identitas teratas di lingkungan cloud Anda, seperti Google Cloud dan Amazon Web Services (AWS). Tujuan panel terdiri dari tabel yang mengatur temuan ke dalam tiga kolom:
- Keparahan:
menemukan tingkat keparahan
indikator umum tentang betapa pentingnya
meremediasi kategori temuan,
yang dapat diklasifikasikan sebagai
Critical,High,Medium, atauLow. - Kategori pencarian: Jenis kesalahan konfigurasi akses dan identitas yang ditemukan.
- Penyedia cloud: Lingkungan cloud tempat kesalahan konfigurasi ditemukan.
- Total temuan: Jumlah total kesalahan konfigurasi identitas dan akses yang ditemukan dalam kategori pada klasifikasi tingkat keparahan tertentu.
Untuk menavigasi temuan di panel, Anda dapat mengurutkannya menurut tingkat keparahan, kategori, atau jumlah total temuan dengan mengeklik {i>header<i} masing-masing. Anda dapat ubah juga jumlah baris yang ditampilkan panel (hingga 200) dan navigasikan antar halaman menggunakan panah navigasi di bagian bawah tabel.
Anda dapat mengeklik judul kategori atau jumlah total temuan yang sesuai untuk memeriksa temuan spesifik secara lebih mendetail di Temuan Security Command Center kami. Untuk informasi selengkapnya, lihat Periksa temuan identitas dan akses secara mendetail.
Komponen berikut di bawah tabel temuan membantu memberikan konteks pada temuan identitas dan akses Anda:
- Label Sources menunjukkan sumber yang diserap Security Command Center data untuk menghasilkan temuan. Temuan identitas dan akses dapat diterapkan untuk keduanya Google Cloud dan lingkungan AWS. Security Command Center hanya menampilkan identitas dan akses temuan untuk AWS jika Anda telah menghubungkan instance dan dikonfigurasi Penyerapan log AWS untuk CIEM.
- Link Lihat semua temuan identitas dan akses memungkinkan Anda membuka halaman Temuan Security Command Center untuk melihat semua konfigurasi salah akses dan identitas yang terdeteksi, terlepas dari kategori atau tingkat keparahannya.
- Link Tinjau akses dengan Penganalisis Kebijakan untuk Google Cloud menyediakan akses cepat ke Penganalisis Kebijakan yang memungkinkan Anda melihat siapa yang memiliki akses ke resource Google Cloud berdasarkan kebijakan izin IAM Anda.
Melihat temuan identitas dan akses di halaman Temuan
Panel Identity and access discovery menawarkan beberapa titik entri ke Security Command Center Temuan halaman untuk memeriksa temuan identitas dan akses secara mendetail:
- Klik nama temuan di bagian Kategori temuan atau jumlah total temuannya di bagian Total temuan untuk otomatis membuat kueri kategori temuan dan rating keparahan tertentu tersebut.
- Klik Lihat semua temuan identitas dan akses untuk membuat kueri semua temuan tanpa urutan tertentu.
Security Command Center memilih filter cepat tertentu yang membuat kueri temuan secara spesifik untuk kesalahan konfigurasi akses dan identitas. Opsi filter cepat berubah berdasarkan apakah Anda melakukan kueri terhadap satu atau semua temuan identitas dan akses. Anda dapat mengeditnya sesuai kebutuhan. Kategori dan opsi filter cepat tertentu yang menarik untuk tujuan CIEM mencakup:
- Kategori: Filter guna mengkueri hasil untuk kategori temuan tertentu yang ingin Anda pelajari lebih lanjut. Opsi filter cepat yang tercantum dalam perubahan kategori berdasarkan apakah Anda mengkueri satu atau semua identitas dan akses temuan proyek.
- Project ID: Filter untuk mengkueri hasil temuan yang terkait dengan proyek tertentu.
- Jenis resource: Memfilter untuk membuat kueri hasil untuk temuan yang terkait dengan jenis resource tertentu.
- Keparahan: Filter untuk mengkueri hasil temuan dari tingkat keparahan.
- Nama tampilan sumber: Filter untuk mengkueri hasil temuan yang terdeteksi oleh layanan tertentu yang mendeteksi kesalahan konfigurasi.
- Penyedia cloud: Filter untuk mengkueri hasil temuan yang berasal dari platform cloud tertentu.
Panel Findings query results terdiri dari beberapa kolom yang memberikan lebih detail tentang temuan itu. Di antara mereka, kolom berikut menarik untuk Tujuan CIEM:
- Keparahan: Menampilkan tingkat keseriusan temuan tertentu untuk membantu Anda menentukan prioritas dan perbaikan.
- Nama tampilan resource: Menampilkan resource tempat temuan berada terdeteksi.
- Nama tampilan sumber: Menampilkan layanan yang mendeteksi temuan. Sumber yang menghasilkan temuan terkait identitas mencakup CIEM, rekomendasi IAM, dan Security Health Analytics.
- Penyedia cloud: Menampilkan lingkungan cloud tempat temuan itu terdeteksi, seperti Google Cloud dan AWS.
- Pemberian akses yang bermasalah: Menampilkan link untuk meninjau akun utama yang berpotensi diberi peran yang tidak pantas.
- ID Kasus: Menampilkan nomor ID kasus yang terkait dengan temukan.
Untuk informasi selengkapnya tentang cara menangani temuan, lihat Meninjau dan mengelola temuan.
Menyelidiki temuan identitas dan akses untuk berbagai platform cloud
Security Command Center memungkinkan Anda menyelidiki kesalahan konfigurasi akses dan identitas temuan untuk lingkungan AWS dan Google Cloud Anda di Halaman Temuan Security Command Center.
Beragam layanan deteksi Security Command Center, seperti CIEM, pemberi rekomendasi IAM, dan Security Health Analytics, membuat khusus CIEM menemukan kategori yang mendeteksi potensi masalah keamanan akses dan identitas untuk platform cloud Anda.
Layanan deteksi CIEM Security Command Center menghasilkan temuan khusus untuk lingkungan AWS Anda, dan layanan deteksi Security Health Analytics dan rekomendasi IAM menghasilkan temuan khusus untuk lingkungan Google Cloud Anda.
Untuk melihat hanya temuan yang terdeteksi oleh layanan tertentu, pilih layanan tersebut dari kategori filter cepat Nama tampilan sumber. Misalnya, jika Anda ingin melihat hanya temuan yang terdeteksi oleh layanan deteksi CIEM, pilih CIEM.
Tabel berikut menjelaskan semua temuan yang dianggap sebagai bagian dari Kemampuan CIEM Security Command Center.
| Cloud Platform | Kategori temuan | Deskripsi | Sumber |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Diasumsikan Peran IAM yang terdeteksi di lingkungan AWS Anda dengan tingkat permisif tinggi kebijakan izin yang relevan. Untuk informasi selengkapnya, lihat CIEM temuan kami. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Grup IAM terdeteksi di lingkungan AWS Anda dengan kebijakan yang sangat permisif. Untuk selengkapnya informasi, lihat CIEM temuan kami. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Pengguna IAM terdeteksi di lingkungan AWS Anda dengan kebijakan yang sangat permisif. Untuk selengkapnya informasi, lihat CIEM temuan kami. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Ada pengguna yang tidak menggunakan Verifikasi 2 Langkah. Untuk mengetahui informasi selengkapnya, lihat Temuan autentikasi multi-faktor. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Mencatat metrik dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan Peran Khusus. Untuk informasi selengkapnya, lihat Pemantauan temuan kerentanan. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | Pemisahan tugas tidak diterapkan, dan ada pengguna yang memiliki salah satu Cloud Key Management Service berikut peran sekaligus: CryptoKey Encrypter/Decrypter, Encrypter, atau Decrypter. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Seorang pengguna memiliki salah satu
peran dasar berikut: Pemilik (roles/owner),
Editor (roles/editor), atau
Pelihat (roles/viewer). Untuk informasi selengkapnya,
lihat IAM
temuan kerentanan. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Peran IAM Redis adalah yang ditetapkan di tingkat organisasi atau folder. Untuk informasi lebih lanjut, lihat IAM temuan kerentanan. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Seorang pengguna telah menetapkan Service Account Admin dan Service Peran Pengguna Akun. Hal ini melanggar prinsip "Pemisahan Tugas". Untuk informasi lebih lanjut, lihat IAM temuan kerentanan. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Ada pengguna yang tidak menggunakan kredensial organisasi. Sesuai dengan CIS Google Cloud Foundations 1.0, hanya identitas dengan alamat email @gmail.com akan memicu pendeteksi ini. Untuk selengkapnya informasi tambahan, lihat IAM temuan kerentanan. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Akun Google Grup yang dapat digabungkan tanpa persetujuan digunakan sebagai akun utama kebijakan izin IAM. Untuk informasi lebih lanjut, lihat IAM temuan kerentanan. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | Pemberi rekomendasi IAM mendeteksi akun pengguna yang memiliki peran IAM yang belum digunakan dalam 90 hari terakhir. Untuk informasi lebih lanjut, lihat IAM temuan pemberi rekomendasi. | Pemberi rekomendasi IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | Pemberi rekomendasi IAM mendeteksi akun layanan yang memiliki satu atau beberapa peran IAM yang memberikan izin akses yang berlebihan ke akun pengguna. Untuk informasi lebih lanjut, lihat IAM temuan pemberi rekomendasi. | Pemberi rekomendasi IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
Pemberi rekomendasi IAM mendeteksi bahwa peran IAM default asli diberikan kepada agen layanan diganti dengan salah satu peran IAM dasar: Owner, Editor, atau Pelihat. Peran dasar adalah peran lama yang terlalu permisif peran dan tidak boleh diberikan ke agen layanan. Untuk informasi selengkapnya, lihat IAM temuan pemberi rekomendasi. | Pemberi rekomendasi IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | Pemberi rekomendasi IAM mendeteksi IAM bahwa agen layanan diberi salah satu peran IAM dasar: Owner, Editor, atau Pelihat. Peran dasar adalah peran lama yang terlalu permisif peran dan tidak boleh diberikan ke agen layanan. Untuk informasi selengkapnya, lihat IAM temuan pemberi rekomendasi. | Pemberi rekomendasi IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Akun layanan memiliki Admin, Pemilik, atau Editor hak istimewa pengguna. Peran ini tidak boleh ditetapkan ke layanan buatan pengguna menggunakan akun layanan. Untuk informasi lebih lanjut, lihat IAM temuan kerentanan. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Sebuah instance dikonfigurasikan untuk menggunakan akun layanan default. Untuk informasi selengkapnya, lihat Komputasi temuan kerentanan instance. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Akun layanan memiliki akses project yang terlalu luas di cluster. Untuk informasi selengkapnya, lihat Penampung temuan kerentanan. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | J pengguna memiliki Service Account User atau Service Akun Token Creator di level project, bukan untuk akun layanan tertentu. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Kunci akun layanan belum dirotasi selama lebih dari 90 hari. Untuk informasi selengkapnya, lihat IAM temuan kerentanan. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Akun layanan {i>node<i} memiliki cakupan akses yang luas. Untuk informasi selengkapnya, lihat Penampung temuan kerentanan. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Kunci kriptografis Cloud KMS telah dapat diakses oleh publik. Untuk informasi selengkapnya, lihat KMS temuan kerentanan. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Bucket Cloud Storage dapat diakses oleh publik. Untuk informasi selengkapnya, lihat Penyimpanan temuan kerentanan. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Bucket penyimpanan yang digunakan sebagai log akan dapat diakses secara publik. Untuk informasi selengkapnya, lihat Penyimpanan temuan kerentanan. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Pengguna mengelola kunci akun layanan Google. Untuk informasi lebih lanjut, lihat IAM temuan kerentanan. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Ada lebih dari tiga pengguna kunci kriptografis. Untuk informasi selengkapnya, lihat KMS temuan kerentanan. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Seorang pengguna memiliki Izin Pemilik pada project yang memiliki kriptografi tombol. Untuk informasi selengkapnya, lihat Temuan kerentanan KMS. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Metrik dan pemberitahuan log tidak untuk memantau penetapan atau perubahan Project Ownership. Untuk selengkapnya informasi tambahan, lihat Pemantauan temuan kerentanan. | Security Health Analytics |
Memfilter identitas dan mengakses temuan menurut platform cloud
Dari panel Hasil kueri temuan, Anda dapat mengetahui temuan apa yang berkaitan dengan tertentu dengan memeriksa konten penyedia Cloud, Kolom Nama tampilan resource, atau Jenis resource.
Menemukan hasil kueri menampilkan temuan identitas dan akses untuk Lingkungan Google Cloud dan AWS secara default. Untuk mengedit temuan default hasil kueri untuk hanya menampilkan temuan untuk platform cloud tertentu, pilih Amazon Web Services atau platform Google Cloud dari penyedia Cloud kategori filter cepat.
Memeriksa temuan identitas dan akses secara mendetail
Untuk mempelajari lebih lanjut temuan identitas dan akses, buka tampilan mendetail tentang temuan dengan mengklik nama temuan di kolom Kategori di panel Hasil kueri temuan. Untuk mengetahui informasi selengkapnya tentang detail temuan lihat, lihat Melihat detail temuan.
Bagian berikut di tab Ringkasan tampilan detail sangat berguna untuk menyelidiki temuan identitas dan akses.
Pemberian akses yang bermasalah
Pada tab Ringkasan di panel detail temuan, Akses yang bermasalah hibah menyediakan cara untuk memeriksa akun utama dengan cepat, termasuk akun federasi identitas, dan akses data tersebut ke resource Anda. Informasi ini hanya muncul untuk temuan jika pemberi rekomendasi IAM mendeteksi akun utama di resource Google Cloud dengan peran yang tidak digunakan.
Klik Tinjau pemberian akses yang bermasalah untuk membuka panel Tinjau pemberian akses yang bermasalah, yang berisi informasi berikut:
- Nama akun utama. Akun utama yang ditampilkan dalam kolom ini dapat berupa kombinasi akun pengguna, grup, identitas gabungan, dan akun layanan.
- Nama peran yang diberikan ke akun utama.
- Tindakan yang disarankan untuk memperbaiki akses yang bermasalah.
Informasi kasus
Di tab Summary di halaman detail temuan, tab Case
informasi yang ditampilkan saat ada kasus atau tiket yang
sesuai dengan
temuan tertentu. Kasus dan tiket otomatis
dibuat untuk temuan dengan klasifikasi tingkat keparahan Critical atau High.
Bagian Informasi kasus memberikan cara untuk melacak upaya perbaikan untuk temuan tertentu. Panduan ini memberikan detail tentang kasus terkait, seperti link ke kasus terkait dan sistem tiket (Jira atau ServiceNow), penerima tugas, status kasus, dan prioritas kasus.
Untuk mengakses kasus yang sesuai dengan temuan, klik nomor ID kasus di baris ID Kasus.
Untuk mengakses tiket Jira atau ServiceNow yang sesuai dengan temukan, klik nomor ID tiket di baris ID Tiket.
Untuk menghubungkan sistem pemberian tiket dengan Security Command Center Enterprise, lihat Mengintegrasikan Security Command Center Enterprise dengan sistem pemberian tiket.
Untuk informasi selengkapnya tentang cara meninjau kasus terkait, lihat Meninjau kasus penemuan identitas dan akses.
Langkah berikutnya
Di tab Ringkasan di halaman detail temuan, Langkah berikutnya memberikan panduan langkah demi langkah tentang cara mengatasi masalah dengan segera terdeteksi. Rekomendasi ini disesuaikan dengan temuan spesifik yang Anda melihat.
Langkah selanjutnya
- Pelajari cara meninjau dan mengelola temuan.
- Pelajari cara meninjau kasus penemuan identitas dan akses.
- Pelajari tentang Pendeteksi CIEM yang menghasilkan temuan AWS.