Ativar a correção de bucket público

Este documento fornece um guia explicativo para ativar o bucket público correção para os playbooks de descobertas de postura no nível Enterprise do o Security Command Center.

Visão geral

O Security Command Center oferece suporte à correção adicional para as vulnerabilidades em os seguintes playbooks:

  • Descobertas de postura – Genérica
  • Encontre a postura com o Jira
  • Encontrar a postura com o ServiceNow

Esses playbooks de resultados de postura incluem um bloco que remedia as descobertas de OPEN PORT, PUBLIC IP ADDRESS e PUBLIC BUCKET ACL. Para mais informações sobre esses tipos de descoberta, consulte Descobertas de vulnerabilidade.

Os playbooks são pré-configurados para processar OPEN PORT e PUBLIC IP ADDRESS descobertas. Corrigir as descobertas de PUBLIC_BUCKET_ACL exige que você ative a correção do bucket público para playbooks.

Ativar a correção de buckets públicos para playbooks

Depois que o detector do Security Health Analytics (SHA) identifica os buckets do Cloud Storage que são acessíveis publicamente e gera as descobertas PUBLIC_BUCKET_ACL, o Security Command Center Enterprise processa as descobertas e anexa os playbooks a elas. Para ativar a correção de bucket público para de descobertas de postura, você precisa criar um papel personalizado do IAM, configurar uma permissão específica para ele e conceder o papel personalizado que você em um principal existente.

Antes de começar

Uma instância configurada e em execução da integração do Cloud Storage é necessária para corrigir o acesso público ao bucket. Validar a integração configuração, consulte Atualizar o caso de uso empresarial.

Criar um papel personalizado do IAM

Para criar um papel personalizado do IAM e configurar uma permissão específica para ele, siga estas etapas:

  1. No console do Google Cloud, acesse a página Papéis do IAM.

    Acessar "Papéis do IAM"

  2. Clique em Criar função para criar um papel personalizado com as permissões necessárias para a integração.

  3. Para um novo papel personalizado, forneça o Título, a Descrição e um nome ID.

  4. Defina a etapa da criação do papel como disponibilidade geral.

  5. Adicione a seguinte permissão ao papel criado:

    resourcemanager.organizations.setIamPolicy

  6. Clique em Criar.

Conceder um papel personalizado a um principal existente

Depois de conceder a nova função personalizada a um principal selecionado, ele poderá mudar as permissões de qualquer usuário na sua organização.

Para conceder a função personalizada a um principal, siga estas etapas:

  1. No console do Google Cloud, abra a página IAM.

    Acessar IAM

  2. No campo Filtro, cole o valor E-mail de identidade da carga de trabalho que você usa para a integração do Cloud Storage e pesquise o principal.

  3. Clique em Editar principal. A caixa de diálogo Editar acesso a "PROJECT" será aberta.

  4. Em Atribuir funções, clique em Adicionar outro papel.

  5. Selecione o papel personalizado que você criou e clique em Salvar.