Fehlerbehebung für öffentliche Buckets aktivieren

In diesem Dokument finden Sie eine detaillierte Anleitung zum Aktivieren der öffentlichen Bucket-Behebung für die Playbooks zu Sicherheitsrisiken in der Enterprise-Stufe von Security Command Center.

Übersicht

Security Command Center unterstützt zusätzliche Maßnahmen zur Behebung der Sicherheitslücken in den folgenden Playbooks:

  • Statusergebnisse – allgemein
  • Statusergebnisse mit Jira
  • Statusergebnisse mit ServiceNow

Diese Playbooks für Bewertungsergebnisse enthalten einen Block, mit dem die Ergebnisse OPEN PORT, PUBLIC IP ADDRESS und PUBLIC BUCKET ACL behoben werden. Weitere Informationen zu diesen Ergebnistypen finden Sie unter Sicherheitslücken Ergebnisse.

Playbooks sind vorkonfiguriert, um die OPEN PORT- und PUBLIC IP ADDRESS-Ergebnisse zu verarbeiten. Um die PUBLIC_BUCKET_ACL-Probleme zu beheben, müssen Sie die Behebung für öffentliche Bucket-Dateien für Playbooks aktivieren.

Fehlerbehebung für öffentliche Buckets für Playbooks aktivieren

Nachdem der Security Health Analytics-Detektor (SHA) die öffentlich zugänglichen Cloud Storage-Buckets ermittelt und die PUBLIC_BUCKET_ACL-Ergebnisse generiert hat, werden die Ergebnisse in Security Command Center Enterprise aufgenommen und Playbooks hinzugefügt. Wenn Sie die Behebung von Sicherheitslücken in öffentlichen Buckets für Playbooks mit Ergebnissen zur Bewertung des Sicherheitsstatus aktivieren möchten, müssen Sie eine benutzerdefinierte IAM-Rolle erstellen, eine bestimmte Berechtigung dafür konfigurieren und der benutzerdefinierten Rolle, die Sie erstellt haben, ein vorhandenes Hauptkonto zuweisen.

Hinweis

Um den öffentlichen Bucket-Zugriff zu beheben, ist eine konfigurierte und laufende Instanz der Cloud Storage-Integration erforderlich. Informationen zum Validieren der Integrationskonfiguration finden Sie unter Anwendungsfall für Enterprise aktualisieren.

Benutzerdefinierte IAM-Rolle erstellen

So erstellen Sie eine benutzerdefinierte IAM-Rolle und konfigurieren eine bestimmte Berechtigung dafür:

  1. Öffnen Sie in der Google Cloud Console die Seite Rollen.

    IAM-Rollen aufrufen

  2. Klicken Sie auf Rolle erstellen, um eine benutzerdefinierte Rolle mit Berechtigungen zu erstellen, die für für die Integration.

  3. Geben Sie für eine neue benutzerdefinierte Rolle den Titel, die Beschreibung und eine eindeutige ID an.

  4. Legen Sie die Rollenstartphase auf General Availability fest.

  5. Fügen Sie der erstellten Rolle die folgende Berechtigung hinzu:

    resourcemanager.organizations.setIamPolicy

  6. Klicken Sie auf Erstellen.

Einem vorhandenen Hauptkonto eine benutzerdefinierte Rolle zuweisen

Nachdem Sie einer ausgewählten Hauptperson Ihre neue benutzerdefinierte Rolle gewährt haben, kann sie die Berechtigungen für alle Nutzer in Ihrer Organisation ändern.

So weisen Sie einer vorhandenen Identität die benutzerdefinierte Rolle zu:

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    IAM aufrufen

  2. Fügen Sie in das Feld Filter den Wert für Workload Identity Email ein, der die Sie für die Cloud Storage-Integration verwenden, und suchen Sie nach den für das vorhandene Hauptkonto.

  3. Klicken Sie auf Hauptkonto bearbeiten. Die Bearbeitungszugriff auf das Dialogfeld „PROJECT wird geöffnet.

  4. Klicken Sie unter Rollen zuweisen auf . Weitere Rolle hinzufügen

  5. Wählen Sie die erstellte benutzerdefinierte Rolle aus und klicken Sie auf Speichern.