Maneja combinaciones tóxicas

En esta página, se proporcionan instrucciones para trabajar con casos de combinación tóxicos en la consola de operaciones de seguridad.

Antes de comenzar

Para garantizar que la detección de combinaciones tóxicas sea precisa, asegúrate de que el software del componente de operaciones de seguridad esté actualizado, que tus recursos de alto valor estén designados con precisión y que tengas los permisos de IAM adecuados.

Obtén los permisos necesarios

Para trabajar con resultados y casos de combinaciones tóxicas en la consola de Google Cloud y en la de operaciones de seguridad, debes tener los permisos que se te otorgaron en ambas consolas.

Roles de IAM de la consola de Google Cloud

Asegúrate de tener los siguientes roles en la organización:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Verifica los roles

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM
  2. Selecciona la organización.

  3. En la columna Principal, busca la fila que tiene tu dirección de correo electrónico.

    Si tu dirección de correo electrónico no está en esa columna, no tienes ningún rol.

  4. En la columna Función de la fila con la dirección de correo electrónico, verifica si la lista de roles incluye los roles necesarios.

Otorga los roles

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.
  4. En el campo Principales nuevas, ingresa tu dirección de correo electrónico.
  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.

Si quieres obtener más información sobre las funciones y los permisos de Security Command Center, consulta IAM para activaciones a nivel de la organización.

Roles de la consola de operaciones de seguridad

Para trabajar con resultados y casos de combinaciones tóxicas en la consola de operaciones de seguridad, necesitas cualquiera de las siguientes funciones:

  • Administrador de vulnerabilidades de Chronicle SOAR
  • Administrador de amenazas de Chronicle SOAR
  • Administrador de Chronicle SOAR

Para obtener información sobre cómo otorgar la función a un usuario, consulta Asigna y autoriza usuarios con IAM.

Instala el caso de uso de operaciones de seguridad más reciente

La función de combinación tóxica requiere el lanzamiento del 25 de junio de 2024 o posterior del caso de uso de SCC Enterprise: organización y corrección en la nube.

Para obtener información sobre la instalación del caso de uso, consulta Actualización del caso de uso de Enterprise, junio de 2024.

Especifica cuáles de tus recursos son de alto valor

No es necesario que habilites la detección de combinaciones tóxicas (siempre está activada), pero debes especificar cuáles de tus recursos en la nube son recursos de alto valor.

Hasta que no especifiques cuáles de tus recursos son de alto valor, Riisk Engine detecta combinaciones tóxicas que exponen un conjunto predeterminado de recursos de alto valor.

Es poco probable que los hallazgos de combinaciones tóxicas generados a partir del conjunto predeterminado de recursos de alto valor reflejen con precisión tus prioridades de seguridad.

Para especificar cuáles de tus recursos son de alto valor, crea configuraciones de valores de recursos. Para obtener instrucciones, consulta Define y administra tu conjunto de recursos de alto valor.

Ver casos de combinaciones tóxicas

Puedes ver una descripción general de todos los casos de combinación tóxica y los detalles de cada caso en la consola de operaciones de seguridad.

Ver un resumen de todos los casos de combinaciones tóxicas

En la página Descripción general de la postura, varios widgets te proporcionan una descripción general rápida de los casos de combinación tóxicos en tu entorno de nube. Encontrarás la siguiente información:

  • Casos de combinación tóxica abiertos: Es la cantidad de casos de combinación tóxica abiertos en cada nivel de prioridad. Haz clic en la barra de una prioridad determinada para abrir una vista de lista de los casos.
  • Principales casos de combinación tóxica: Los casos de combinación tóxicos principales ordenados por puntuación de exposición a ataques. Haz clic en el ID del caso para abrirlo.
  • Casos de combinaciones tóxicas que exceden el ANS: Son los casos de combinación tóxicos ordenados por el tiempo restante en el Acuerdo de Nivel de Servicio (ANS). Haz clic en el ID del caso para abrirlo.

Puedes encontrar la página Descripción general de la postura en la siguiente URL:

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

Consulta los detalles de un caso tóxico combinado

En cualquier vista de lista de casos de combinación tóxica, puedes abrir los detalles del caso haciendo clic en su ID.

  1. En la consola de Operaciones de seguridad, ve a Casos.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

    Se abrirá la página Casos con la vista Side-by-Side seleccionada.

  2. En la parte superior de la lista de casos, haz clic en el ícono de filtro, , para abrir el panel de filtros. Se abrirá el panel Filtro de cola de casos.

  3. En el filtro de cola de casos, especifica lo siguiente:

    1. En el campo Período (Time Frame), especifica el período en el que el caso estará activo.
    2. Configura el Operador lógico como AND.
    3. Para el primer valor en Operador lógico, selecciona Etiquetas en el menú.
    4. Para el segundo valor, selecciona Combinaciones tóxicas.
    5. Especifica otros pares de valores según sea necesario para encontrar el caso particular que necesitas ver.
    6. Haz clic en Aplicar. Los casos de la cola de casos se actualizan para mostrar solo aquellos que coinciden con el filtro que especificaste.

  4. En la cola de casos, selecciona el que necesites ver. Se mostrará la información del caso, incluidas las siguientes vistas con pestañas:

    • La pestaña Descripción general del caso () proporciona información sobre el caso combinado tóxico, lo que incluye un diagrama simplificado de la ruta de ataque, una lista de hallazgos relacionados, una lista de casos similares, alertas, un gráfico de entidades y mucho más.
    • La pestaña Muro de casos () contiene un registro de acciones, cambios de estado, tareas, comentarios y mucho más.
    • La pestaña Finding alert proporciona información más detallada sobre la combinación tóxica, incluida la siguiente:
      • En Descripción general, se incluye una descripción de la combinación tóxica y los próximos pasos que puedes seguir para corregirla.
      • En Eventos, una lista de las propiedades de los resultados.
      • En Guías, aparece una lista de guías asociadas.

Priorizar los casos de combinación tóxicos

Para priorizar un caso de combinación tóxico en relación con otros casos de postura, compara sus puntuaciones de exposición a ataques.

En general, debes priorizar la solución de un caso de combinación tóxico sobre la solución de casos para otras categorías de hallazgo de postura, a menos que la puntuación de exposición al ataque del caso para otra categoría de hallazgo sea significativamente más alta que la puntuación del caso de combinación tóxica.

Los casos de combinaciones tóxicas deben priorizarse más, ya que las combinaciones tóxicas representan una ruta completa que, si un atacante determinado obtuviera acceso a tu entorno de nube, el atacante podría seguir razonablemente desde la Internet pública hasta uno o más de tus recursos de alto valor.

En la consola de operaciones de seguridad, puedes ver los casos combinados tóxicos que tienen las puntuaciones más altas de exposición a ataques en el widget Principales casos de combinación tóxica en la página Descripción general, en Postura.

Puedes ordenar todos los casos de combinación tóxica por puntuación de exposición a ataques en la página Casos. Para obtener más información sobre cómo ver, filtrar y ordenar casos de combinación tóxicos, consulta Consulta casos de combinación tóxica.

Corregir una combinación tóxica

Puedes encontrar orientación para corregir un hallazgo de combinación tóxica en el caso que se abra para el hallazgo en la consola de operaciones de seguridad o en el propio registro del hallazgo.

Ver la orientación para la solución de un caso específico

Para ver la guía de solución de un caso de combinación tóxico, sigue estos pasos:

  1. Ve a la página de Casos en la consola de Operaciones de seguridad.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. Abre el caso de la combinación tóxica que debes corregir.

  3. Haz clic en la pestaña Case o Alert.

  4. Revisa la sección Próximos pasos en uno de los siguientes widgets:

    • Si hiciste clic en la pestaña Caso, el widget Resumen del caso.
    • Si hiciste clic en la pestaña Alerta, el widget de Resumen de resultados.

    Si es necesario, desplázate más allá de la Descripción del hallazgo para ver los próximos pasos.

Ver la guía de remediación de un hallazgo de combinación tóxica

Para ver la guía de corrección en un registro de hallazgos, sigue estos pasos:

  1. En la consola de operaciones de seguridad, ve a Postura > Hallazgos.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. Encuentra el hallazgo de combinación tóxica seleccionando Filtros rápidos o editando la consulta de hallazgo.

  3. Haz clic en el nombre de la categoría del hallazgo para abrir los detalles. Se abrirá la página de detalles del hallazgo.

  4. En la página de detalles de los hallazgos, en la sección Próximos pasos de la pestaña Resumen, revisa la guía de soluciones.

Revisar los hallazgos en un caso de combinación tóxico

Por lo general, una combinación tóxica incluye uno o más hallazgos de vulnerabilidades de software o una configuración incorrecta. Para cada uno de estos hallazgos, Security Command Center abre de forma automática un caso independiente y ejecuta las guías asociadas. Puedes revisar los casos de estos hallazgos y pedirles a los propietarios de los tickets que prioricen su solución para resolver la combinación tóxica.

Para revisar los hallazgos en una combinación tóxica, sigue estos pasos:

  1. En la consola de Operaciones de seguridad, ve a Casos.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. Localiza y abre el caso de combinación tóxico.

  3. Selecciona la pestaña de descripción general del caso ().

  4. En la sección Hallazgos de la pestaña de descripción general del caso, revisa los hallazgos enumerados.

  5. Haz clic en un hallazgo para mostrar información resumida sobre el hallazgo, incluye el ID del caso, la puntuación de exposición a ataques y cualquier ID de ticket del hallazgo.

    • Haz clic en el ID del caso para abrirlo y ver su estado, el propietario asignado y otra información.
    • Haz clic en la puntuación de exposición a ataques para revisar la ruta de ataque del hallazgo.
    • Haz clic en el ID del ticket para abrirlo del hallazgo.

Cerrar un caso de combinación tóxica

Para cerrar un caso de una combinación tóxica, puedes corregir la combinación tóxica subyacente o silenciar el hallazgo de combinación tóxica en la consola de Google Cloud.

Corrige una combinación tóxica para cerrar un caso

Después de corregir uno o más de los problemas de seguridad que conforman una combinación tóxica, de modo que ya no exponga ningún recurso de alto valor, Riisk Engine cierra el caso de combinación tóxica de forma automática durante la siguiente simulación de ruta de ataque, que se ejecuta cada seis horas, aproximadamente.

Para corregir una combinación tóxica, sigue las instrucciones proporcionadas en el caso de combinación tóxica en Próximos pasos.

Para obtener más información, consulta Cómo corregir una combinación tóxica.

Cierra un caso silenciando el hallazgo

Si el riesgo que representa la combinación tóxica es aceptable para tu empresa o no puedes corregir la combinación tóxica, puedes cerrar el caso silenciando el hallazgo de combinación tóxica.

Para silenciar un resultado de combinación tóxica, sigue estos pasos:

  1. En la consola de Operaciones de seguridad, ve a Casos.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. Localiza y abre el caso de combinación tóxico.

  3. Selecciona la pestaña de alerta de hallazgos.

  4. En la esquina inferior derecha del widget Finding summary, haz clic en Explore. Se abre el hallazgo de la combinación tóxica.

  5. Usa las Opciones para silenciar en la esquina superior derecha de la página de detalles del hallazgo.

También puedes silenciar los resultados en la consola de Google Cloud. Para obtener más información, consulta Cómo silenciar un resultado individual.

Visualización de casos cerrados de combinación tóxica

Cuando se cierra un caso de la consola de operaciones de seguridad, Security Command Center lo quita de la página Casos.

Para ver un caso cerrado de combinación tóxica, sigue estos pasos:

  1. En la consola de Operaciones de seguridad, ve a la página SOAR Search.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. Del lado izquierdo de la página, en Estado, especifica Cerrado.

  3. En Etiquetas, especifica Combinación tóxica.

  4. Haz clic en Aplicar. Cualquier caso cerrado de combinación tóxica se muestra en los resultados de la búsqueda.