Questa pagina spiega come utilizzare i risultati per i problemi di sicurezza correlati a identità e accesso (risultati relativi a identità e accesso) nella console Google Cloud per indagare e identificare potenziali errori di configurazione.
Nell'ambito delle funzionalità di gestione dei diritti dell'infrastruttura cloud (CIEM) offerte con il livello Enterprise, Security Command Center genera risultati relativi a identità e accesso e li rende facilmente accessibili nella pagina Panoramica dei rischi di Security Command Center. Questi risultati sono selezionati e classificati nel riquadro Risultati di identità e accesso.
Prima di iniziare
Assicurati di aver completato le seguenti attività prima di continuare:
- Scopri di più sulle funzionalità CIEM di Security Command Center.
- Configura le autorizzazioni per CIEM.
- Abilita il servizio di rilevamento CIEM per AWS.
Visualizza un riepilogo dei risultati relativi a identità e accesso
Il riquadro Risultati relativi a identità e accesso nella pagina Panoramica dei rischi di Security Command Center offre una panoramica generale dei principali risultati relativi a identità e accesso nei tuoi ambienti cloud, come Google Cloud e Amazon Web Services (AWS). Il riquadro è costituito da una tabella che organizza i risultati in tre colonne:
- Gravità: la gravità
del risultato è un
indicatore generale dell'importanza di correggere la categoria del risultato,
che può essere classificata come
Critical,High,MediumoLow. - Categoria di rilevamento: il tipo di configurazione errata dell'identità e dell'accesso trovato.
- Risultati totali: il numero totale di errori di configurazione dell'identità e dell'accesso rilevati in una categoria con una determinata classificazione di gravità.
Per esplorare i risultati nel riquadro, puoi ordinarli per gravità, categoria di risultato o numero di risultati totali facendo clic sulla rispettiva intestazione. Puoi anche modificare il numero di righe visualizzate nel riquadro (fino a 200) e spostarti tra le pagine utilizzando le frecce di navigazione nella parte inferiore della tabella.
Puoi fare clic sul titolo di una categoria o sul numero totale di risultati corrispondente per esaminare risultati specifici in modo più dettagliato nella pagina Risultati di Security Command Center. Per saperne di più, consulta Esaminare nel dettaglio i risultati relativi a identità e accesso.
I seguenti componenti sotto la tabella dei risultati aiutano a fornire un contesto aggiuntivo ai risultati relativi all'identità e all'accesso:
- L'etichetta Origini indica l'origine da cui Security Command Center importa i dati per produrre i risultati. I risultati relativi a identità e accesso possono essere applicati ad ambienti Google Cloud e AWS. Security Command Center mostra i risultati relativi a identità e accesso per AWS solo se hai collegato un'istanza AWS e configurato l'importazione dei log AWS per CIEM.
- Il link Visualizza tutti i risultati relativi a identità e accesso consente di accedere alla pagina Risultati di Security Command Center per visualizzare tutte le configurazioni errate di identità e accesso rilevate, indipendentemente dalla categoria o dalla gravità.
- Il link Esamina l'accesso con Policy Analyzer consente di accedere rapidamente allo strumento di analisi dei criteri, che consente di vedere chi ha accesso a determinate risorse in base ai criteri di autorizzazione IAM.
Visualizzare i risultati relativi all'identità e all'accesso nella pagina Risultati
Il riquadro Risultati di identità e accesso offre più punti di ingresso alla pagina Risultati di Security Command Center per esaminare in dettaglio i risultati relativi all'identità e all'accesso:
- Fai clic su un nome di risultato in Categoria di risultati o sul numero totale di risultati in Risultati totali per eseguire automaticamente la query per quella determinata categoria di risultato e valutazione della gravità.
- Fai clic su Visualizza tutti i risultati relativi a identità e accesso per eseguire query su tutti i risultati in un ordine particolare.
Security Command Center preseleziona alcuni filtri rapidi che creano una query dei risultati specifica per le configurazioni errate dell'identità e dell'accesso. Le opzioni di filtro rapido cambiano a seconda dell'esecuzione di query su uno o tutti i risultati relativi all'identità e all'accesso. Puoi modificare queste query in base alle tue esigenze. Le categorie e le opzioni di filtro rapido che sono di interesse ai fini del CIEM includono:
- Categoria: filtri per eseguire query sui risultati per categorie di risultati specifiche su cui vuoi saperne di più. Le opzioni di filtro rapido elencate in questa categoria cambiano a seconda che tu esegua una query o tutti i risultati relativi all'identità e all'accesso.
- ID progetto: filtri per eseguire query sui risultati alla ricerca di risultati relativi a un progetto specifico.
- Tipo di risorsa: filtri per eseguire query sui risultati alla ricerca di risultati relativi a un tipo di risorsa specifico.
- Gravità: filtri per eseguire query sui risultati ai risultati di una gravità specifica.
- Nome visualizzato origine: filtri per eseguire query sui risultati in base ai risultati rilevati da un servizio specifico che ha rilevato l'errata configurazione.
- Cloud provider: filtri per eseguire query sui risultati alla ricerca di risultati provenienti da una piattaforma cloud specifica.
Il riquadro Risultati della query dei risultati è costituito da diverse colonne che forniscono dettagli sul risultato. Tra queste, le seguenti colonne sono di interesse per scopi CIEM:
- Gravità: mostra la gravità di un determinato risultato per aiutarti a stabilire la priorità della correzione.
- Nome visualizzato della risorsa: mostra la risorsa in cui è stato rilevato il risultato.
- Nome visualizzato origine: mostra il servizio che ha rilevato il risultato. Le origini che producono risultati relativi all'identità includono CIEM, motore per suggerimenti IAM e Security Health Analytics.
- Cloud provider: mostra l'ambiente cloud in cui è stato rilevato il risultato, ad esempio Google Cloud e AWS.
- Concessioni di accesso illecite: mostra un link per esaminare le entità a cui sono stati concessi ruoli potenzialmente inappropriati.
- Case ID (ID richiesta): mostra il numero ID della richiesta correlata alla ricerca.
Per saperne di più sull'utilizzo dei risultati, consulta Utilizzare i risultati nella console Google Cloud.
Analisi dei risultati relativi a identità e accesso per diverse piattaforme cloud
Security Command Center consente di esaminare i risultati di configurazione errata dell'identità e dell'accesso per i tuoi ambienti AWS e Google Cloud nella pagina Risultati di Security Command Center.
Molti servizi di rilevamento di Security Command Center diversi, come CIEM, motore per suggerimenti IAM e Security Health Analytics, generano categorie di rilevamento specifiche per CIEM che rilevano potenziali problemi di identità e accesso per le tue piattaforme cloud.
Il servizio di rilevamento CIEM di Security Command Center genera risultati specifici per il tuo ambiente AWS, mentre il motore per suggerimenti IAM e i servizi di rilevamento di Security Health Analytics generano risultati specifici per il tuo ambiente Google Cloud.
Per visualizzare solo i risultati rilevati da un servizio specifico, seleziona il servizio dalla categoria di filtri rapidi Nome visualizzato origine. Ad esempio, se vuoi visualizzare solo i risultati rilevati dal servizio di rilevamento CIEM, seleziona CIEM.
La tabella seguente descrive tutti i risultati che sono considerati parte delle funzionalità CIEM di Security Command Center.
| Cloud Platform | Categoria risultati | Descrizione | Origine |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Ruoli IAM presunti rilevati nel tuo ambiente AWS con criteri altamente permissivi. Per ulteriori informazioni, consulta i risultati CIEM. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Gruppi IAM rilevati nel tuo ambiente AWS con criteri altamente permissivi. Per ulteriori informazioni, consulta i risultati CIEM. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Utenti IAM rilevati nel tuo ambiente AWS con criteri altamente permissivi. Per ulteriori informazioni, consulta i risultati CIEM. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Ci sono utenti che non utilizzano la verifica in due passaggi. Per maggiori informazioni, consulta Risultati dell'autenticazione a più fattori. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche ai ruoli personalizzati. Per maggiori informazioni, consulta la pagina sul monitoraggio dei risultati di vulnerabilità. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | La separazione dei compiti non è applicata ed esiste un utente che ha contemporaneamente uno dei seguenti ruoli di Cloud Key Management Service: Autore crittografia/decrittografia CryptoKey, Criptatore o Decrittografia. Per ulteriori informazioni, consulta Risultati di vulnerabilità IAM. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Un utente ha uno dei seguenti ruoli di base: Proprietario (roles/owner), Editor (roles/editor) o Visualizzatore (roles/viewer). Per saperne di più, consulta i risultati relativi alle vulnerabilità IAM. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Un ruolo IAM Redis viene assegnato a livello di organizzazione o cartella. Per maggiori informazioni, consulta Risultati di vulnerabilità IAM. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | A un utente sono stati assegnati i ruoli Amministratore account di servizio e Utente account di servizio. Ciò costituisce una violazione del principio della "separazione dei compiti". Per maggiori informazioni, consulta Risultati di vulnerabilità IAM. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | C'è un utente che non utilizza le credenziali dell'organizzazione. In base a CIS Google Cloud Foundations 1.0, solo le identità con indirizzi email @gmail.com attivano questo rilevatore. Per ulteriori informazioni, consulta Risultati di vulnerabilità IAM. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Un account Google Gruppi che può essere unito senza approvazione viene utilizzato come entità del criterio di autorizzazione IAM. Per maggiori informazioni, consulta Risultati di vulnerabilità IAM. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | Il motore per suggerimenti IAM ha rilevato un account utente con un ruolo IAM che non è stato utilizzato negli ultimi 90 giorni. Per maggiori informazioni, consulta Risultati del motore per suggerimenti IAM. | Motore per suggerimenti IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | Il motore per suggerimenti IAM ha rilevato un account di servizio con uno o più ruoli IAM che concedono autorizzazioni eccessive all'account utente. Per maggiori informazioni, consulta Risultati del motore per suggerimenti IAM. | Motore per suggerimenti IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
Il motore per suggerimenti IAM ha rilevato che il ruolo IAM predefinito originale concesso a un agente di servizio è stato sostituito con uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non dovrebbero essere concessi agli agenti di servizio. Per maggiori informazioni, consulta Risultati del motore per suggerimenti IAM. | Motore per suggerimenti IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | Il motore per suggerimenti IAM ha rilevato IAM che a un agente di servizio è stato concesso uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non dovrebbero essere concessi agli agenti di servizio. Per maggiori informazioni, consulta Risultati del motore per suggerimenti IAM. | Motore per suggerimenti IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Un account di servizio dispone dei privilegi di amministratore, proprietario o editor. Questi ruoli non devono essere assegnati ad account di servizio creati dall'utente. Per maggiori informazioni, consulta Risultati di vulnerabilità IAM. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Un'istanza è configurata per utilizzare l'account di servizio predefinito. Per maggiori informazioni, consulta Risultati di vulnerabilità delle istanze Compute. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Un account di servizio ha un accesso a progetti eccessivamente ampio in un cluster. Per ulteriori informazioni, consulta Risultati di vulnerabilità dei container. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Un utente ha il ruolo Utente account di servizio o Creatore token account di servizio a livello di progetto anziché per un account di servizio specifico. Per maggiori informazioni, consulta Risultati di vulnerabilità IAM. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Una chiave dell'account di servizio non viene ruotata per più di 90 giorni. Per maggiori informazioni, consulta Risultati di vulnerabilità IAM. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Un account di servizio del nodo ha ambiti di accesso ampio. Per ulteriori informazioni, consulta Risultati di vulnerabilità dei container. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Una chiave di crittografia Cloud KMS è accessibile pubblicamente. Per maggiori informazioni, consulta Risultati di vulnerabilità di KMS. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Un bucket Cloud Storage è accessibile pubblicamente. Per maggiori informazioni, consulta Risultati di vulnerabilità dello spazio di archiviazione. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Un bucket di archiviazione utilizzato come sink di log è accessibile pubblicamente. Per maggiori informazioni, consulta Risultati di vulnerabilità dello spazio di archiviazione. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Un utente gestisce una chiave dell'account di servizio. Per maggiori informazioni, consulta Risultati di vulnerabilità IAM. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Più di tre utenti utilizzano le chiavi di crittografia. Per maggiori informazioni, consulta Risultati di vulnerabilità di KMS. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Un utente dispone delle autorizzazioni di Proprietario per un progetto che contiene chiavi di crittografia. Per maggiori informazioni, consulta Risultati di vulnerabilità di KMS. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Le metriche dei log e gli avvisi non sono configurati per monitorare le assegnazioni o le modifiche alla proprietà del progetto. Per ulteriori informazioni, consulta Monitoraggio dei risultati delle vulnerabilità. | Security Health Analytics |
Filtra i risultati relativi a identità e accesso in base alla piattaforma cloud
Dal riquadro Risultati della query dei risultati, puoi stabilire quali risultati sono correlati a una determinata piattaforma cloud ispezionando i contenuti delle colonne Cloud provider, Nome visualizzato risorsa o Tipo di risorsa.
La pagina Ricerca dei risultati delle query mostra per impostazione predefinita i risultati relativi a identità e accesso per gli ambienti Google Cloud e AWS. Per modificare i risultati predefiniti delle query sui risultati in modo da visualizzare solo i risultati per una determinata piattaforma cloud, seleziona Amazon Web Services o Google Cloud Platform dalla categoria di filtri rapidi Provider cloud.
Esamina in dettaglio i risultati relativi a identità e accesso
Per scoprire di più su un risultato di identità e accesso, apri la visualizzazione dettagliata del risultato facendo clic sul nome del risultato nella colonna Categoria nel riquadro Risultati della query dei risultati. Per ulteriori informazioni sulla visualizzazione dei dettagli del risultato, consulta Visualizzare i dettagli di un risultato.
Le seguenti sezioni nella scheda Riepilogo della visualizzazione dettagliata sono utili per esaminare i risultati relativi all'identità e all'accesso.
Concessioni di accesso illecite
Nella scheda Riepilogo del riquadro dei dettagli di un risultato, la riga Concessioni di accesso in violazione consente di ispezionare rapidamente le entità Google Cloud e di terze parti e il loro accesso alle tue risorse. Queste informazioni vengono visualizzate per i risultati solo quando il motore per suggerimenti IAM rileva entità nelle risorse Google Cloud con ruoli altamente permissivi, di base e inutilizzati.
Fai clic su Esamina le concessioni di accesso illecite per aprire il riquadro Esamina le concessioni di accesso illecite, che contiene le seguenti informazioni:
- Il nome dell'entità. Le entità visualizzate in questa colonna possono essere una combinazione di account utente Google Cloud (
user:example-user@example.com), gruppi, identità di altri provider di identità (//iam.googleapis.com/locations/global/workforcePools/example-pool/subject/example-user@example.com) e account di servizio. - Il nome del ruolo concesso all'entità.
- L'azione consigliata che puoi intraprendere per correggere l'accesso all'origine del problema.
Informazioni sulla richiesta
Nella scheda Riepilogo della pagina dei dettagli di un risultato, viene visualizzata la sezione Informazioni sulla richiesta quando esiste una richiesta o un ticket corrispondente a un determinato risultato. Richieste e ticket vengono creati automaticamente per i risultati con una classificazione di gravità Critical o High.
La sezione Informazioni sulle richieste consente di monitorare le attività di correzione per un determinato risultato. Fornisce i dettagli sulla richiesta corrispondente, tra cui i link alla richiesta corrispondente e al ticket del sistema di gestione delle richieste (Jira o ServiceNow), all'assegnatario, allo stato della richiesta e alla priorità della richiesta.
Per accedere alla richiesta corrispondente al risultato, fai clic sul numero case ID nella riga ID richiesta.
Per accedere al ticket Jira o ServiceNow corrispondente ai risultati, fai clic sul numero ID del ticket nella riga ID biglietto.
Per connettere i sistemi di gestione dei ticket a Security Command Center Enterprise, vedi Integrare Security Command Center Enterprise con i sistemi di gestione dei ticket.
Per ulteriori informazioni sulla revisione dei casi corrispondenti, consulta Esaminare le richieste di rilevamento di identità e accesso.
Passaggi successivi
Nella scheda Riepilogo della pagina dei dettagli di un risultato, la sezione Passaggi successivi fornisce indicazioni dettagliate su come risolvere immediatamente il problema rilevato. Questi consigli sono personalizzati in base ai risultati specifici che stai visualizzando.
Passaggi successivi
- Scopri come utilizzare i risultati.
- Scopri come esaminare le richieste di rilevamento di identità e accesso.
- Scopri di più sui rilevatori CIEM che generano risultati AWS.