Gestisci le combinazioni tossiche

Questa pagina fornisce istruzioni per identificare e rispondere a combinazioni dannose utilizzando casi e risultati.

Prima di iniziare

Per garantire l'accuratezza del rilevamento delle combinazioni dannose, assicurati che il software del componente delle operazioni di sicurezza sia aggiornato, che l'insieme di risorse di alto valore sia designato con precisione e che tu disponga delle autorizzazioni IAM appropriate.

Ottieni le autorizzazioni richieste

Per lavorare con i risultati e i casi di combinazioni tossiche in Console Google Cloud e Security Operations Console devi avere le autorizzazioni necessarie in entrambe le console.

Ruoli IAM della console Google Cloud

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni altro ruolo.
  7. Fai clic su Salva.

Per saperne di più sui ruoli e sulle autorizzazioni di Security Command Center, vedi IAM per attivazioni a livello di organizzazione.

Ruoli della console Security Operations

Per lavorare con i risultati e i casi di combinazioni tossiche nel Security Operations Console, devi avere uno dei seguenti ruoli:

  • Chronicle SOAR Vulnerability Manager
  • Responsabile delle minacce di Chronicle SOAR
  • Amministratore Chronicle SOAR

Per informazioni sulla concessione del ruolo a un utente, consulta Mappa e autorizza gli utenti utilizzando IAM.

Installa il caso d'uso più recente sulle operazioni di sicurezza

La funzionalità di combinazione tossica richiede la release del 25 giugno 2024 o versioni successive del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation.

Per informazioni sull'installazione del caso d'uso, consulta Update Enterprise use case, giugno 2024.

Specifica il set di risorse di alto valore

Non è necessario attivare il rilevamento delle combinazioni tossiche: viene sempre attivato attiva. Risk Engine rileva automaticamente le combinazioni tossiche che espongono e un set di risorse di alto valore predefinito.

È improbabile che i risultati delle combinazioni dannose generati in base all'insieme di risorse di alto valore predefinite riflettano con precisione le tue priorità di sicurezza. Pertanto, e ti consigliamo di specificare le risorse nel set di risorse di alto valore.

Per specificare quali risorse fanno parte dell'insieme di risorse di alto valore, crei configurazioni dei valori delle risorse nella console Google Cloud. Per le istruzioni, consulta Definire e gestire il set di risorse di alto valore.

Visualizza i casi di combinazione tossica

Puoi visualizzare una panoramica di tutte le richieste relative alla combinazione tossica e i dettagli di ciascuna richiesta nella console Security Operations.

Visualizza una panoramica di tutti i casi di combinazione tossica

Nella pagina Panoramica della posizione, diversi widget forniscono una rapida panoramica delle combinazioni tossiche nei tuoi ambienti cloud Google Cloud e Amazon Web Services (AWS) (anteprima). Puoi trovare le seguenti informazioni:

  • Tutte le richieste di postura aperte o Richieste di combinazione tossica aperte: per visualizzare le richieste di combinazione tossica aperte, seleziona Combinazioni tossiche dal selettore. Il widget mostra il numero di richieste di combinazione tossica aperte per ciascun livello di priorità. Fai clic sulla barra di una determinata priorità per aprire una visualizzazione elenco delle richieste.

  • TTR e tendenza delle richieste relative alla combinazione tossica: le tendenze per le richieste relative alla combinazione tossica aperte e chiuse per un intervallo di tempo specifico. Tieni il puntatore sopra le linee di tendenza per vedere il numero specifico di casi aperti e chiusi per un determinato punto dati nell'intervallo di tempo. Questo widget fornisce anche un valore di tempo di correzione (TTR) che indica il tempo medio necessario per risolvere una richiesta con combinazione tossica in base all'intervallo di tempo specificato.

  • Principali casi di combinazione tossica: i principali casi di combinazione tossica ordinati in base al punteggio di esposizione agli attacchi. Fai clic sull'case ID per aprire una richiesta.

  • Casi di combinazione tossica che superano lo SLA: le richieste di combinazione tossica messe in ordine in base al tempo rimanente dell'accordo sul livello del servizio (SLA). Fai clic sull'case ID per aprire una richiesta.

Puoi trovare la pagina Panoramica della postura all'URL seguente:

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

Visualizzare i dettagli di un caso di combinazione tossica

In qualsiasi visualizzazione elenco di casi di combinazione tossica, puoi aprire i dettagli della richiesta facendo clic sull'ID della richiesta.

  1. In Security Operations Console, vai a Richieste.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

    Si apre la pagina Richieste con la visualizzazione Affiancata selezionata.

  2. Nella parte superiore dell'elenco delle richieste, fai clic sull'icona del filtro . per aprire il riquadro dei filtri. Si apre il riquadro Filtro coda di richieste.

  3. In Filtro coda di richieste, specifica quanto segue:

    1. Nel campo Intervallo di tempo, specifica il periodo di tempo in cui è attivo.
    2. Imposta Operatore logico su AND.
    3. Per il primo valore in Operatore logico, seleziona Tag da il menu.
    4. Per il secondo valore, seleziona Combinazioni dannose.
    5. Specifica altre coppie di valori in base alle esigenze per trovare la situazione specifica che devi visualizzare.
    6. Fai clic su Applica. Le richieste nella coda di richieste vengono aggiornate per mostrare le richieste corrispondenti al filtro specificato.

  4. Dalla coda delle richieste, seleziona la richiesta che devi visualizzare. Vengono visualizzate le informazioni sulla richiesta, incluse le seguenti visualizzazioni con schede:

    • Scheda Panoramica della richiesta (): fornisce informazioni sulla richiesta relativa alle combinazioni dannose, tra cui un diagramma semplificato del percorso di attacco, un elenco di risultati correlati, un elenco di risorse interessate, un elenco di richieste simili, avvisi, un grafico delle entità e altro ancora.
    • Scheda Case wall (): contiene un registro di azioni, modifiche allo stato, attività commenti e altro.
    • Schede degli avvisi correlati: forniscono informazioni più dettagliate sul risultati individuali correlati, tra cui:
      • In Panoramica, una descrizione del singolo rilevamento e i passaggi successivi che puoi intraprendere per risolverlo.
      • In Eventi, un elenco di proprietà di ricerca.
      • In Playbook, viene visualizzato un elenco di playbook associati.

Assegnare la priorità alle richieste relative alla combinazione tossica

Per impostazione predefinita, le combinazioni dannose sono classificate come risultati di gravità critici e come richieste con priorità critica. Pertanto, devono avere la priorità casi per altre categorie di rilevamento della postura. Combinazioni dannose rappresentano un percorso completo che, se un determinato aggressore dovesse ottenere l’accesso nel tuo ambiente cloud, l'aggressore potrebbe ragionevolmente seguire a una o più risorse del set di risorse di alto valore.

Confronta i punteggi delle combinazioni tossiche nella pagina Risultati della console Google Cloud per stabilire la priorità tra i casi di combinazioni tossiche. Nella Security Operations Console puoi visualizzare la combinazione tossica i casi con i punteggi più alti di esposizione agli attacchi nella categoria Tossico principale Widget di combinazione dei casi nella pagina Panoramica in Postura.

Puoi ordinare tutti i casi di combinazione tossica in base all'esposizione agli attacchi nella pagina Richieste. Per ulteriori informazioni sulla visualizzazione, filtrare e ordinare i casi di combinazione tossica, consulta Visualizza i casi di combinazione tossica.

Risolvere un problema relativo a una combinazione tossica

Puoi trovare indicazioni per correggere una combinazione tossica rilevata nel caso aperto per il risultato nella Security Operations Console oppure nel record dei risultati stessi.

Visualizzare le indicazioni per la correzione in una richiesta

Per visualizzare le indicazioni sulla correzione in un caso di combinazione tossica, segui questi passaggi:

  1. Vai alla pagina Richieste nella console Security Operations.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

  2. Apri la richiesta relativa alla combinazione tossica che devi correggere.

  3. Fai clic sulla scheda Richiesta di assistenza o Avviso.

  4. Consulta la sezione Passaggi successivi in uno dei seguenti widget:

    • Se hai fatto clic sulla scheda Richieste, visualizzerai il widget Riepilogo richiesta.
    • Se hai fatto clic sulla scheda Avviso, il widget Riepilogo della ricerca.

    Se necessario, scorri oltre la Descrizione dei risultati per visualizzare Passaggi successivi.

Visualizza le indicazioni di correzione in un risultato di combinazione tossica

Per visualizzare le indicazioni per la correzione in un record di risultati:

  1. Nella console Security Operations, vai a Posture > Findings.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

  2. Per trovare il risultato relativo alla combinazione tossica, seleziona Filtri rapidi o modifica la query del risultato.

  3. Fai clic sul nome della categoria del risultato per aprire i dettagli del risultato. Si apre la pagina dei dettagli del risultato.

  4. Nella pagina dei dettagli del rilevamento, nella sezione Passaggi successivi della scheda Riepilogo, esamina le indicazioni per la correzione.

Esamina i risultati in una richiesta relativa alla combinazione tossica

In genere, una combinazione tossica include uno o più risultati relativi a una vulnerabilità del software o a un errore di configurazione. Per ciascuno di questi risultati, Security Command Center apre automaticamente una richiesta separata ed esegue i playbook associati. Puoi esaminare le richieste per questi risultati e chiedere ai proprietari dei ticket di dare la priorità alla correzione per risolvere la combinazione tossica.

Per esaminare i risultati di una combinazione tossica:

  1. Nella console Security Operations, vai a Cases.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

  2. Individua e apri la richiesta di combinazione tossica.

  3. Seleziona la scheda Panoramica della richiesta ().

  4. Nella sezione Risultati della scheda Panoramica della richiesta, esamina i risultati.

  5. Fai clic su un risultato per visualizzarne le informazioni di riepilogo. includere l'case ID, il punteggio di esposizione agli attacchi e qualsiasi ID ticket per il risultato.

    • Fai clic sull'ID richiesta del rilevamento per aprirla e visualizzarne lo stato, il proprietario assegnato e altre informazioni.
    • Fai clic sul punteggio di esposizione agli attacchi per esaminare il percorso di attacco del risultato.
    • Fai clic sull'ID richiesta per aprire la richiesta relativa al rilevamento.

Chiudere una richiesta relativa alla combinazione tossica

Puoi chiudere una richiesta relativa a una combinazione tossica correggendo la combinazione tossica di base o disattivando il rilevamento della combinazione tossica nella console Google Cloud.

Chiudere una richiesta correggendo una combinazione tossica

Dopo aver risolto uno o più dei problemi di sicurezza che costituiscono una combinazione dannosa, in modo che non esponga più risorse nel set di risorse di alto valore, Risk Engine chiude automaticamente la richiesta relativa alla combinazione dannosa durante la simulazione del percorso di attacco successiva, che viene eseguita ogni sei ore circa.

Per correggere una combinazione tossica, segui le indicazioni fornite nella richiesta relativa alla combinazione tossica in Passaggi successivi.

Per ulteriori informazioni, vedi Come risolvere una combinazione tossica.

Chiudi una richiesta disattivando il risultato

Se il rischio rappresentato dalla combinazione tossica è accettabile per la tua attività o se non riesci a correggere la combinazione tossica, puoi chiudere la richiesta disattivando il rilevamento della combinazione tossica.

Per disattivare un risultato relativo a una combinazione tossica:

  1. In Security Operations Console, vai a Richieste.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

  2. Individua e apri il caso di combinazione tossica.

  3. Seleziona la scheda dell'avviso relativo al rilevamento.

  4. Nell'angolo in basso a destra del widget Riepilogo dei risultati, fai clic su Esplora. Si apre il risultato relativo alla combinazione tossica.

  5. Utilizza le Opzioni di disattivazione nell'angolo in alto a destra della pagina dei dettagli del rilevamento per disattivare il rilevamento.

Puoi anche disattivare l'audio dei risultati nella console Google Cloud. Per maggiori informazioni le informazioni, vedi Disattivare un singolo risultato.

Visualizzazione delle richieste di combinazione tossica chiuse

Quando una richiesta nella console Security Operations viene chiusa, Security Command Center la rimuove dalla pagina Richieste.

Per visualizzare un caso di combinazione tossico chiuso:

  1. Nella console Security Operations, vai alla pagina Ricerca SOAR.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

  2. Sul lato sinistro della pagina, in Stato, specifica Chiuso.

  3. In Tag, specifica Combinazione tossica.

  4. Fai clic su Applica. Eventuali richieste di combinazione tossica chiuse vengono visualizzate nei risultati di ricerca.

Visualizzare i risultati relativi alle combinazioni dannose

Il risultato di una combinazione tossica è il record iniziale che Problemi con Risk Engine quando rileva una combinazione tossica nel tuo ambiente cloud. Security Command Center apre automaticamente una richiesta per ogni risultato di combinazione tossica generato da Risk Engine.

Puoi visualizzare i risultati relativi alle combinazioni tossiche direttamente Console Google Cloud nella pagina Panoramica dei rischi o nella Pagina Risultati.

Nella pagina Panoramica dei rischi vengono visualizzati i risultati relativi alle combinazioni dannose con i punteggi di esposizione agli attacchi più elevati. Ogni risultato è elencato con un link alla richiesta corrispondente nella console Security Operations.

Per visualizzare i risultati delle combinazioni tossiche:

  1. Nella console Google Cloud, vai alla pagina Risultati del Security Command Center.

    Vai a Risultati

  2. Se necessario, seleziona la tua organizzazione Google Cloud.

  3. Nella sezione Classe di risultati del riquadro Filtri rapidi, seleziona Combinazione tossica. Il riquadro Risultati della query sui risultati si aggiorna per mostrare solo i risultati delle combinazioni tossiche.

  4. Per dare la priorità ai risultati relativi alla combinazione tossica, ordina i risultati in in ordine decrescente per punteggio, facendo clic sul Punteggio di combinazione tossica .