Gestire le combinazioni dannose

Questa pagina fornisce istruzioni per identificare e rispondere a combinazioni dannose utilizzando casi e risultati.

Prima di iniziare

Per assicurarti che il rilevamento di combinazioni dannose sia accurato, verifica che il software del componente delle operazioni di sicurezza sia aggiornato, che l'insieme di risorse di alto valore sia designato con precisione e che tu disponga delle autorizzazioni IAM appropriate.

Ottenere le autorizzazioni richieste

Per lavorare con casi e risultati relativi a combinazioni di contenuti dannosi sia nella consoleGoogle Cloud sia nella console Security Operations, devi disporre delle autorizzazioni concesse in entrambe le console.

Ruoli IAM della consoleGoogle Cloud

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi accesso.

  4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  7. Fai clic su Salva.

    8. Per saperne di più sui ruoli e sulle autorizzazioni di Security Command Center, consulta IAM per le attivazioni a livello di organizzazione.

    Ruoli della console Security Operations

    Per gestire le segnalazioni e le richieste relative alle combinazioni dannose nella console Security Operations, devi disporre di uno dei seguenti ruoli:

    • Chronicle SOAR Vulnerability Manager
    • Chronicle SOAR Threat Manager
    • Chronicle SOAR Admin

    Per informazioni su come concedere il ruolo a un utente, consulta Mappare e autorizzare gli utenti utilizzando IAM.

    Installa il caso d'uso di operazioni di sicurezza più recente

    La funzionalità di combinazione di elementi dannosi richiede la versione del 25 giugno 2024 o successiva del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation.

    Per informazioni sull'installazione del caso d'uso, consulta Aggiornamento del caso d'uso Enterprise, giugno 2024.

    Specifica l'insieme di risorse di alto valore

    Non è necessario attivare il rilevamento delle combinazioni tossiche, perché è sempre attivo. Il motore dei rischi rileva automaticamente le combinazioni dannose che espongono un insieme predefinito di risorse di alto valore.

    È improbabile che i risultati delle combinazioni dannose generati in base all'insieme di risorse di alto valore predefinito riflettano con precisione le tue priorità di sicurezza. Pertanto, ti consigliamo di specificare le risorse nel set di risorse di alto valore.

    Per specificare quali risorse fanno parte dell'insieme di risorse di alto valore, crei configurazioni dei valori delle risorse nella console Google Cloud . Per le istruzioni, consulta Definire e gestire il set di risorse di alto valore.

    Visualizzare le richieste relative alla combinazione tossica

    Puoi visualizzare una panoramica di tutte le richieste relative alla combinazione tossica e i dettagli di ciascuna richiesta nella console Security Operations.

    Visualizza una panoramica di tutte le richieste di combinazione tossica

    Nella pagina Panoramica della posizione, diversi widget forniscono una rapida panoramica delle combinazioni tossiche nei tuoi ambienti cloud Google Cloud e Amazon Web Services (AWS) (anteprima). Puoi trovare le seguenti informazioni:

    • Tutte le richieste di postura aperte o Richieste di combinazione tossica aperte: per visualizzare le richieste di combinazione tossica aperte, seleziona Combinazioni tossiche dal selettore. Il widget mostra il numero di richieste di combinazione tossica aperte per ciascun livello di priorità. Fai clic sulla barra di una determinata priorità per aprire una visualizzazione elenco delle richieste.

    • TTR e tendenza delle richieste relative alla combinazione tossica: le tendenze per le richieste di combinazione tossica aperte e chiuse per un intervallo di tempo specifico. Tieni premuto il cursore sopra le linee di tendenza per visualizzare il numero specifico di richieste aperte e chiuse per un determinato punto dati nell'intervallo di tempo. Questo widget fornisce anche un valore di tempo di correzione (TTR) che indica il tempo medio necessario per risolvere una richiesta con combinazione tossica in base all'intervallo di tempo specificato.

    • Prime richieste di combinazione tossica: le richieste di combinazione tossica più importanti ordinate in base al punteggio di esposizione agli attacchi. Fai clic sull'case ID per aprirla.

    • Richieste di combinazione tossica che superano lo SLA: le richieste di combinazione tossica ordinate in base al tempo rimanente dell'accordo sul livello del servizio (SLA). Fai clic sull'case ID per aprire una richiesta.

    Puoi trovare la pagina Panoramica della postura all'URL seguente:

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificativo specifico per il cliente.

    Visualizzare i dettagli di una richiesta relativa alla combinazione tossica

    In qualsiasi visualizzazione elenco delle richieste relative alla combinazione tossica, puoi aprire i dettagli della richiesta facendo clic sull'ID della richiesta.

    1. Nella console Security Operations, vai a Cases (Richieste).

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificativo specifico per il cliente.

      Viene visualizzata la pagina Richieste con la visualizzazione Accanto selezionata.

    2. Nell'elenco delle richieste, fai clic su Apri il riquadro dei filtri Filtro richieste per aprire il riquadro dei filtri. Viene visualizzato il riquadro Filtro coda di richieste.

    3. In Filtro coda di richieste, specifica quanto segue:

      1. Nel campo Intervallo di tempo, specifica il periodo di tempo in cui la richiesta è attiva.
      2. Imposta Operatore logico su E.
      3. Per il primo valore nella sezione Operatore logico, seleziona Tag dal menu.
      4. Per il secondo valore, seleziona Combinazione tossica.
      5. Specifica altre coppie di valori in base alle esigenze per trovare la situazione specifica che devi visualizzare.
      6. Fai clic su Applica. Le richieste nella coda vengono aggiornate in modo da mostrare solo quelle che corrispondono al filtro specificato.

    4. Dalla coda delle richieste, seleziona la richiesta che devi visualizzare. Vengono visualizzate le informazioni sulla richiesta, incluse le seguenti visualizzazioni con schede:

      • Scheda Panoramica della richiesta (Richiesta): fornisce informazioni sulla richiesta di combinazione tossica, tra cui un diagramma semplificato del percorso di attacco, un elenco di risultati correlati, un elenco di risorse interessate, un elenco di richieste simili, avvisi, un grafico delle entità e altro ancora.
      • Scheda Bacheca della richiesta (Muro): contiene un record di azioni, modifiche dello stato, attività, commenti e altro ancora.

      • Scheda Avviso correlato: fornisce informazioni più dettagliate sui singoli risultati correlati. Le informazioni vengono visualizzate nelle seguenti schede:

        • Panoramica: una descrizione del singolo rilevamento e dei passaggi successivi che puoi intraprendere per risolverlo.
        • Eventi: un elenco di proprietà di ricerca.
        • Playbook: un elenco di playbook associati.

    Assegnare la priorità alle richieste di combinazione tossica

    Per impostazione predefinita, le combinazioni dannose sono classificate come risultati di gravità critici e come richieste con priorità critica. Pertanto, devono avere la priorità rispetto alla risoluzione delle richieste per altre categorie di risultati relativi alla postura. Le combinazioni dannose rappresentano un percorso completo che, se un utente malintenzionato determinato dovesse ottenere l'accesso al tuo ambiente cloud, potrebbe ragionevolmente seguire dalla rete internet pubblica a una o più risorse del tuo set di risorse di alto valore.

    Confronta i punteggi delle combinazioni tossiche nella pagina Risultati della console Google Cloud per stabilire la priorità tra i casi di combinazioni tossiche. Nella console Security Operations, puoi visualizzare le richieste di combinazione tossica con i punteggi di esposizione agli attacchi più elevati nel widget Prime richieste di combinazione tossica nella pagina Panoramica in Postura.

    Puoi ordinare tutte le richieste relative alla combinazione tossica in base al punteggio di esposizione agli attacchi nella pagina Richieste. Per ulteriori informazioni su come visualizzare, filtrare e ordinare le richieste relative alla combinazione tossica, consulta Visualizzare le richieste relative alla combinazione tossica.

    Correggere una combinazione tossica

    Puoi trovare indicazioni per la correzione di una segnalazione di combinazione tossica nella richiesta aperta per la segnalazione nella console Security Operations o nel record della segnalazione stessa.

    Visualizzare le indicazioni per la correzione in una richiesta

    Per visualizzare le indicazioni per la correzione in una richiesta relativa alla combinazione tossica:

    1. Vai alla pagina Richieste nella console Security Operations.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

    2. Apri la richiesta relativa alla combinazione tossica che devi correggere.

    3. Fai clic sulla scheda Richiesta o sulla scheda Avviso.

    4. Esamina la sezione Passaggi successivi in uno dei seguenti widget:

      • Se hai fatto clic sulla scheda Richiesta, il widget Riepilogo richiesta.
      • Se hai fatto clic sulla scheda Avviso, il widget Riepilogo della ricerca.

      Se necessario, scorri oltre la Descrizione del risultato per visualizzare i Passaggi successivi.

    Visualizzare le indicazioni per la correzione in un risultato relativo a una combinazione tossica

    Per visualizzare le indicazioni per la correzione in un record di risultati:

    1. Nella console Security Operations, vai a Posture > Findings.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

      Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificativo specifico per il cliente.

    2. Trova il risultato relativo alla combinazione tossica selezionando Filtri rapidi o modificando la query del risultato.

    3. Fai clic sul nome della categoria del rilevamento per aprire i relativi dettagli. Viene visualizzata la pagina dei dettagli del risultato.

    4. Nella pagina dei dettagli del rilevamento, nella sezione Passaggi successivi della scheda Riepilogo, esamina le indicazioni per la correzione.

    Esaminare i risultati in una richiesta relativa alla combinazione tossica

    In genere, una combinazione tossica include uno o più risultati relativi a una vulnerabilità del software o a un errore di configurazione. Per ciascuno di questi risultati, Security Command Center apre automaticamente una richiesta separata ed esegue i playbook associati. Puoi esaminare le richieste per questi risultati e chiedere ai proprietari di assegnare la priorità alla correzione per risolvere la combinazione tossica.

    Per esaminare i risultati di una combinazione tossica:

    1. Nella console Security Operations, vai a Cases.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificativo specifico per il cliente.

    2. Individua e apri la richiesta di combinazione tossica.

    3. Seleziona la scheda Panoramica della richiesta (Richiesta):

    4. Nella sezione Risultati della scheda Panoramica della richiesta, esamina i risultati elencati.

    5. Fai clic su un risultato per visualizzare le informazioni di riepilogo relative al risultato, tra cui l'case ID, il punteggio di esposizione agli attacchi ed eventuali ID ticket per il risultato.

      • Fai clic sull'case ID del rilevamento per aprirla e visualizzarne lo stato, il proprietario assegnato e altre informazioni.
      • Fai clic sul punteggio di esposizione agli attacchi per esaminare il percorso di attacco del risultato.
      • Fai clic sull'ID richiesta per aprire la richiesta relativa al rilevamento.

    Chiudere una richiesta di combinazione tossica

    Puoi chiudere una richiesta relativa a una combinazione tossica correggendo la combinazione tossica di base o disattivando il rilevamento della combinazione tossica nella consoleGoogle Cloud .

    Chiudere una richiesta correggendo una combinazione tossica

    Dopo aver risolto uno o più dei problemi di sicurezza che costituiscono una combinazione dannosa, in modo che non esponga più risorse nel set di risorse di alto valore, Risk Engine chiude automaticamente la richiesta relativa alla combinazione dannosa durante la simulazione del percorso di attacco successiva, che viene eseguita ogni sei ore circa.

    Per correggere una combinazione tossica, segui le indicazioni fornite nella sezione relativa alle richieste relative a combinazioni tossiche in Passaggi successivi.

    Per ulteriori informazioni, consulta Come correggere una combinazione tossica.

    Chiudere una richiesta disattivando il risultato

    Se il rischio rappresentato dalla combinazione tossica è accettabile per la tua attività o se non riesci a correggere la combinazione tossica, puoi chiudere la richiesta disattivando il relativo rilevamento.

    Per disattivare un risultato relativo a una combinazione tossica:

    1. Nella console Security Operations, vai a Cases (Richieste).

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificativo specifico per il cliente.

    2. Individua e apri la richiesta di combinazione tossica.

    3. Fai clic sulla scheda dell'avviso correlato.

    4. Nel widget Riepilogo dei risultati, fai clic su Esplora i risultati in SCC. Si apre il risultato della combinazione tossica.

    5. Utilizza le Opzioni di disattivazione nella pagina dei dettagli del rilevamento per disattivare il rilevamento.

    Puoi anche disattivare l'audio dei risultati nella console Google Cloud . Per ulteriori informazioni, consulta la sezione Disattivare un singolo risultato.

    Visualizzazione delle richieste di combinazione tossica chiuse

    Quando una richiesta nella console Security Operations viene chiusa, Security Command Center la rimuove dalla pagina Richieste.

    Per visualizzare una richiesta relativa alla combinazione tossica chiusa:

    1. Nella console Security Operations, vai alla pagina Ricerca SOAR.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

      Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificativo specifico per il cliente.

    2. Espandi la sezione Stato e seleziona Chiusa.

    3. Espandi la sezione Tag e seleziona Combinazione tossica.

    4. Fai clic su Applica. Le richieste di combinazione tossica chiuse vengono visualizzate nei risultati di ricerca.

    Visualizzare i risultati relativi alle combinazioni dannose

    Un risultato di combinazione tossica è il record iniziale emesso da Risk Engine quando rileva una combinazione tossica nel tuo ambiente cloud. Security Command Center apre automaticamente una richiesta per ogni risultato di combinazione tossica generato dal motore di rischio.

    Puoi visualizzare i risultati delle combinazioni tossiche direttamente nella console Google Cloud nella pagina Panoramica dei rischi o nella pagina Risultati.

    Nella pagina Panoramica dei rischi vengono visualizzati i risultati relativi alle combinazioni dannose con i punteggi di esposizione agli attacchi più elevati. Ogni risultato è elencato con un link alla richiesta corrispondente nella console Security Operations.

    Per visualizzare i risultati delle combinazioni tossiche:

    1. Nella console Google Cloud , vai alla pagina Risultati del Security Command Center.

      Vai a Risultati

    2. Se necessario, seleziona la tua organizzazione Google Cloud .

    3. Nella sezione Classe di risultati del riquadro Filtri rapidi, seleziona Combinazione tossica. Il riquadro Risultati della query sui risultati si aggiorna per mostrare solo i risultati relativi alle combinazioni dannose.

    4. Per dare la priorità ai risultati relativi alle combinazioni dannose, ordinali in ordine decrescente in base al punteggio facendo clic sull'intestazione della colonna Punteggio delle combinazioni dannose.