Questa pagina spiega come utilizzare i risultati relativi a problemi di sicurezza correlati a identità e accesso (risultati relativi a identità e accesso) nella console Google Cloud per esaminare e identificare potenziali configurazioni errate.
Nell'ambito delle funzionalità di Cloud Infrastructure Entitlement Management (CIEM) offerte con il livello Enterprise, Security Command Center genera risultati relativi a identità e accesso e li rende facilmente accessibili nella pagina Panoramica dei rischi di Security Command Center. Questi risultati vengono selezionati e classificati nel riquadro Risultati relativi a identità e accesso.
Prima di iniziare
Assicurati di aver completato le seguenti attività prima di continuare:
- Scopri le funzionalità CIEM di Security Command Center.
- Configura le autorizzazioni per CIEM.
- Abilita il servizio di rilevamento CIEM per AWS.
Visualizzare un riepilogo dei risultati relativi a identità e accesso
Il riquadro Risultati relativi a identità e accessi nella pagina Panoramica dei rischi di Security Command Center fornisce un quadro generale dei principali risultati relativi a identità e accessi nei tuoi ambienti cloud, come Google Cloud e Amazon Web Services (AWS). La è costituito da una tabella che organizza i risultati in tre colonne:
- Gravità: la gravità del rilevamento è un indicatore generale dell'importanza della correzione della categoria del rilevamento, che può essere classificata come
Critical
,High
,Medium
oLow
. - Categoria di rilevamento: il tipo di configurazione errata dell'identità e dell'accesso trovato.
- Provider cloud: l'ambiente cloud in cui sono state rilevate le configurazioni errate.
- Risultati totali: il numero totale di errori di configurazione dell'identità e dell'accesso. presenti in una categoria con una determinata classificazione di gravità.
Per spostarti tra i risultati nel riquadro, puoi ordinarli in base alla gravità, alla categoria o al numero totale di risultati facendo clic sulla rispettiva intestazione. Puoi anche modificare il numero di righe visualizzate nel riquadro (fino a 200) e spostarti tra le pagine utilizzando le frecce di navigazione nella parte inferiore della tabella.
Puoi fare clic sul titolo di una categoria o sul numero totale di risultati corrispondente per Analizzare in modo più dettagliato risultati specifici nei risultati di Security Command Center . Per ulteriori informazioni, consulta Esaminare in dettaglio i risultati relativi a identità e accesso.
I seguenti componenti sotto la tabella dei risultati aiutano a fornire ulteriori contesto alla tua identità e accedere ai risultati:
- L'etichetta Origini indica l'origine che Security Command Center sta importando per produrre i risultati. I risultati relativi a identità e accesso possono essere applicati a entrambi Ambienti Google Cloud e AWS. Security Command Center mostra i risultati relativi a identità e accesso per AWS solo se hai collegato un'istanza AWS e configurato l'importazione dei log AWS per CIEM.
- Il link Visualizza tutti i risultati relativi a identità e accesso ti consente di passare alla Pagina Risultati di Security Command Center per visualizzare tutte le identità e gli accessi rilevati configurazioni errate a prescindere dalla categoria o dalla gravità.
- Il link Rivedi l'accesso con Policy Analyzer per Google Cloud consente di accedere rapidamente allo strumento Policy Analyzer, che ti consente di vedere chi ha accesso a quali risorse Google Cloud in base ai tuoi criteri di autorizzazione IAM.
Visualizzare i risultati relativi a identità e accesso nella pagina Risultati
Il riquadro Risultati di identità e accesso offre più punti di ingresso Security Command Center Risultati pagina per esaminare l'identità e accedere ai risultati nel dettaglio:
- Fai clic sul nome di un risultato in Categoria di risultati o sul numero totale di risultati in Risultati totali per eseguire automaticamente query per quel risultato specifico. categoria e valutazione della gravità.
- Fai clic su Visualizza tutti i risultati relativi a identità e accesso per eseguire query su tutti i risultati senza un ordine specifico.
Security Command Center preseleziona determinati filtri rapidi che creano una query sui risultati specificamente per le configurazioni errate di identità e accesso. Le opzioni di filtro rapido cambiano in base sull'esecuzione di query su uno o tutti i risultati relativi all'identità e all'accesso. Se necessario, puoi modificare queste query. Le categorie e le opzioni di filtro rapido che ai fini del CIEM includono:
- Categoria: filtri per eseguire query sui risultati per categorie di risultati specifiche. su cui vuoi saperne di più. Le opzioni di filtro rapido elencate in cambia la categoria in base all'esecuzione di query su una o tutte le identità e accessi i risultati.
- ID progetto: filtri per eseguire query sui risultati alla ricerca di risultati relativi a un progetto specifico.
- Tipo di risorsa: filtri per eseguire query sui risultati alla ricerca di risultati relativi a una di una risorsa specifica.
- Gravità: filtra i risultati per eseguire query sui risultati relativi a elementi di gravità specifica.
- Nome visualizzato dell'origine: filtra i risultati per eseguire query sui risultati rilevati da un servizio specifico che ha rilevato la configurazione errata.
- Cloud provider: filtri per eseguire query sui risultati alla ricerca di risultati provenienti da una specifica piattaforma cloud.
Il riquadro Risultati della query sui risultati è composto da diverse colonne che forniscono dettagli sul risultato. Tra queste, le seguenti colonne sono di interesse per scopi CIEM:
- Gravità: mostra la gravità di un determinato risultato per aiutarti a stabilire la priorità correzione.
- Nome visualizzato della risorsa: mostra la risorsa in cui è stato rilevato il rilevamento.
- Nome visualizzato origine: mostra il servizio che ha rilevato il risultato. Le origini che producono risultati relativi all'identità includono CIEM, Recommender IAM e Security Health Analytics.
- Fornitore cloud: mostra l'ambiente cloud in cui è stato rilevato il rilevamento, ad esempio Google Cloud e AWS.
- Concessioni di accesso illecite: mostra un link per esaminare le entità che hanno ricevuto ruoli potenzialmente inappropriati.
- ID richiesta: mostra il numero di ID della richiesta correlata al risultato.
Per ulteriori informazioni sull'utilizzo dei risultati, consulta Esaminare e gestire i risultati.
Esaminare i risultati relativi a identità e accessi per diverse piattaforme cloud
Security Command Center consente di esaminare gli errori di configurazione dell'identità e dell'accesso per i tuoi ambienti AWS e Google Cloud sulla Pagina Risultati di Security Command Center.
Molti diversi servizi di rilevamento di Security Command Center, come CIEM, il Recommender IAM e Security Health Analytics, generano categorie di risultati specifiche per CIEM che rilevano potenziali problemi di sicurezza di identità e accesso per le tue piattaforme cloud.
Il servizio di rilevamento CIEM di Security Command Center genera specifici risultati per l'ambiente AWS, il motore per suggerimenti IAM e Security Health Analytics di rilevamento del traffico generano risultati specifici per il tuo Google Cloud completamente gestito di Google Cloud.
Per visualizzare solo i risultati rilevati da un servizio specifico, seleziona il servizio in questione la categoria di filtri rapidi per Nome visualizzato dell'origine. Ad esempio, se vuoi visualizzare solo i risultati rilevati dal servizio di rilevamento CIEM, seleziona CIEM.
La tabella seguente descrive tutti i risultati considerati parte del Funzionalità CIEM di Security Command Center.
Cloud Platform | Categoria risultati | Descrizione | Origine |
---|---|---|---|
AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS ) | Presunto Ruoli IAM rilevati nell'ambiente AWS con un'impostazione altamente permissiva criteri. Per ulteriori informazioni, consulta CIEM risultati. | CIEM |
AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS ) | Gruppi IAM rilevati nel tuo ambiente AWS con criteri molto permissivi. Per ulteriori informazioni, consulta i risultati del CIEM. | CIEM |
AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS ) | Utenti IAM rilevati nel tuo ambiente AWS con criteri altamente permissivi. Per ulteriori informazioni, consulta i risultati del CIEM. | CIEM |
Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED ) | Alcuni utenti non utilizzano la verifica in due passaggi. Per ulteriori informazioni, consulta la sezione sull'autenticazione risultati dell'autenticazione. | Security Health Analytics |
Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED ) | Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche ai ruoli personalizzati. Per ulteriori informazioni, consulta la sezione Monitorare i risultati delle vulnerabilità. | Security Health Analytics |
Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION ) | La separazione dei compiti non è obbligatoria e esiste un utente che dispone contemporaneamente di uno dei seguenti ruoli di Cloud Key Management Service: Autore crittografia/decrittografia CryptoKey, Autore crittografia o Autore decrittografia. Per ulteriori informazioni, consulta i risultati delle vulnerabilità IAM. | Security Health Analytics |
Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED ) | Un utente dispone di uno dei seguenti ruoli di base: Proprietario (roles/owner ), Editor (roles/editor ) o Visualizzatore (roles/viewer ). Per ulteriori informazioni, consulta i risultati relativi alle vulnerabilità IAM. | Security Health Analytics |
Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG ) | Un ruolo IAM Redis assegnati a livello di organizzazione o cartella. Per ulteriori informazioni, consulta i risultati delle vulnerabilità IAM. | Security Health Analytics |
Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION ) | A un utente sono stati assegnati i ruoli Amministratore account di servizio e Utente account di servizio. Ciò costituisce una violazione della "Separazione dei compiti" dell'IA. Per ulteriori informazioni, consulta IAM. vulnerabilità. | Security Health Analytics |
Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER ) | C'è un utente che non utilizza e credenziali dell'organizzazione. Per CIS Google Cloud Foundations 1.0, solo identità con indirizzi email @gmail.com attivano questo rilevatore. Per ulteriori informazioni, consulta i risultati delle vulnerabilità IAM. | Security Health Analytics |
Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER ) | Un account Google Gruppi può essere unito senza approvazione è utilizzato come entità del criterio di autorizzazione IAM. Per ulteriori informazioni, consulta i risultati delle vulnerabilità IAM. | Security Health Analytics |
Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE ) | Il motore per suggerimenti IAM ha rilevato un utente con un ruolo IAM che non è stato utilizzato negli ultimi 90 giorni. Per ulteriori informazioni, consulta i risultati del motore per suggerimenti IAM. | Motore per suggerimenti IAM |
Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS ) | Motore per suggerimenti IAM ha rilevato un account di servizio con uno o più ruoli IAM che autorizzazioni eccessive all'account utente. Per ulteriori informazioni, consulta IAM. risultati del motore per suggerimenti. | Motore per suggerimenti IAM |
Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE ) |
Il motore per suggerimenti IAM ha rilevato che il ruolo IAM predefinito originale è stato concesso un agente di servizio è stato sostituito con uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono eccessivamente permissivi ruoli e non deve essere concesso agli agenti di servizio. Per ulteriori informazioni, consulta i risultati del motore per suggerimenti IAM. | Motore per suggerimenti IAM |
Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE ) | Il motore per suggerimenti IAM ha rilevato che a un agente di servizio è stato concesso uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono eccessivamente permissivi ruoli e non deve essere concesso agli agenti di servizio. Per ulteriori informazioni, consulta i risultati del motore per suggerimenti IAM. | Motore per suggerimenti IAM |
Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT ) | Un account di servizio ha Amministratore, Proprietario o Editor privilegiati. Questi ruoli non devono essere assegnati agli account di servizio creati dall'utente. Per ulteriori informazioni, consulta i risultati delle vulnerabilità IAM. | Security Health Analytics |
Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED ) | Un'istanza è configurata per utilizzare l'account di servizio predefinito. Per ulteriori informazioni, consulta Risultati delle vulnerabilità delle istanze di calcolo. | Security Health Analytics |
Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT ) | Un account di servizio ha un accesso eccessivo a progetti in un cluster. Per ulteriori informazioni, vedi Contenitore vulnerabilità. | Security Health Analytics |
Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER ) | Un utente dispone del ruolo Utente account di servizio o Creatore di token account di servizio a livello di progetto anziché per un account di servizio specifico. Per ulteriori informazioni, consulta i risultati delle vulnerabilità IAM. | Security Health Analytics |
Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED ) | Un account di servizio. non viene ruotata per più di 90 giorni. Per ulteriori informazioni, vedi IAM vulnerabilità. | Security Health Analytics |
Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES ) | Un account di servizio del nodo ha ambiti di accesso ampi. Per ulteriori informazioni, vedi Contenitore vulnerabilità. | Security Health Analytics |
Google Cloud | KMS public key
(KMS_PUBLIC_KEY ) | Una chiave di crittografia Cloud KMS è accessibile pubblicamente. Per ulteriori informazioni, consulta KMS vulnerabilità. | Security Health Analytics |
Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL ) | Un bucket Cloud Storage pubblicamente accessibili. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dello spazio di archiviazione. | Security Health Analytics |
Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET ) | Un bucket di archiviazione utilizzato come log sia accessibile pubblicamente. Per ulteriori informazioni, vedi Archiviazione vulnerabilità. | Security Health Analytics |
Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY ) | Un utente gestisce una chiave dell'account di servizio. Per ulteriori informazioni, consulta IAM. vulnerabilità. | Security Health Analytics |
Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS ) | Esistono più di tre utenti delle chiavi di crittografia. Per ulteriori informazioni, consulta KMS vulnerabilità. | Security Health Analytics |
Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER ) | Un utente ha autorizzazioni di proprietario per un progetto protetto da chiavi di crittografia. Per ulteriori informazioni, consulta i risultati delle vulnerabilità di KMS. | Security Health Analytics |
Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED ) | Le metriche e gli avvisi dei log non sono configurate per monitorare le assegnazioni o le modifiche alla proprietà del progetto. Per ulteriori informazioni, consulta Monitorare i risultati delle vulnerabilità. | Security Health Analytics |
Filtrare i risultati relativi a identità e accesso in base alla piattaforma cloud
Dal riquadro Risultati della query sui risultati, puoi capire quale risultato si riferisce a una determinata piattaforma cloud esaminando i contenuti delle colonne Provider cloud, Nome visualizzato risorsa o Tipo di risorsa.
Nella sezione Ricerca dei risultati della query vengono visualizzati i risultati relativi all'identità e all'accesso per entrambi Ambienti Google Cloud e AWS per impostazione predefinita. Per modificare il risultato predefinito: per visualizzare solo i risultati relativi a una particolare piattaforma cloud, seleziona Amazon Web Services o piattaforma Google Cloud del cloud provider categoria di filtri rapidi.
Esamina in dettaglio i risultati relativi a identità e accesso
Per saperne di più su un rilevamento di identità e accesso, apri la visualizzazione dettagliata del rilevamento facendo clic sul nome del rilevamento nella colonna Categoria del riquadro Risultati della query sui rilevamenti. Per ulteriori informazioni sui dettagli del risultato visualizza, vedi Visualizzare i dettagli di un risultato.
Le seguenti sezioni nella scheda Riepilogo della visualizzazione dettagliata sono utili per: esaminando i risultati relativi a identità e accesso.
Concessioni di accesso illecite
Nella scheda Riepilogo del riquadro dei dettagli di un risultato, viene mostrato il campo Accesso in violazione La riga concessioni offre un modo per esaminare rapidamente le entità, incluse le entità federate identità e il loro accesso alle risorse. Queste informazioni vengono visualizzate solo per i risultati quando il Recommender IAM rileva entità nelle risorse Google Cloud con ruoli di base, altamente permissivi e non utilizzati.
Fai clic su Esamina le concessioni di accesso per aprire il riquadro Esamina le concessioni di accesso, che contiene le seguenti informazioni:
- Il nome del principale. Le entità visualizzate in questa colonna possono essere un insieme di account utente, gruppi, identità federate e service account Google Cloud.
- Il nome del ruolo concesso all'entità.
- L'azione consigliata che puoi intraprendere per correggere l'accesso in violazione.
Informazioni sulla richiesta
Nella scheda Riepilogo della pagina dei dettagli di un risultato, Richiesta
informazioni quando è presente una richiesta o un ticket
corrisponde a un determinato risultato. Le richieste e i ticket vengono creati automaticamente per i risultati con una classificazione di gravità Critical
o High
.
La sezione Informazioni sulle richieste consente di monitorare per un determinato risultato. Fornisce dettagli sulla richiesta corrispondente, ad esempio link a eventuali richieste e ticket del sistema di ticketing corrispondente (Jira o ServiceNow), all'assegnatario, allo stato e alla priorità della richiesta.
Per accedere alla richiesta corrispondente al rilievo, fai clic sul numero dell'ID richiesta nella riga Case ID (ID richiesta).
Per accedere al ticket Jira o ServiceNow corrispondente al risultato, fai clic sul numero di ID ticket nella riga ID ticket.
Per connettere i sistemi di gestione delle richieste di assistenza a Security Command Center Enterprise, vedi Integrare Security Command Center Enterprise con la gestione dei ticket Google Cloud.
Per saperne di più su come esaminare le richieste corrispondenti, consulta Esaminare le richieste relative ai risultati relativi a identità e accesso.
Passaggi successivi
Nella scheda Riepilogo della pagina dei dettagli di un rilevamento, la sezione Passaggi successivi fornisce indicazioni dettagliate su come risolvere immediatamente il problema rilevato. Questi consigli sono personalizzati in base ai risultati specifici che stai riscontrando visualizzazione.
Passaggi successivi
- Scopri come esaminare e gestire i risultati.
- Scopri come esaminare le richieste relative ai risultati relativi a identità e accesso.
- Scopri di più sui rivelatori CIEM che generano risultati AWS.