Gerenciar combinações tóxicas

Esta página fornece instruções para trabalhar com casos de combinação tóxica no console de Operações de Segurança.

Antes de começar

Para garantir que a detecção de combinações tóxicas seja precisa, certifique-se de que o software do componente de operações de segurança esteja atualizado, que seus recursos de alto valor sejam designados com precisão e que você tenha as permissões de IAM adequadas.

Conseguir as permissões necessárias

Para trabalhar com descobertas e casos de combinação tóxica no console do Google Cloud e no console de operações de segurança, você precisa de permissões concedidas a você nos dois consoles.

Papéis do IAM no console do Google Cloud

Verifique se você tem os seguintes papéis na organização:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Verificar os papéis

  1. No console do Google Cloud, abra a página IAM.

    Acessar IAM
  2. Selecionar uma organização.

  3. Na coluna Principal, encontre a linha que contém seu endereço de e-mail.

    Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.

  4. Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.

Conceder os papéis

  1. No console do Google Cloud, abra a página IAM.

    Acesse o IAM
  2. Selecionar uma organização.
  3. Clique em CONCEDER ACESSO.
  4. No campo Novos participantes, digite seu endereço de e-mail.
  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
  7. Clique em Save.

Para mais informações sobre papéis e permissões do Security Command Center, consulte IAM para ativações no nível da organização.

Papéis do console de Operações de Segurança

Para trabalhar com descobertas e casos de combinação tóxica no console de operações de segurança, você precisa de qualquer um dos seguintes papéis:

  • Gerenciador de vulnerabilidades do Chronicle SOAR
  • Gerenciador de ameaças do Chronicle SOAR
  • Administrador do Chronicle SOAR

Para informações sobre como conceder o papel a um usuário, consulte Mapear e autorizar usuários usando o IAM.

Instale o caso de uso mais recente de operações de segurança

O recurso de combinação tóxica exige a versão 25 de junho de 2024 ou posterior do caso de uso SCC Enterprise – Cloud Orchestrator and Remediation.

Para informações sobre como instalar o caso de uso, consulte Atualizar o caso de uso do Enterprise, junho de 2024.

Especifique quais recursos são de alto valor

Não é necessário ativar a detecção de combinações tóxicas porque ela está sempre ativada, mas você precisa especificar quais dos seus recursos de nuvem são de alto valor.

Até que você especifique quais dos seus recursos são de alto valor, o Rsk Engine detecta combinações tóxicas que expõem um conjunto padrão de recursos de alto valor.

É improvável que as descobertas de combinação tóxica geradas com base no conjunto de recursos padrão de alto valor reflitam com precisão suas prioridades de segurança.

Para especificar quais recursos são de alto valor, crie configurações de valor de recurso. Para mais instruções, consulte Definir e gerenciar seu conjunto de recursos de alto valor.

Conferir casos de combinação tóxica

É possível ter uma visão geral de todos os casos de combinação tóxica e ver os detalhes de cada um no console de Operações de segurança.

Confira uma visão geral de todos os casos de combinação tóxica

Na página Visão geral da postura, vários widgets oferecem uma visão geral rápida dos casos de combinações tóxicas no seu ambiente de nuvem. É possível encontrar as seguintes informações:

  • Casos de combinação tóxica abertos: é o número de casos abertos de combinação tóxica em cada nível de prioridade. Clique na barra de uma prioridade específica para abrir uma visualização em lista dos casos.
  • Principais casos de combinação tóxica: os principais casos de combinação tóxica classificados por pontuação de exposição a ataques. Clique no código do caso para abrir um caso.
  • Casos de combinação tóxica excedendo o SLA: os casos de combinação tóxica classificados pelo tempo restante no contrato de nível de serviço (SLA). Clique no código do caso para abrir um caso.

Você encontra a página Visão geral da postura no seguinte URL:

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

Substitua CUSTOMER_SUBDOMAIN pelo identificador específico do cliente.

Acessar os detalhes de um caso de combinação tóxica

Em qualquer visualização em lista de casos de combinação tóxica, é possível abrir os detalhes clicando no ID do caso.

  1. No console de Operações de Segurança, acesse Casos.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Substitua CUSTOMER_SUBDOMAIN pelo identificador específico do cliente.

    A página Casos é aberta com a visualização Lado a lado selecionada.

  2. Na parte superior da lista de casos, clique no ícone de filtro, , para abrir o painel de filtro. O painel Filtro de fila de casos é aberto.

  3. Em Filtro de fila de casos, especifique o seguinte:

    1. No campo Período, especifique o período em que o caso está ativo.
    2. Defina Operador lógico como AND.
    3. Para o primeiro valor em Operador lógico, selecione Tags no menu.
    4. Para o segundo valor, selecione Combinações tóxicas.
    5. Especifique outros pares de valores, conforme necessário, para encontrar o caso específico que você precisa analisar.
    6. Clique em Aplicar. Os casos na fila são atualizados para mostrar apenas os que correspondem ao filtro especificado.

  4. Na fila de casos, selecione o caso que você precisa ver. As informações do caso são exibidas, incluindo as seguintes visualizações com guias:

    • A guia Visão geral do caso () fornece informações sobre o caso de combinação tóxico, incluindo um diagrama simplificado de caminho de ataque, uma lista de descobertas relacionadas, uma lista de casos semelhantes, alertas, um gráfico de entidades e muito mais.
    • A guia Mural de casos () contém um registro de ações, mudanças de status, tarefas, comentários e muito mais.
    • A guia Alerta de descobertas oferece informações mais detalhadas sobre a combinação tóxica, incluindo o seguinte:
      • Em Visão geral, uma descrição da combinação tóxica e as próximas etapas que podem ser seguidas para remediá-la.
      • Em Eventos, uma lista de propriedades de descoberta.
      • Em Playbooks, vai aparecer uma lista de playbooks associados.

Priorizar casos de combinação tóxica

Para priorizar um caso de combinação tóxica em relação a outros casos de postura, compare as pontuações de exposição a ataques.

Geralmente, priorize a correção de um caso de combinação tóxica em vez de a correção de casos para outras categorias de descoberta de postura, a menos que a pontuação de exposição ao ataque no caso de outra categoria de descoberta seja significativamente maior do que a pontuação do caso de combinação tóxica.

Os casos de combinação tóxica precisam ser priorizados, porque as combinações tóxicas representam um caminho completo que, se um invasor determinado conseguir acesso ao seu ambiente de nuvem, ele poderia razoavelmente seguir da Internet pública para um ou mais de seus recursos de alto valor.

No console de Operações de Segurança, é possível conferir os casos de combinação tóxica que têm as maiores pontuações de exposição a ataques no widget Principais casos de combinação tóxica na página Visão geral em Postura.

É possível classificar todos os casos de combinação tóxica por pontuação de exposição a ataques na página Casos. Para mais informações sobre como visualizar, filtrar e classificar casos de combinações tóxicas, consulte Consultar casos de combinações tóxicas.

Corrigir uma combinação tóxica

É possível encontrar orientações para corrigir uma descoberta de combinação tóxica no caso aberto para a descoberta no console de Operações de Segurança ou no próprio registro de descoberta.

Mostrar orientações de correção em um caso

Para conferir as orientações de correção em um caso de combinação tóxica, siga estas etapas:

  1. Acesse a página Casos no console de Operações de segurança.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Substitua CUSTOMER_SUBDOMAIN pelo identificador específico do cliente.

  2. Abra o caso da combinação tóxica que você precisa corrigir.

  3. Clique na guia Caso ou Alerta.

  4. Consulte a seção Próximas etapas em um dos seguintes widgets:

    • Se você clicou na guia Caso, no widget Resumo do caso.
    • Se você clicou na guia Alerta, no widget Resumo de descobertas.

    Se necessário, role além da Descrição da descoberta para ver as Próximas etapas.

Conferir orientações de correção em uma descoberta de combinação tóxica

Para ver a orientação de correção em um registro de descoberta, siga estas etapas:

  1. No console de Operações de Segurança, acesse Postura > Descobertas.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Substitua CUSTOMER_SUBDOMAIN pelo identificador específico do cliente.

  2. Para encontrar a combinação tóxica, selecione Filtros rápidos ou edite a consulta de descoberta.

  3. Clique no nome da categoria de descoberta para abrir os detalhes. A página de detalhes da descoberta será aberta.

  4. Na página de detalhes da descoberta na seção Próximas etapas da guia Resumo, revise a orientação de correção.

Analisar as descobertas em um caso de combinação tóxica

Normalmente, uma combinação tóxica inclui uma ou mais descobertas de uma vulnerabilidade de software ou uma configuração incorreta. Para cada uma dessas descobertas, o Security Command Center abre automaticamente um caso separado e executa os playbooks associados. É possível analisar os casos dessas descobertas e solicitar que os proprietários dos tíquetes priorizem a correção para resolver a combinação tóxica.

Para analisar as descobertas em uma combinação tóxica, siga estas etapas:

  1. No console de Operações de Segurança, acesse Casos.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Substitua CUSTOMER_SUBDOMAIN pelo identificador específico do cliente.

  2. Localize e abra o caso de combinação tóxica.

  3. Selecione a guia de visão geral do caso ().

  4. Revise as descobertas listadas na seção Descobertas da guia de visão geral do caso.

  5. Clique em uma descoberta para exibir informações resumidas sobre ela, incluindo o ID do caso, a pontuação de exposição a ataques e qualquer ID do tíquete da descoberta.

    • Clique no código do caso da descoberta para abri-lo e visualizar o status, o proprietário atribuído e outras informações do caso.
    • Clique na pontuação de exposição a ataques para revisar o caminho de ataque da descoberta.
    • Clique no ID do tíquete para abrir o tíquete da descoberta.

Fechar um caso de combinação tóxica

É possível encerrar um caso de combinação tóxica corrigindo a combinação tóxica subjacente ou silenciando a descoberta da combinação tóxica no console do Google Cloud.

Encerrar um caso corrigindo uma combinação tóxica

Depois de corrigir um ou mais dos problemas de segurança que compõem uma combinação tóxica para que ela não exponha mais recursos de alto valor, o Rsk Engine fecha o caso de combinação tóxica automaticamente durante a próxima simulação de caminho de ataque, que é executada a cada seis horas, aproximadamente.

Para corrigir uma combinação tóxica, siga as orientações fornecidas no caso correspondente em Próximas etapas.

Para mais informações, consulte Como corrigir uma combinação tóxica.

Encerrar um caso silenciando a descoberta

Se o risco apresentado pela combinação tóxica for aceitável para sua empresa ou se não for possível corrigi-la, você poderá encerrar o caso silenciando a descoberta da combinação tóxica.

Para silenciar uma descoberta de combinação tóxica, siga estas etapas:

  1. No console de Operações de Segurança, acesse Casos.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Substitua CUSTOMER_SUBDOMAIN pelo identificador específico do cliente.

  2. Localize e abra o caso de combinação tóxica.

  3. Selecione a guia "Alerta de descoberta".

  4. No canto inferior direito do widget Resumo da descoberta, clique em Explorar. A descoberta de combinação tóxica é aberta.

  5. Use as Opções de silenciamento no canto superior direito da página de detalhes da descoberta para silenciá-la.

Também é possível silenciar as descobertas no console do Google Cloud. Para mais informações, consulte Silenciar uma descoberta individual.

Visualização de casos fechados de combinação tóxica

Quando um caso no console de Operações de Segurança é fechado, ele é removido da página Casos pelo Security Command Center.

Para visualizar um caso de combinação tóxica fechado, siga estas etapas:

  1. No console de Operações de Segurança, acesse a página Pesquisa SOAR.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

    Substitua CUSTOMER_SUBDOMAIN pelo identificador específico do cliente.

  2. No lado esquerdo da página, em Status, especifique Fechado.

  3. Em Tags, especifique a Combinação tóxica.

  4. Clique em Aplicar. Todos os casos de combinação tóxica fechados são exibidos nos resultados da pesquisa.