Maneja combinaciones tóxicas

En esta página, se proporcionan instrucciones para identificar el contenido tóxico y responder ante situaciones de este tipo de entrenamientos usando casos y resultados.

Antes de comenzar

Para garantizar que la detección de combinaciones tóxicas sea precisa, asegúrate que el software del componente de operaciones de seguridad esté actualizado, recursos están designados con precisión y que cuentas con los permisos de IAM.

Obtén los permisos necesarios

Trabajar con hallazgos y casos de combinaciones tóxicas en los Para la consola de Google Cloud y la consola de operaciones de seguridad, necesitas los permisos otorgadas en ambas consolas.

Roles de IAM de la consola de Google Cloud

Asegúrate de tener los siguientes roles en la organización:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Verifica los roles

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM
  2. Selecciona la organización.

  3. En la columna Principal, busca la fila que tiene tu dirección de correo electrónico.

    Si tu dirección de correo electrónico no está en esa columna, no tienes ningún rol.

  4. En la columna Función de la fila con la dirección de correo electrónico, verifica si la lista de roles incluye los roles necesarios.

Otorga los roles

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.
  4. En el campo Principales nuevas, ingresa tu dirección de correo electrónico.
  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.

Para obtener más información sobre los roles y permisos de Security Command Center, consulta IAM para las activaciones a nivel de la organización.

Roles de la consola de operaciones de seguridad

Trabajar con hallazgos y casos de combinaciones tóxicas en el Consola de operaciones de seguridad, necesitas cualquiera de los siguientes roles:

  • Administrador de vulnerabilidades de Chronicle SOAR
  • Administrador de amenazas de Chronicle SOAR
  • Administrador de Chronicle SOAR

Para obtener información sobre cómo otorgar el rol a un usuario, consulta Asigna y autoriza usuarios con la IAM.

Instala el caso de uso de operaciones de seguridad más reciente

La función de combinación tóxica requiere el lanzamiento del 25 de junio de 2024 o una versión posterior del caso de uso de SCC Enterprise: organización y remediación en la nube.

Para obtener información sobre cómo instalar el caso de uso, consulta Actualización del caso de uso de Enterprise, junio de 2024.

Especifica cuáles de tus recursos son de alto valor

No es necesario que habilites la detección de combinaciones tóxicas; siempre es pero debes especificar cuáles de tus recursos en la nube están de alto valor.

Hasta que no especifiques cuáles de tus recursos son de alto valor, Risk Engine detecta combinaciones tóxicas que exponen una un conjunto de recursos de alto valor predeterminado.

Resultados de combinaciones tóxicas generados según el valor predeterminado es poco probable que el conjunto de recursos de alto valor las prioridades de seguridad de tu organización.

Para especificar cuáles de tus recursos son recursos de alto valor, crea parámetros de configuración de valores de recursos en la consola de Google Cloud. Para obtener instrucciones, consulta Define y administra tu conjunto de recursos de alto valor.

Ver casos de combinaciones tóxicas

Puedes ver un resumen de todos los casos de combinación tóxicos y la detalles de cada caso en la consola de operaciones de seguridad.

Ver un resumen de todos los casos de combinaciones tóxicas

En la página Descripción general de la postura, varios widgets te ofrecen una vista rápida de los casos de combinación tóxica en tu entorno de nube. Puedes encontrar la siguiente información:

  • Casos de combinaciones tóxicas abiertas: Cantidad de combinaciones tóxicas abiertas casos en cada nivel de prioridad. Haz clic en la barra de una prioridad determinada para abrirla una vista de lista de los casos.
  • Principales casos de combinación tóxica: Se ordenaron los casos de combinación tóxicos más importantes. según la puntuación de exposición a ataques. Haz clic en el ID del caso para abrirlo.
  • Casos de combinaciones tóxicas que exceden el ANS: Los casos de combinación tóxicos se ordenan según el tiempo restante del Acuerdo de Nivel de Servicio (ANS). Haz clic en el ID del caso para abrirlo.

Puedes encontrar la página Descripción general de la postura en la siguiente URL:

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

Consulta los detalles de un caso tóxico combinado

En cualquier vista de lista de casos de combinación tóxica, puedes abrir los detalles del caso haciendo clic en el ID del caso.

  1. En la consola de Operaciones de seguridad, ve a Casos.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

    Se abrirá la página Casos con la vista Side-by-Side seleccionada.

  2. En la parte superior de la lista de casos, haz clic en el ícono de filtro . para abrir el panel de filtros. Se abrirá el panel Filtro de cola de casos.

  3. En el filtro de cola de casos, especifica lo siguiente:

    1. En el campo Período, especifica el período en el que corresponde el caso está activo.
    2. Configura el Operador lógico como AND.
    3. Para el primer valor en Operador lógico, selecciona Etiquetas de el menú.
    4. Para el segundo valor, selecciona Combinaciones tóxicas.
    5. Especifica otros pares de valores según sea necesario para encontrar el caso particular en el que necesitan ver.
    6. Haz clic en Aplicar. Los casos de la cola de casos se actualizan para mostrar solo los casos que coinciden con el filtro que especificaste.

  4. En la cola de casos, selecciona el que necesites ver. La información del caso como las siguientes vistas con pestañas:

    • La pestaña Descripción general del caso () brinda información sobre el contenido tóxico. caso combinado, incluido un diagrama simplificado de la ruta de ataque, una lista de resultados relacionados, una lista de casos similares, alertas, un gráfico de entidades, y más.
    • La pestaña Muro de casos () contiene un registro de acciones, cambios de estado, tareas comentarios y más.
    • La pestaña Alertas de hallazgo proporciona información más detallada. sobre la combinación tóxica, incluidos los siguientes:
      • En Descripción general, encontrarás una descripción de la combinación tóxica y los pasos que puedes seguir para remediar la combinación tóxica.
      • En Eventos, una lista de las propiedades de los resultados.
      • En Guías, aparece una lista de guías asociadas.

Priorizar los casos de combinación tóxicos

Para priorizar una combinación tóxica en un caso relativo a otros casos de postura, comparar sus puntuaciones de exposición a ataques.

Generalmente, se debe priorizar la corrección de un caso de combinación tóxico por sobre el de casos para otras categorías de hallazgo de postura, a menos que el ataque la puntuación de exposición del caso para otra categoría de hallazgo es significativamente superior a la calificación del caso de combinación tóxica.

Los casos de combinaciones tóxicas deben priorizarse más porque el contenido combinaciones representan una ruta completa que, si un atacante determinado de obtener acceso a tu entorno de nube, el atacante podría razonablemente seguir desde la Internet pública a uno o más de tus recursos de alto valor.

En la consola de Operaciones de seguridad, puedes ver casos combinados que tienen las puntuaciones más altas de exposición a ataques en el El widget Principales casos de combinación tóxica en la página Descripción general de la Postura.

Puede ordenar todos los casos de combinación tóxica por exposición a ataques en la página de casos. Para obtener más información sobre la visualización, filtrado y clasificación de casos de combinaciones tóxicas, consulta Consulta casos de combinaciones tóxicas.

Corregir una combinación tóxica

Puedes encontrar orientación para remediar un hallazgo de combinación tóxica en el caso que se abre para el hallazgo en la consola de operaciones de seguridad, o en el propio registro de hallazgos.

Ver la orientación para la solución de un caso específico

Para ver la guía de remediación en un caso de combinación tóxica, sigue estos pasos:

  1. Ve a la página de Casos en la consola de Operaciones de seguridad.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. Abre el caso de la combinación tóxica que debes corregir.

  3. Haz clic en la pestaña Case o Alert.

  4. Revisa la sección Próximos pasos en uno de los siguientes widgets:

    • Si hiciste clic en la pestaña Caso, el widget Resumen del caso.
    • Si hiciste clic en la pestaña Alerta, el widget de Resumen de resultados.

    Si es necesario, desplázate más allá de la Descripción del hallazgo para ver las Próximos pasos.

Ver la guía de remediación de un hallazgo de combinación tóxica

Para ver la guía de corrección en un registro de hallazgos, sigue estos pasos:

  1. En la consola de Operaciones de seguridad, ve a Postura > Hallazgos.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. Encuentra el hallazgo de la combinación tóxica seleccionando Filtros rápidos o editar la búsqueda.

  3. Haz clic en el nombre de la categoría del hallazgo para abrir los detalles. El hallazgo se abre la página de detalles.

  4. En la página de detalles de los hallazgos, en la sección Próximos pasos de la En la pestaña Resumen, revisa la guía de soluciones.

Revisar los hallazgos en un caso de combinación tóxico

Por lo general, una combinación tóxica incluye uno o más hallazgos de un software una vulnerabilidad o una configuración incorrecta. Para cada uno de estos hallazgos, Security Command Center abre automáticamente un caso independiente y ejecuta guías asociadas. Puedes revisar los casos de estos hallazgos, y pedirles a los propietarios del ticket que prioricen la solución. la combinación tóxica.

Para revisar los hallazgos en una combinación tóxica, sigue estos pasos:

  1. En la consola de Operaciones de seguridad, ve a Casos.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. Localiza y abre el caso de combinación tóxico.

  3. Selecciona la pestaña de descripción general del caso ().

  4. En la sección Hallazgos de la pestaña de descripción general del caso, revisa los vínculos de los resultados de búsqueda.

  5. Haz clic en un hallazgo para mostrar información resumida sobre el hallazgo. incluyen el ID del caso, la puntuación de exposición al ataque y cualquier ID de ticket para el hallazgo.

    • Haz clic en el ID del caso del hallazgo para abrirlo y ver su estado. al propietario asignado y otra información del caso.
    • Haz clic en la puntuación de exposición a ataques para revisar la ruta de ataque del hallazgo.
    • Haz clic en el ID del ticket para abrirlo del hallazgo.

Cerrar un caso de combinación tóxica

Para cerrar un caso con una combinación tóxica, puedes corregir el problema combinación tóxica subyacente o silenciando el hallazgo de combinación tóxica en la consola de Google Cloud.

Corrige una combinación tóxica para cerrar un caso

Luego de remediar uno o más de los problemas de seguridad una combinación tóxica, de modo que ya no exponga recursos de alto valor, Risk Engine cierra automáticamente el caso de combinación tóxica durante la siguiente simulación de ruta de ataque, que se ejecuta cada seis horas, aproximadamente.

Para remediar una combinación tóxica, sigue las instrucciones que se proporciona en el caso de combinación tóxica en Próximos pasos.

Para obtener más información, consulta Cómo corregir una combinación tóxica.

Cierra un caso silenciando el hallazgo

Si el riesgo que representa la combinación tóxica es aceptable para su negocio o no puedes remediar la combinación tóxica, puede cerrar el caso silenciando el hallazgo de combinación tóxica.

Para silenciar un resultado de combinación tóxica, sigue estos pasos:

  1. En la consola de Operaciones de seguridad, ve a Casos.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. Localiza y abre el caso de combinación tóxico.

  3. Selecciona la pestaña de alerta de hallazgos.

  4. En la esquina inferior derecha del widget Resumen del resultado, haz clic en Explorar. Se abre el hallazgo de la combinación tóxica.

  5. Usa las Opciones para silenciar en la esquina superior derecha del hallazgo. en la página de detalles para silenciar el hallazgo.

También puedes silenciar los resultados en la consola de Google Cloud. Para ver más consulta Silenciar un resultado individual.

Visualización de casos cerrados de combinación tóxica

Cuando se cierra un caso en la consola de Operaciones de seguridad, Security Command Center lo quita de la página de casos.

Para ver un caso cerrado de combinación tóxica, sigue estos pasos:

  1. En la consola de Operaciones de seguridad, ve a la página SOAR Search.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. Del lado izquierdo de la página, en Estado, especifica Cerrado.

  3. En Etiquetas, especifica Combinación tóxica.

  4. Haz clic en Aplicar. Cualquier caso cerrado de combinación tóxica se muestra en los resultados de la búsqueda.

Ver resultados de combinaciones tóxicas

Un hallazgo de combinación tóxica es el registro inicial que Problemas con el motor de riesgos cuando detecta una combinación tóxica en tu entorno de nube. Security Command Center abre un caso automáticamente para cada hallazgo de combinación tóxica que el motor de riesgos falla.

Puedes ver los hallazgos de combinaciones tóxicas directamente en la la consola de Google Cloud en la página Descripción general de riesgos o en Hallazgos.

En la página Descripción general de riesgos, los hallazgos de la combinación tóxica que tienen se muestran las puntuaciones más altas de exposición a ataques. Cada hallazgo se incluye con un enlace a su caso correspondiente en la Consola de operaciones de seguridad.

Para ver los resultados de combinaciones tóxicas, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Resultados de Security Command Center.

    Ir a hallazgos

  2. Si es necesario, selecciona tu organización de Google Cloud. Selector de proyectos

  3. En la sección Clase de resultado del panel Filtros rápidos, realiza lo siguiente: Selecciona Combinación tóxica. El panel Resultados de la búsqueda actualizaciones para mostrar solo resultados de combinaciones tóxicas.

  4. Para priorizar los hallazgos de combinaciones tóxicas, ordénalos de en orden descendente por puntaje. Para ello, haz clic en el ícono de puntuación de combinación tóxica. encabezado de columna.