Gestionar combinaciones tóxicas y puntos de bloqueo

En esta página se proporcionan instrucciones para identificar y responder a combinaciones tóxicas y cuellos de botella mediante las siguientes páginas:

  • Problemas disponibles en el nivel de servicio Enterprise.
  • Casos, disponibles en el nivel de servicio Enterprise.
  • Resultados, disponibles en los niveles de servicio Enterprise y Premium.

Antes de empezar

Para asegurarte de que la detección de combinaciones tóxicas y puntos de congestión sea precisa, comprueba que el software del componente de operaciones de seguridad esté actualizado, que el conjunto de recursos de alto valor esté designado correctamente y que tengas los permisos de gestión de identidades y accesos adecuados.

Opcional: Recoger datos de otras nubes

Risk Engine permite ejecutar simulaciones en datos de Amazon Web Services (AWS) (vista previa) y Microsoft Azure (vista previa) para identificar combinaciones tóxicas y cuellos de botella.

Configura la conexión de Security Command Center a estos proveedores de servicios en la nube para recoger datos de recursos y de configuración. Para obtener información sobre cómo configurar las conexiones, consulta lo siguiente:

Para ver la lista de recursos admitidos, consulta Compatibilidad con funciones de Risk Engine.

Obtener los permisos necesarios

Para trabajar con combinaciones tóxicas y cuellos de botella, necesitas permisos que te den acceso a las funciones de Security Command Center y Google SecOps.

Roles de gestión de identidades y accesos de Security Command Center

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Conceder acceso.

  4. En el campo Nuevos principales, introduce tu identificador de usuario. Normalmente, se trata de la dirección de correo de una cuenta de Google.

  5. En la lista Selecciona un rol, elige un rol.
  6. Para conceder más roles, haz clic en Añadir otro rol y añade cada rol adicional.
  7. Haz clic en Guardar.

    8. Para obtener más información sobre los roles y permisos de Security Command Center, consulta el artículo sobre la gestión de identidades y accesos para activaciones a nivel de organización.

    Roles de gestión de identidades y accesos de Google SecOps

    Para trabajar con combinaciones y casos tóxicos, necesitas uno de los siguientes roles:

    • Gestor de vulnerabilidades de Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)
    • Gestor de amenazas de Chronicle SOAR (roles/chronicle.soarThreatManager)
    • Administrador de Chronicle SOAR (roles/chronicle.soarAdmin)

    Para obtener información sobre cómo asignar el rol a un usuario, consulta Asignar y autorizar usuarios mediante IAM.

    Instalar el caso práctico de operaciones de seguridad más reciente

    Para usar la función de combinación tóxica, debes tener la versión del 25 de junio del 2024 o una posterior del caso de uso SCC Enterprise – Cloud Orchestration and Remediation.

    Para obtener información sobre cómo instalar el caso práctico, consulta Actualizar el caso práctico Enterprise, junio del 2024.

    Especificar el conjunto de recursos de alto valor

    No es necesario que habilites la detección de combinaciones tóxicas y cuellos de botella, ya que está activada de forma predeterminada. Risk Engine detecta automáticamente combinaciones tóxicas y puntos de estrangulamiento que exponen un conjunto de recursos de alto valor predeterminado.

    Es poco probable que las detecciones de combinaciones tóxicas y cuellos de botella generadas a partir del conjunto de recursos de alto valor predeterminado reflejen con precisión sus prioridades de seguridad. Para especificar qué recursos forman parte de tu conjunto de recursos de alto valor, crea configuraciones de valor de recursos en la consola de Google Cloud . Para obtener instrucciones, consulta Definir y gestionar tu conjunto de recursos de alto valor.

    Corregir combinaciones tóxicas y cuellos de botella

    Las combinaciones tóxicas y los puntos de estrangulamiento pueden exponer muchos recursos de alto valor a posibles atacantes. Deberías corregirlos antes que otros riesgos de tus entornos de nube.

    Puedes priorizar el orden en el que corriges las combinaciones tóxicas y los cuellos de botella en función de su puntuación de exposición a ataques. La forma de hacerlo cambia en función de dónde veas las combinaciones tóxicas y los cuellos de botella.

    Problemas

    Puedes acceder a las combinaciones tóxicas y los puntos de bloqueo de mayor riesgo (que se muestran como problemas) en la página Riesgo > Información general.

    Todas las combinaciones tóxicas y los puntos de bloqueo se pueden consultar en la página Riesgo > Problemas.

    Para solucionar un problema, sigue estas instrucciones:

    1. Para ver todos los problemas, vaya a Riesgo > Problemas.
    2. De forma predeterminada, los problemas agrupados se clasifican por gravedad. Dentro del grupo, los problemas se clasifican según la puntuación de exposición a ataques. Para ordenar todos los problemas por puntuación de exposición a ataques, inhabilita Agrupar por detecciones.
    3. Selecciona un problema.
    4. Revisa la descripción del problema y las pruebas.
    5. Si hay hallazgos relacionados, consulta sus detalles.
    6. Si se detectan varios problemas críticos en un recurso principal de una combinación tóxica o un cuello de botella, se mostrará un mensaje después del diagrama Pruebas. Para optimizar tus esfuerzos de corrección, haz clic en Filtrar los problemas de este recurso principal en este mensaje para centrarte en resolver los problemas de ese recurso concreto. Haz clic en la flecha hacia atrás situada junto a Abrir panel de filtros Añadir filtro cuando quieras quitar el filtro.
    7. En el diagrama Pruebas, haz clic en Explorar rutas de ataque completas para obtener información detallada sobre el problema y sobre cómo las rutas de ataque exponen los recursos de alto valor.
    8. Haga clic en Cómo solucionarlo y siga las instrucciones para mitigar el riesgo.

    Casos

    Para ver todos los casos de combinaciones tóxicas, ve a la página Casos. Los puntos de bloqueo no generan casos automáticamente y deben consultarse en la página Problemas.

    Para encontrar combinaciones tóxicas en los casos, sigue estas instrucciones:

    1. En la Google Cloud consola, ve a Riesgo > Casos. Se abrirá la página Casos de la consola de operaciones de seguridad.
    2. En la lista de casos, haz clic en Abrir el panel de filtros Filtro de casos para abrir el panel de filtros. Se abre el panel Filtro de la cola de casos.
    3. En Filtro de cola de casos, especifica lo siguiente: 1. En el campo Periodo, especifica el periodo durante el cual está activo el caso. 1. Define el operador lógico como AND. 1. En el cuadro de lista de claves de filtro, seleccione Etiquetas. 1. Define el operador de igualdad como es. 1. En el cuadro de lista de valores del filtro, selecciona Combinación tóxica. 1. Haz clic en Aplicar. Los casos de la cola se actualizan para mostrar solo los que coinciden con el filtro que has especificado.
    4. Haz clic en Ordenar junto a Abrir el panel de filtros Filtro de casos y selecciona Ordenar por exposición a ataques (de mayor a menor).
    5. En la cola de casos, haz clic en el caso que quieras ver. Si estás viendo los casos en la vista de lista, haz clic en el ID del caso. Se muestra la información del caso.
    6. Haz clic en Caso Resumen del caso.
    7. En la sección Resumen del caso, sigue las indicaciones de Pasos siguientes.

    Por lo general, una combinación tóxica incluye uno o varios hallazgos de una vulnerabilidad de software o de un error de configuración. Por cada uno de estos resultados, Security Command Center abre automáticamente un caso independiente y ejecuta los cuadernos de estrategias asociados. Puedes revisar los casos de estos resultados y pedir a los propietarios de las incidencias que prioricen su corrección para ayudar a resolver la combinación tóxica.

    Para revisar las conclusiones relacionadas de una combinación tóxica, sigue estos pasos:

    1. En la pestaña Caso Resumen del caso de un caso, vaya a la sección Resultados.

    2. En la sección Resultados, revise los resultados que se muestran.

      • Haga clic en el ID del caso de la detección para abrirlo y ver su estado, el propietario asignado y otra información del caso.
      • Haga clic en la puntuación de exposición a ataques para revisar la ruta de ataque del hallazgo.
      • Si el resultado tiene un ID de incidencia, haz clic en él para abrir la incidencia.

    También puedes ver los hallazgos relacionados en sus propias pestañas de alertas en el caso.

    Resultados

    Un hallazgo de combinación tóxica o de cuello de botella es el registro inicial que genera Risk Engine cuando detecta una combinación tóxica o un cuello de botella en tu entorno de nube.

    Puedes ver los resultados de las combinaciones tóxicas y los cuellos de botella en la página Resultados y hacer clic en la pestaña de tu nivel de servicio.

    1. Ve a la página Resultados.

      Ir a Resultados

    2. Selecciona tu Google Cloud organización.

    3. En la sección Finding class (Clasificación de resultados) del panel Quick filters (Filtros rápidos), selecciona Toxic combination (Combinación tóxica) o Chokepoint (Cuello de botella). El panel Resultados de la consulta de hallazgos se actualiza para mostrar solo los hallazgos de combinación tóxica o de punto crítico.

    4. Para ordenar los resultados por gravedad, haz clic en el encabezado de la columna Puntuación de exposición a ataques hasta que las puntuaciones estén en orden descendente.

    5. Haz clic en una categoría de resultados para abrir el panel de detalles de los resultados. Ve a la sección Pasos siguientes y sigue las instrucciones para solucionar el problema de seguridad.

    Cerrar casos de combinaciones tóxicas

    Para cerrar un caso de combinación tóxica, puedes corregir la combinación tóxica subyacente o silenciar el hallazgo relacionado en la consolaGoogle Cloud .

    Cerrar un caso corrigiendo una combinación tóxica

    Una vez que hayas corregido los problemas de seguridad que forman una combinación tóxica y ya no expongan ningún recurso de tu conjunto de recursos de alto valor, Risk Engine cerrará el caso automáticamente durante la siguiente simulación de ruta de ataque, que se ejecuta aproximadamente cada seis horas.

    Cerrar un caso silenciando el resultado

    Si el riesgo que supone la combinación tóxica es aceptable para tu empresa o no puedes corregirla, puedes cerrar el caso silenciando el resultado relacionado.

    Para silenciar un resultado de combinación tóxica, sigue estos pasos:

    1. En la Google Cloud consola, ve a Riesgo > Casos.
    2. Busca y abre el caso de combinación tóxica.
    3. Haz clic en la pestaña de la alerta relacionada.
    4. En el widget Resumen de las detecciones, haga clic en Explorar detecciones en SCC. Se abrirá el hallazgo relacionado.
    5. Usa las opciones de silenciar de la página de detalles del resultado para silenciarlo.

    También puedes silenciar resultados en la Google Cloud consola. Para obtener más información, consulta Silenciar un resultado individual.

    Ver casos de combinaciones tóxicas cerrados

    Cuando se cierra un caso, Security Command Center lo quita de la página Casos.

    Para ver un caso de combinación tóxica cerrado, sigue estos pasos:

    1. En la Google Cloud consola, ve a Investigación > Búsqueda de SOAR. Se abre la página de la consola Búsqueda de SOAR de Operaciones de seguridad.
    2. Despliega la sección Estado y, a continuación, selecciona Cerrado.
    3. Despliega la sección Etiquetas y, a continuación, selecciona Combinación tóxica.
    4. Haz clic en Aplicar. Los casos de combinaciones tóxicas cerrados se muestran en los resultados de búsqueda.