Esta página oferece instruções para identificar e responder a combinações tóxicas usando casos e descobertas.
Antes de começar
Para garantir que a detecção de combinações tóxicas seja precisa, verifique se o software do componente de operações de segurança está atualizado, se o conjunto de recursos de alto valor está designado corretamente e se você tem as permissões do IAM adequadas.
Conseguir as permissões necessárias
Para trabalhar com casos e descobertas de combinações tóxicas no console do Google Cloud e no console de operações de segurança, você precisa de permissões concedidas em ambos os consoles.
Papéis do IAM no console do Google Cloud
Make sure that you have the following role or roles on the organization:
-
Security Center Admin Viewer
(
roles/securitycenter.adminViewer
), to view assets, findings, and attack paths in Security Command Center. -
Security Center Assets Viewer
(
roles/securitycenter.assetsViewer
), to view only resources. -
Security Center Attack Paths Reader
(
roles/securitycenter.attackPathsViewer
), to view only attack paths. -
Security Center Findings Editor
(
roles/securitycenter.findingsEditor
), to view, mute, and edit findings. -
Security Center Findings Mute Setter
(
roles/securitycenter.findingsMuteSetter
), to mute findings only. -
Security Center Findings Viewer
(
roles/securitycenter.findingsViewer
), to view only findings.
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Acessar o IAM - Selecionar uma organização.
- Clique em CONCEDER ACESSO.
-
No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.
- Na lista Selecionar um papel, escolha um.
- Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
- Clique em Salvar.
- Gerenciador de vulnerabilidades do Chronicle SOAR
- Gerenciador de ameaças do Chronicle SOAR
- Administrador do Chronicle SOAR
Todos os casos de postura abertos ou Casos de combinação tóxica abertos: para conferir casos de combinação tóxica abertos, selecione Combinações tóxicas no seletor. O widget mostra o número de casos de combinação tóxica abertos em cada nível de prioridade. Clique na barra de uma determinada prioridade para abrir uma visualização em lista dos casos.
TTR e tendência de casos de combinações tóxicas: as tendências de casos de combinações tóxicas abertos e fechados em um período específico. Mantenha o ponteiro sobre as linhas de tendência para conferir o número específico de casos abertos e encerrados para um determinado ponto de dados no período. Esse widget também fornece um valor de tempo para correção (TTR, na sigla em inglês) que indica a quantidade média de tempo gasto para resolver um caso de combinação tóxica com base no período especificado.
Principais casos de combinação tóxica: os principais casos de combinação tóxica classificados por pontuação de exposição a ataques. Clique no código do caso para abrir um caso.
Casos de combinação tóxica além do SLA: os casos de combinação tóxica são classificados pelo tempo restante no contrato de nível de serviço (SLA). Clique no ID do caso para abrir um caso.
No console de operações de segurança, acesse Casos.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Substitua
CUSTOMER_SUBDOMAIN
pelo seu identificador específico do cliente.A página Casos é aberta com a visualização Lado a lado selecionada.
Na lista de casos, clique em Filtro de casos para abrir o painel de filtro. O painel Filtro da fila de casos é aberto.
No Filtro da fila de casos, especifique o seguinte:
- No campo Período, especifique o período em que o caso está ativo.
- Defina Operador lógico como AND.
- Para o primeiro valor na seção Operador lógico, selecione Tags no menu.
- Para o segundo valor, selecione Combinação tóxica.
- Especifique outros pares de valores conforme necessário para encontrar o caso específico que você precisa.
- Clique em Aplicar. Os casos na fila são atualizados para mostrar apenas aqueles que correspondem ao filtro especificado.
Na fila de casos, selecione o caso que você precisa. As informações do caso são exibidas, incluindo as seguintes visualizações com guias:
- Guia Visão geral do caso (): fornece informações sobre o caso de combinação tóxica, incluindo um diagrama simplificado do caminho de ataque, uma lista de descobertas relacionadas, uma lista de recursos afetados, uma lista de casos semelhantes, alertas, um gráfico de entidades e muito mais.
- Guia Painel de casos (): contém um registro de ações, mudanças de status, tarefas, comentários e muito mais.
Guia Alerta relacionado: fornece informações mais detalhadas sobre as descobertas individuais relacionadas. As informações são exibidas nas seguintes guias:
- Visão geral: uma descrição da descoberta individual e as próximas etapas que você pode seguir para corrigir o problema.
- Eventos: uma lista de propriedades de descoberta.
- Playbooks: uma lista de playbooks associados.
Acesse a página Casos no console de operações de segurança.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Substitua
CUSTOMER_SUBDOMAIN
pelo seu identificador específico do cliente.Abra o caso da combinação tóxica que você precisa corrigir.
Clique na guia Caso ou Alerta.
Analise a seção Próximas etapas em um dos seguintes widgets:
- Se você clicou na guia Caso, o widget Resumo do caso.
- Se você clicou na guia Alert, o widget Resumo da descoberta.
Se necessário, role a tela para baixo e passe pela Descrição da descoberta para ver as Próximas etapas.
No console de operações de segurança, acesse Postura > Resultados.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Substitua
CUSTOMER_SUBDOMAIN
pelo seu identificador específico do cliente.Encontre a descoberta de combinação tóxica selecionando Filtros rápidos ou editando a consulta de descoberta.
Clique no nome da categoria para abrir os detalhes da descoberta. A página de detalhes da descoberta é aberta.
Na página de detalhes da descoberta, na seção Próximas etapas da guia Resumo, revise as orientações de correção.
No console de operações de segurança, acesse Casos.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Substitua
CUSTOMER_SUBDOMAIN
pelo seu identificador específico do cliente.Localize e abra o caso de combinação tóxica.
Selecione a guia "Visão geral do caso" ():
Na seção Findings da guia "Visão geral do caso", revise as descobertas listadas.
Clique em uma descoberta para mostrar informações resumidas sobre ela, incluindo o ID do caso, a pontuação de exposição a ataques e o ID do tíquete.
- Clique no código do caso da descoberta para abrir o caso e conferir o status, o proprietário atribuído e outras informações.
- Clique na pontuação de exposição a ataques para analisar o caminho de ataque da descoberta.
- Clique no ID do tíquete para abrir o tíquete do problema.
No console de operações de segurança, acesse Casos.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Substitua
CUSTOMER_SUBDOMAIN
pelo seu identificador específico do cliente.Localize e abra o caso de combinação tóxica.
Clique na guia de alerta relacionada.
No widget Resumo da descoberta, clique em Analisar descobertas na SCC. A combinação tóxica é aberta.
Use as Opções de silenciar na página de detalhes da descoberta para desativar o som.
No console de operações de segurança, acesse a página Pesquisa SOAR.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search
Substitua
CUSTOMER_SUBDOMAIN
pelo seu identificador específico do cliente.Abra a seção Status e selecione Fechado.
Abra a seção Tags e selecione Combinação tóxica.
Clique em Aplicar. Todos os casos de combinação tóxica fechados são mostrados nos resultados da pesquisa.
No console do Google Cloud, acesse a página Descobertas do Security Command Center.
Se necessário, selecione sua organização do Google Cloud.
Na seção Classe de descoberta do painel Filtros rápidos, selecione Combinação tóxica. O painel Resultados da consulta de descobertas é atualizado para mostrar apenas as descobertas de combinação tóxica.
Para priorizar as descobertas de combinação tóxica, classifique as descobertas em ordem decrescente por pontuação clicando no cabeçalho da coluna Pontuação de combinação tóxica.
Para mais informações sobre papéis e permissões do Security Command Center, consulte IAM para ativações no nível da organização.
Papéis do console de operações de segurança
Para trabalhar com casos e descobertas de combinações tóxicas no console de operações de segurança, você precisa de um dos seguintes papéis:
Para saber como conceder a função a um usuário, consulte Mapear e autorizar usuários usando o IAM.
Instalar o caso de uso mais recente de operações de segurança
O recurso de combinação tóxica exige a versão de 25 de junho de 2024 ou mais recente do caso de uso SCC Enterprise: orquestração e correção na nuvem.
Para informações sobre como instalar o caso de uso, consulte Atualizar o caso de uso do Enterprise, junho de 2024.
Especificar o conjunto de recursos de alto valor
Não é necessário ativar a detecção de combinações tóxicas. Ela está sempre ativada. O mecanismo de risco detecta automaticamente combinações tóxicas que expõem um conjunto de recursos de alto valor padrão.
As descobertas de combinação tóxica geradas com base no conjunto de recursos de alto valor padrão provavelmente não refletem com precisão suas prioridades de segurança. Portanto, recomendamos que você especifique os recursos no seu conjunto de recursos de alto valor.
Para especificar quais recursos fazem parte do conjunto de recursos de alto valor, crie configurações de valor de recursos no console do Google Cloud. Para instruções, consulte Definir e gerenciar seu conjunto de recursos de alto valor.
Conferir casos de combinação tóxica
Você pode conferir uma visão geral de todos os casos de combinação tóxica e os detalhes de cada um deles no console de operações de segurança.
Conferir uma visão geral de todos os casos de combinação tóxica
Na página Visão geral da postura, vários widgets oferecem uma visão geral rápida dos casos de combinação tóxica nos ambientes de nuvem do Google Cloud e da Amazon Web Services (AWS) (pré-lançamento). Você pode encontrar as seguintes informações:
A página Visão geral da postura está disponível neste URL:
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview
Substitua CUSTOMER_SUBDOMAIN
pelo seu identificador específico do cliente.
Conferir os detalhes de um caso de combinação tóxica
Em qualquer visualização em lista de casos de combinação tóxica, é possível abrir os detalhes do caso clicando no ID dele.
Priorizar casos de combinação tóxica
Por padrão, as combinações tóxicas são classificadas como descobertas de gravidade crítica e casos de prioridade crítica. Portanto, eles devem ser priorizados em relação à correção de casos para outras categorias de descobertas de postura. Combinações tóxicas representam um caminho completo que, se um invasor determinado tiver acesso ao seu ambiente de nuvem, poderá seguir razoavelmente da Internet pública para um ou mais recursos no conjunto de recursos de alto valor.
Compare as pontuações de combinação tóxica na página Findings do console do Google Cloud para ajudar a priorizar os casos de combinação tóxica. No console de operações de segurança, é possível conferir os casos de combinação tóxica que têm as maiores pontuações de exposição a ataques no widget Principais casos de combinação tóxica na página Visão geral em Postura.
É possível classificar todos os casos de combinação tóxica pela pontuação de exposição a ataques na página Casos. Para mais informações sobre como visualizar, filtrar e classificar casos de combinação tóxica, consulte Visualizar casos de combinação tóxica.
Corrigir uma combinação tóxica
Encontre orientações para corrigir uma descoberta de combinação tóxica no caso aberto para a descoberta no console de operações de segurança ou no próprio registro da descoberta.
Conferir orientações de correção em um caso
Para conferir as orientações de correção em um caso de combinação tóxica, siga estas etapas:
Conferir orientações de correção em uma descoberta de combinação tóxica
Para conferir as orientações de correção em um registro de descoberta, siga estas etapas:
Analisar as descobertas em um caso de combinação tóxica
Normalmente, uma combinação tóxica inclui uma ou mais descobertas de uma vulnerabilidade de software ou uma configuração incorreta. Para cada uma dessas descobertas, o Security Command Center abre automaticamente um caso separado e executa os playbooks associados. Você pode analisar os casos para essas descobertas e pedir aos proprietários de tíquetes que priorizem a correção para resolver a combinação tóxica.
Para analisar as descobertas em uma combinação tóxica, siga estas etapas:
Fechar um caso de combinação tóxica
É possível fechar um caso de combinação tóxica remediando a combinação tóxica ou desativando a descoberta de combinação tóxica no console do Google Cloud.
Fechar um caso remediando uma combinação tóxica
Depois de corrigir um ou mais dos problemas de segurança que compõem uma combinação tóxica, para que ela não exponha mais nenhum recurso no conjunto de recursos de alto valor, o Risk Engine fecha o caso de combinação tóxica automaticamente durante a próxima simulação de caminho de ataque, que é executada a cada seis horas, aproximadamente.
Para corrigir uma combinação tóxica, siga as orientações fornecidas no caso de combinação tóxica em Próximas etapas.
Para mais informações, consulte Como corrigir uma combinação tóxica.
Fechar um caso silenciando a descoberta
Se o risco apresentado pela combinação tóxica for aceitável para sua empresa ou se você não conseguir corrigir a combinação tóxica, feche o caso desativando a descoberta de combinação tóxica.
Para desativar uma descoberta de combinação tóxica, siga estas etapas:
Também é possível silenciar descobertas no console do Google Cloud. Para mais informações, consulte Silenciar uma descoberta individual.
Como visualizar casos de combinação tóxica fechados
Quando um caso no console de operações de segurança é encerrado, o Security Command Center o remove da página Casos.
Para conferir um caso de combinação tóxica encerrado, siga estas etapas:
Conferir as descobertas de combinação tóxica
Uma descoberta de combinação tóxica é o registro inicial que o Risk Engine emite quando detecta uma combinação tóxica no seu ambiente de nuvem. O Security Command Center abre automaticamente um caso para cada combinação tóxica encontrada pelo Risk Engine.
É possível conferir as descobertas de combinação tóxica diretamente no console do Google Cloud, na página Visão geral de risco ou em Descobertas.
Na página Visão geral de riscos, as descobertas de combinação tóxica com as pontuações de exposição a ataques mais altas são exibidas. Cada descoberta é listada com um link para o caso correspondente no console de operações de segurança.
Para conferir as descobertas de combinação tóxica, siga estas etapas: