In diesem Dokument finden Sie eine detaillierte Anleitung zum Aktivieren der öffentlichen Bucket-Behebung für die Playbooks zu Sicherheitsrisiken in der Enterprise-Stufe von Security Command Center.
Übersicht
Security Command Center unterstützt zusätzliche Maßnahmen zur Behebung der Sicherheitslücken in den folgenden Playbooks:
- Ergebnisse zur Körperhaltung – allgemein
- Sicherheitsstatusergebnisse mit Jira
- Ergebnisse zur Sicherheitslage mit ServiceNow
Diese Playbooks für Bewertungsergebnisse enthalten einen Block, mit dem die Ergebnisse OPEN PORT, PUBLIC IP ADDRESS und PUBLIC BUCKET ACL behoben werden. Weitere Informationen zu diesen Ergebnistypen finden Sie unter Erfasste Sicherheitslücken.
Playbooks sind vorkonfiguriert, um die OPEN PORT- und PUBLIC IP ADDRESS-Ergebnisse zu verarbeiten. Um die PUBLIC_BUCKET_ACL-Probleme zu beheben, müssen Sie die Behebung für öffentliche Bucket-Dateien für Playbooks aktivieren.
Öffentliche Bucket-Korrektur für Playbooks aktivieren
Nachdem der Security Health Analytics-Detektor (SHA) die öffentlich zugänglichen Cloud Storage-Buckets ermittelt und die PUBLIC_BUCKET_ACL-Ergebnisse generiert hat, werden die Ergebnisse in Security Command Center Enterprise aufgenommen und Playbooks hinzugefügt. Wenn Sie die Behebung von Sicherheitslücken in öffentlichen Buckets für Playbooks mit Ergebnissen zur Bewertung des Sicherheitsstatus aktivieren möchten, müssen Sie eine benutzerdefinierte IAM-Rolle erstellen, eine bestimmte Berechtigung dafür konfigurieren und der benutzerdefinierten Rolle, die Sie erstellt haben, ein vorhandenes Hauptkonto zuweisen.
Hinweise
Um den öffentlichen Bucket-Zugriff zu beheben, ist eine konfigurierte und laufende Instanz der Cloud Storage-Integration erforderlich. Informationen zum Validieren der Integrationskonfiguration finden Sie unter Anwendungsfall für reCAPTCHA Enterprise aktualisieren.
Benutzerdefinierte IAM-Rolle erstellen
So erstellen Sie eine benutzerdefinierte IAM-Rolle und konfigurieren eine bestimmte Berechtigung dafür:
Rufen Sie in der Google Cloud -Konsole die Seite IAM-Rollen auf.
Klicken Sie auf Rolle erstellen, um eine benutzerdefinierte Rolle mit den für die Integration erforderlichen Berechtigungen zu erstellen.
Geben Sie für eine neue benutzerdefinierte Rolle den Titel, die Beschreibung und eine eindeutige ID an.
Legen Sie die Rollenstartphase auf General Availability fest.
Fügen Sie der erstellten Rolle die folgende Berechtigung hinzu:
resourcemanager.organizations.setIamPolicyKlicken Sie auf Erstellen.
Einem vorhandenen Hauptkonto eine benutzerdefinierte Rolle zuweisen
Nachdem Sie einer ausgewählten Hauptperson Ihre neue benutzerdefinierte Rolle gewährt haben, kann sie die Berechtigungen für alle Nutzer in Ihrer Organisation ändern.
So weisen Sie einer vorhandenen Identität die benutzerdefinierte Rolle zu:
Öffnen Sie in der Google Cloud Console die Seite IAM.
Fügen Sie im Feld Filter den Wert Workload Identity Email ein, den Sie für die Cloud Storage-Integration verwenden, und suchen Sie nach dem vorhandenen Prinzipal.
Klicken Sie auf Hauptkonto bearbeiten. Das Dialogfeld Zugriff auf „PROJECT“ bearbeiten wird geöffnet.
Klicken Sie unter Rollen zuweisen auf Weitere Rolle hinzufügen.
Wählen Sie die von Ihnen erstellte benutzerdefinierte Rolle aus und klicken Sie auf Speichern.