Gérer les combinaisons toxiques

Cette page fournit des instructions pour identifier et contrer les toxiques combinaisons à l'aide de cas et de résultats.

Avant de commencer

Pour garantir la précision de la détection des combinaisons toxiques, que le logiciel du composant Opérations de sécurité est à jour, que vous disposez vos ressources sont désignées avec précision et que vous disposez Autorisations IAM.

Obtenir les autorisations requises

Travailler avec des résultats de combinaisons toxiques et des cas dans les deux Console Google Cloud et Security Operations dont vous avez besoin qui vous est accordé dans les deux consoles.

Rôles IAM de la console Google Cloud

Assurez-vous que vous disposez du ou des rôles suivants au niveau de l'organisation :

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Vérifier les rôles

  1. Dans la console Google Cloud, accédez à la page IAM.

    Accéder à IAM
  2. Sélectionnez l'organisation.

  3. Dans la colonne Compte principal, recherchez la ligne qui contient votre adresse e-mail.

    Si votre adresse e-mail ne figure pas dans cette colonne, cela signifie que vous n'avez aucun rôle.

  4. Dans la colonne Rôle de la ligne contenant votre adresse e-mail, vérifiez si la liste des rôles inclut les rôles requis.

Attribuer les rôles

  1. Dans la console Google Cloud, accédez à la page IAM.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.
  4. Dans le champ Nouveaux comptes principaux, saisissez votre adresse e-mail.
  5. Dans la liste Sélectinoner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

Pour en savoir plus sur les rôles et les autorisations de Security Command Center, consultez la page IAM pour les activations au niveau de l'organisation.

Rôles de la console Opérations de sécurité

Travailler avec les résultats de combinaisons toxiques et les cas dans le Console Opérations de sécurité, vous devez disposer de l'un des rôles suivants:

  • Gestionnaire de failles Chronicle SOAR
  • Gestionnaire de menaces SOAR Chronicle
  • Administrateur SOAR Chronicle

Pour en savoir plus sur l'attribution du rôle à un utilisateur, consultez Mappez et autorisez les utilisateurs à l'aide d'IAM.

Installer le cas d'utilisation des opérations de sécurité le plus récent

La fonctionnalité de combinaison toxique nécessite la version du 25 juin 2024 ou ultérieure du cas d'utilisation SCC Enterprise : orchestration et remédiation dans le cloud.

Pour en savoir plus sur l'installation du cas d'utilisation, consultez Mise à jour du cas d'utilisation Enterprise, juin 2024

Spécifiez quelles ressources sont à forte valeur

Vous n'avez pas besoin d'activer la détection de combinaisons toxiques : c'est toujours mais vous devez spécifier les ressources cloud des ressources à forte valeur.

Tant que vous n'aurez pas spécifié les ressources de forte valeur, Le moteur de risque détecte les combinaisons toxiques qui exposent de ressources à forte valeur par défaut.

Résultats de combinaisons toxiques générés en fonction de la valeur par défaut de ressources à forte valeur sont peu susceptibles de refléter précisément vos priorités en termes de sécurité.

Pour spécifier les ressources de grande valeur, vous devez créer configurations de valeurs de ressources dans la console Google Cloud. Pour savoir comment procéder, consultez Définissez et gérez votre ensemble de ressources à forte valeur.

Afficher les cas de combinaison toxique

Vous pouvez voir un aperçu de tous les cas de combinaison toxique les détails de chaque demande dans la console Opérations de sécurité.

Afficher un aperçu de tous les cas de combinaison toxique

Sur la page Vue d'ensemble de la stratégie, plusieurs widgets vous fournissent un des combinaisons toxiques dans votre environnement cloud. Vous pouvez recherchez les informations suivantes:

  • Cas de combinaison toxique ouverts: nombre de combinaisons toxiques ouvertes les cas à chaque niveau de priorité. Cliquez sur la barre d'une priorité donnée pour l'ouvrir une vue sous forme de liste des demandes.
  • Principaux cas de combinaison toxique: les principaux cas de combinaison toxique triés par score d'exposition au piratage. Cliquez sur le numéro de demande pour ouvrir une demande.
  • Cas de combinaison toxique dépassant le SLA: cas de combinaison toxique triées en fonction du temps restant dans leur contrat de niveau de service. Cliquez sur le numéro de demande pour ouvrir une demande.

Vous pouvez accéder à la page Posture Overview (Présentation de la stratégie) à l'adresse suivante:

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

Afficher les détails d'un cas de combinaison toxique

Vous pouvez ouvrir les détails du cas dans n'importe quelle liste de cas de combinaison toxique. en cliquant sur l'ID de la demande.

  1. Dans la console Opérations de sécurité, accédez à Demandes.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

    La page Cases (Demandes) s'ouvre, avec la vue Side-by-Side (Côte à côte) sélectionnée.

  2. En haut de la liste des demandes, cliquez sur l'icône de filtre . pour ouvrir le panneau des filtres. Le panneau Filtre de la file d'attente des cas s'ouvre.

  3. Dans le filtre de file d'attente des demandes, spécifiez les éléments suivants:

    1. Dans le champ Période, spécifiez la période au cours de laquelle est actif.
    2. Définissez l'opérateur logique sur AND.
    3. Pour la première valeur sous Opérateur logique, sélectionnez Tags dans le menu.
    4. Pour la deuxième valeur, sélectionnez Combinaisons toxiques.
    5. Spécifiez d'autres paires de valeurs selon vos besoins afin d'identifier le cas particulier que vous souhaitez avez besoin de voir.
    6. Cliquez sur Appliquer. Les cas de la file d'attente sont mis à jour pour n'afficher que les cas correspondant au filtre que vous avez spécifié.

  4. Dans la file d'attente des demandes, sélectionnez celle que vous souhaitez consulter. Les informations de la demande s'affiche, y compris dans les vues à onglets suivantes:

    • L'onglet Case Overview (Vue d'ensemble de la demande) () fournit des informations sur le problème ce qui inclut un diagramme simplifié des chemins d'attaque, une liste de résultats associés, une liste de cas similaires, des alertes, un graphique des entités et plus encore.
    • L'onglet Mur de cas () contient un récapitulatif des actions, des changements d'état, des tâches, commentaires, etc.
    • L'onglet Alerte de résultat fournit des informations plus détaillées. sur la combinaison toxique, y compris les éléments suivants: <ph type="x-smartling-placeholder">
        </ph>
      • Sous Aperçu, une description de la combinaison toxique et les prochaines étapes que vous pouvez prendre pour éliminer cette combinaison toxique.
      • Sous Événements, une liste des propriétés de résultat s'affiche.
      • Sous Playbooks, une liste des playbooks associés s'affiche.

Prioriser les cas de combinaison toxique

Pour privilégier un cas de combinaison toxique par rapport d’autres cas de posture, comparez leurs scores d’exposition aux attaques.

En règle générale, privilégiez la remédiation d'un cas de combinaison toxique plutôt que ou la remédiation des cas pour d’autres catégories de recherche, à moins que l’attaque le score d'exposition pour une autre catégorie de résultats supérieur au score du cas de combinaison toxique.

Les cas de combinaison toxique doivent être prioritaires, car les cas toxiques représentent un chemin complet que, si un attaquant déterminé d'accéder à votre environnement cloud, l'attaquant pourrait raisonnablement de l'Internet public à une ou plusieurs de vos ressources de forte valeur.

Dans la console Opérations de sécurité, vous pouvez voir de cas présentant les scores d'exposition aux attaques les plus élevés Widget Principaux cas de combinaison toxique sur la page Vue d'ensemble sous Posture :

Vous pouvez trier tous les cas de combinaison toxique par exposition au piratage sur la page Demandes. Pour en savoir plus sur l'affichage, le filtrage et le tri des cas de combinaison toxique, consultez Afficher les cas de combinaison toxique

Corriger une combinaison toxique

Pour savoir comment remédier à une combinaison toxique, consultez la ouvert pour le résultat dans la console Opérations de sécurité, ou dans l'enregistrement des résultats lui-même.

Afficher les conseils de résolution dans une demande

Pour consulter les conseils de résolution dans un cas de combinaison toxique, suivez procédez comme suit:

  1. Accédez à la page Demandes dans la console Opérations de sécurité.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

  2. Ouvrez le boîtier de la combinaison toxique que vous devez corriger.

  3. Cliquez sur l'onglet Demande ou Alerte.

  4. Consultez la section Étapes suivantes dans l'un des widgets suivants:

    • Si vous avez cliqué sur l'onglet Case (Demande), le widget Case summary (Résumé de la demande d'assistance).
    • Si vous avez cliqué sur l'onglet Alert (Alerte), le widget Finding summary (Récapitulatif des résultats) s'affiche.

    Si nécessaire, faites défiler la page jusqu'à la description du résultat pour voir Étapes suivantes

Afficher les conseils de remédiation dans un résultat de combinaison toxique

Pour afficher les conseils de résolution dans un enregistrement de résultats, procédez comme suit:

  1. Dans la console Security Operations, accédez à Posture > Résultats.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

  2. Trouvez la combinaison toxique en sélectionnant Filtres rapides. ou en modifiant la requête de résultat.

  3. Cliquez sur le nom de la catégorie de résultats pour ouvrir les détails du résultat. Le résultat s'ouvre.

  4. Dans la section Étapes suivantes de la page de détails du résultat, Résumé, consultez les consignes de résolution.

Examiner les résultats d'un cas de combinaison toxique

Habituellement, une combinaison toxique inclut une ou plusieurs occurrences d’un logiciel une faille ou une mauvaise configuration. Pour chacune de ces conclusions, Security Command Center ouvre automatiquement un dossier distinct et exécute la playbooks associés. Vous pouvez examiner les cas pour ces conclusions, et demander aux propriétaires des tickets de hiérarchiser leur remédiation pour résoudre la combinaison toxique.

Pour examiner les résultats d'une combinaison toxique, procédez comme suit:

  1. Dans la console Opérations de sécurité, accédez à Demandes.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

  2. Localisez et ouvrez le cas de la combinaison toxique.

  3. Sélectionnez l'onglet de présentation de la demande ().

  4. Dans la section Résultats de l'onglet "Présentation de la demande", examinez les les résultats.

  5. Cliquez sur un résultat pour afficher des informations récapitulatives sur le résultat, le numéro de demande, le score d'exposition au piratage et tout ID de ticket pour le résultat.

    • Cliquez sur le numéro de demande du résultat pour l'ouvrir et afficher son état. le propriétaire désigné et d'autres informations sur la demande.
    • Cliquez sur le score d'exposition au piratage pour examiner le chemin d'attaque du résultat.
    • Cliquez sur l'ID de la demande d'assistance pour l'ouvrir.

Clôturer un cas de combinaison toxique

Vous pouvez clôturer un dossier pour une combinaison toxique en corrigeant combinaison toxique sous-jacente ou en désactivant la recherche de combinaison toxique dans la console Google Cloud.

Clôturer un dossier en corrigeant une combinaison toxique

Une fois que vous avez résolu un ou plusieurs problèmes de sécurité afin qu'elle n'expose plus aucune ressource de grande valeur, Le moteur de risque ferme automatiquement le cas de combinaison toxique lors de la prochaine simulation du chemin d'attaque, qui s'exécute toutes les six heures, approximativement.

Pour éliminer une combinaison toxique, suivez les conseils dans le cas de combinaison toxique de la section Étapes suivantes.

Pour en savoir plus, consultez Comment corriger une combinaison toxique.

Fermez une demande en désactivant le résultat

Si le risque posé par la combinaison toxique est acceptable pour votre ou s'il est impossible d'éliminer la combinaison toxique, peut fermer le cas en masquant la recherche de combinaison toxique.

Pour masquer une combinaison toxique, procédez comme suit:

  1. Dans la console Opérations de sécurité, accédez à Demandes.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

  2. Localisez et ouvrez le cas de la combinaison toxique.

  3. Sélectionnez l'onglet d'alerte de résultat.

  4. Dans l'angle inférieur droit du widget Récapitulatif des résultats, cliquez sur Explorer : Le résultat de la combinaison toxique s'ouvre.

  5. Utilisez les options Ignorer en haut à droite du résultat. pour ignorer le résultat.

Vous pouvez également ignorer les résultats dans la console Google Cloud. Pour plus d'informations, consultez Ignorer un résultat individuel.

Afficher les cas fermés de combinaison toxique

Lorsqu'une demande est clôturée dans la console Security Operations, Security Command Center la supprime de la page Demandes.

Pour afficher un cas fermé de combinaison toxique, procédez comme suit:

  1. Dans la console Opérations de sécurité, accédez à la page Recherche SOAR.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

  2. Dans la partie gauche de la page, sous État, sélectionnez Fermé.

  3. Sous Tags, spécifiez Combinaison toxique.

  4. Cliquez sur Appliquer. Tous les cas de combinaison toxique fermés sont affichés dans les résultats de recherche.

Afficher les résultats de combinaisons toxiques

Le résultat d'une combinaison toxique est l'enregistrement initial Le moteur de risque rencontre des problèmes lorsqu'il détecte une combinaison toxique. dans votre environnement cloud. Security Command Center ouvre automatiquement une demande pour chaque combinaison toxique, constatant que le Moteur de risque présente des problèmes.

Vous pouvez afficher les résultats de combinaisons toxiques directement dans la la console Google Cloud sur la page Vue d'ensemble des risques ou Résultats

Sur la page Aperçu des risques, les résultats de combinaisons toxiques qui ont les scores d'exposition aux attaques les plus élevés. Chaque ce résultat est répertorié avec un lien vers le dossier correspondant dans la Console Opérations de sécurité.

Pour afficher les résultats de combinaisons toxiques, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

    Accéder

  2. Si nécessaire, sélectionnez votre organisation Google Cloud. Sélecteur de projet

  3. Dans la section Trouver un cours du panneau Filtres rapides, procédez comme suit : sélectionnez Combinaison toxique. Panneau Résultats de la requête de résultat pour n'afficher que les résultats de combinaisons toxiques.

  4. Pour hiérarchiser les résultats de combinaisons toxiques, triez les résultats dans par score, par ordre décroissant, en cliquant sur Score de combinaison toxique. l'en-tête de colonne.