Ativar a correção de buckets públicos

Este documento oferece um guia detalhado para ativar a remediação de bucket público para os playbooks de descobertas de postura no nível Enterprise do Security Command Center.

Visão geral

O Security Command Center oferece suporte a outras correções para as vulnerabilidades nos seguintes playbooks:

  • Resultados da postura: genérico
  • Encontre a postura com o Jira
  • Encontrar a postura com o ServiceNow

Esses playbooks de resultados de postura incluem um bloco que remedia as descobertas de OPEN PORT, PUBLIC IP ADDRESS e PUBLIC BUCKET ACL. Para mais informações sobre esses tipos de descoberta, consulte Descobertas de vulnerabilidade.

Os playbooks são pré-configurados para processar as descobertas de OPEN PORT e PUBLIC IP ADDRESS. Para corrigir as descobertas de PUBLIC_BUCKET_ACL, ative a correção de bucket público para playbooks.

Ativar a correção de buckets públicos para playbooks

Depois que o detector de SHA identifica os buckets do Cloud Storage que são acessíveis publicamente e gera as descobertas PUBLIC_BUCKET_ACL, o Security Command Center Enterprise os processa e anexa playbooks a eles. Para ativar a correção de bucket público para playbooks de findings de postura, você precisa criar um papel personalizado do IAM, configurar uma permissão específica para ele e conceder o papel personalizado que você criou a um principal existente.

Antes de começar

Uma instância configurada e em execução da integração do Cloud Storage é necessária para corrigir o acesso público ao bucket. Para validar a configuração da integração, consulte Atualizar o caso de uso empresarial.

Criar um papel personalizado do IAM

Para criar um papel personalizado do IAM e configurar uma permissão específica para ele, siga estas etapas:

  1. No console do Google Cloud, acesse a página Papéis do IAM.

    Acessar "Funções do IAM"

  2. Clique em Criar função para criar um papel personalizado com as permissões necessárias para a integração.

  3. Para um novo papel personalizado, forneça o Título, a Descrição e um ID exclusivo.

  4. Defina a etapa da criação do papel como disponibilidade geral.

  5. Adicione a seguinte permissão à função criada:

    resourcemanager.organizations.setIamPolicy

  6. Clique em Criar.

Conceder um papel personalizado a um principal

Depois de conceder a nova função personalizada a um principal selecionado, ele poderá mudar as permissões de qualquer usuário na sua organização.

Para conceder a função personalizada a um principal, siga estas etapas:

  1. No console do Google Cloud, abra a página IAM.

    Acessar IAM

  2. No campo Filtro, cole o valor E-mail de identidade da carga de trabalho que você usa para a integração do Cloud Storage e pesquise o principal.

  3. Clique em Editar principal. A caixa de diálogo Editar acesso a "PROJECT" será aberta.

  4. Em Atribuir funções, clique em Adicionar outro papel.

  5. Selecione a função personalizada que você criou e clique em Salvar.