Gérer les combinaisons toxiques

Cette page fournit des instructions pour identifier et contrer les toxiques combinaisons à l'aide de cas et de résultats.

Avant de commencer

Pour garantir la précision de la détection des combinaisons toxiques, que le logiciel du composant Opérations de sécurité est à jour, que vous disposez vos ressources sont désignées avec précision et que vous disposez Autorisations IAM.

Obtenir les autorisations requises

Pour utiliser les résultats et les cas de combinaisons toxiques dans la console Google Cloud et la console Security Operations, vous devez disposer d'autorisations dans les deux consoles.

Rôles IAM de la console Google Cloud

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

    8. Pour en savoir plus sur les rôles et les autorisations de Security Command Center, consultez la page IAM pour les activations au niveau de l'organisation.

    Rôles de la console Security Operations

    Travailler avec les résultats de combinaisons toxiques et les cas dans le Console Opérations de sécurité, vous devez disposer de l'un des rôles suivants:

    • Gestionnaire de failles Chronicle SOAR
    • Gestionnaire de menaces Chronicle SOAR
    • Administrateur SOAR Chronicle

    Pour savoir comment attribuer le rôle à un utilisateur, consultez la section Mappeur et autorisation des utilisateurs à l'aide d'IAM.

    Installer le cas d'utilisation des opérations de sécurité le plus récent

    La fonctionnalité de combinaison toxique nécessite la version du 25 juin 2024 ou ultérieure du cas d'utilisation SCC Enterprise : orchestration et remédiation dans le cloud.

    Pour en savoir plus sur l'installation du cas d'utilisation, consultez Mise à jour du cas d'utilisation Enterprise, juin 2024

    Spécifier les ressources à forte valeur

    Vous n'avez pas besoin d'activer la détection de combinaisons toxiques : c'est toujours mais vous devez spécifier quelles ressources cloud des ressources à forte valeur.

    Tant que vous n'avez pas spécifié quelles ressources sont des ressources de forte valeur, le moteur de risque détecte les combinaisons toxiques qui exposent un ensemble de ressources de forte valeur par défaut.

    Les résultats de combinaisons toxiques générés sur la base de l'ensemble de ressources à forte valeur par défaut ne reflètent probablement pas avec précision vos priorités de sécurité.

    Pour spécifier quelles ressources sont des ressources à forte valeur, vous devez créer des configurations de valeur des ressources dans la console Google Cloud. Pour obtenir des instructions, consultez la section Définir et gérer votre ensemble de ressources à forte valeur.

    Afficher les cas de combinaison toxique

    Vous pouvez voir un aperçu de tous les cas de combinaison toxique les détails de chaque demande dans la console Opérations de sécurité.

    Afficher un aperçu de tous les cas de combinaison toxique

    Sur la page Vue d'ensemble de la stratégie, plusieurs widgets vous fournissent un des combinaisons toxiques dans votre environnement cloud. Vous trouverez les informations suivantes :

    • Cas de combinaison toxique ouverts : nombre de cas de combinaison toxique ouverts à chaque niveau de priorité. Cliquez sur la barre d'une priorité donnée pour l'ouvrir une vue sous forme de liste des demandes.
    • Principals cas de combinaison toxique : principaux cas de combinaison toxique triés par score d'exposition aux attaques. Cliquez sur l'ID de demande pour l'ouvrir.
    • Cas de combinaison toxique dépassant le SLA : cas de combinaison toxique triés en fonction du délai restant dans le contrat de niveau de service (SLA). Cliquez sur le numéro de demande pour ouvrir une demande.

    Vous trouverez la page Présentation de la posture à l'URL suivante :

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

    Afficher les détails d'un cas de combinaison toxique

    Dans n'importe quelle vue de liste de cas de combinaison toxique, vous pouvez ouvrir les détails du cas en cliquant sur l'ID du cas.

    1. Dans la console Opérations de sécurité, accédez à Demandes.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

      La page Cases (Demandes) s'ouvre, avec la vue Side-by-Side (Côte à côte) sélectionnée.

    2. En haut de la liste des demandes, cliquez sur l'icône Filtre  pour ouvrir le panneau de filtre. Le panneau Filtre de la file d'attente des cas s'ouvre.

    3. Dans le filtre de file d'attente des demandes, spécifiez les éléments suivants:

      1. Dans le champ Période, indiquez la période pendant laquelle la demande est active.
      2. Définissez l'opérateur logique sur AND.
      3. Pour la première valeur sous Opérateur logique, sélectionnez Tags dans le menu.
      4. Pour la deuxième valeur, sélectionnez Combinaisons toxiques.
      5. Spécifiez d'autres paires de valeurs selon vos besoins afin d'identifier le cas particulier que vous souhaitez avez besoin de voir.
      6. Cliquez sur Appliquer. Les cas de la file d'attente sont mis à jour pour n'afficher que les cas correspondant au filtre que vous avez spécifié.

    4. Dans la file d'attente des demandes, sélectionnez celle que vous souhaitez consulter. Les informations sur la demande s'affichent, y compris les vues à onglets suivantes :

      • L'onglet Présentation de la demande () fournit des informations sur la demande de combinaison toxique, y compris un diagramme simplifié du chemin d'attaque, une liste de résultats associés, une liste de demandes similaires, des alertes, un graphique des entités, etc.
      • L'onglet Mur de cas () contient un récapitulatif des actions, des changements d'état, des tâches, commentaires, etc.
      • L'onglet Alerte de résultat fournit des informations plus détaillées sur la combinaison toxique, y compris les suivantes :
        • Sous Présentation, vous trouverez une description de la combinaison toxique et les étapes suivantes à suivre pour y remédier.
        • Sous Événements, liste des propriétés des résultats.
        • Sous Playbooks, une liste des playbooks associés s'affiche.

    Prioriser les cas de combinaison toxique

    Pour hiérarchiser un cas de combinaison toxique par rapport aux autres cas de posture, comparez leurs scores d'exposition aux attaques.

    En règle générale, privilégiez la remédiation d'un cas de combinaison toxique plutôt que ou la remédiation des cas pour d’autres catégories de recherche, à moins que l’attaque le score d'exposition pour une autre catégorie de résultats supérieur au score du cas de combinaison toxique.

    Les cas de combinaisons toxiques doivent être traités en priorité, car ils représentent un chemin complet qu'un pirate informatique déterminé pourrait raisonnablement suivre de l'Internet public vers une ou plusieurs de vos ressources de grande valeur, s'il parvenait à accéder à votre environnement cloud.

    Dans la console Security Operations, vous pouvez consulter les cas de combinaison toxique qui présentent les scores d'exposition aux attaques les plus élevés dans le widget Principals cas de combinaison toxique sur la page Vue d'ensemble, sous Posture.

    Vous pouvez trier tous les cas de combinaison toxique par exposition au piratage sur la page Demandes. Pour en savoir plus sur l'affichage, le filtrage et le tri des cas de combinaison toxique, consultez Afficher les cas de combinaison toxique.

    Corriger une combinaison toxique

    Pour savoir comment remédier à une combinaison toxique, consultez la ouvert pour le résultat dans la console Opérations de sécurité, ou dans l'enregistrement des résultats lui-même.

    Afficher les conseils de résolution dans une demande

    Pour consulter les conseils de résolution dans un cas de combinaison toxique, suivez procédez comme suit:

    1. Accédez à la page Demandes dans la console Opérations de sécurité.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

    2. Ouvrez le boîtier de la combinaison toxique que vous devez corriger.

    3. Cliquez sur l'onglet Demande ou Alerte.

    4. Consultez la section Étapes suivantes dans l'un des widgets suivants:

      • Si vous avez cliqué sur l'onglet Case (Demande), le widget Case summary (Résumé de la demande d'assistance).
      • Si vous avez cliqué sur l'onglet Alert (Alerte), le widget Finding summary (Récapitulatif des résultats) s'affiche.

      Si nécessaire, faites défiler la page jusqu'à la description du résultat pour voir Étapes suivantes

    Afficher les conseils de remédiation dans un résultat de combinaison toxique

    Pour afficher les conseils de résolution dans un enregistrement de résultats, procédez comme suit:

    1. Dans la console Security Operations, accédez à Posture > Résultats.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

    2. Trouvez la combinaison toxique en sélectionnant Filtres rapides. ou en modifiant la requête de résultat.

    3. Cliquez sur le nom de la catégorie de résultats pour ouvrir les détails du résultat. Le résultat s'ouvre.

    4. Dans la section Étapes suivantes de la page de détails du résultat, Résumé, consultez les consignes de résolution.

    Examiner les résultats d'un cas de combinaison toxique

    En général, une combinaison toxique inclut une ou plusieurs failles logicielles ou erreurs de configuration. Pour chacune de ces conclusions, Security Command Center ouvre automatiquement un dossier distinct et exécute la playbooks associés. Vous pouvez examiner les demandes pour vérifier ces résultats et demander aux propriétaires des demandes de hiérarchiser leur résolution afin de résoudre la combinaison toxique.

    Pour examiner les résultats d'une combinaison toxique, procédez comme suit :

    1. Dans la console Security Operations, accédez à Demandes.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

    2. Recherchez et ouvrez la demande de combinaison toxique.

    3. Sélectionnez l'onglet "Vue d'ensemble de la demande" ().

    4. Dans la section Résultats de l'onglet "Présentation de la demande", examinez les les résultats.

    5. Cliquez sur un résultat pour afficher des informations récapitulatives à son sujet, y compris l'ID de demande, le score d'exposition aux attaques et tout ID de demande associé.

      • Cliquez sur le numéro de demande du résultat pour l'ouvrir et afficher son état. le propriétaire désigné et d'autres informations sur la demande.
      • Cliquez sur le score d'exposition au piratage pour examiner le chemin d'attaque du résultat.
      • Cliquez sur l'ID de la demande d'assistance pour l'ouvrir.

    Fermer une demande de combinaison toxique

    Vous pouvez clôturer une demande pour une combinaison toxique en corrigeant la combinaison toxique sous-jacente ou en désactivant la détection de la combinaison toxique dans la console Google Cloud.

    Clôturer une demande en corrigeant une combinaison toxique

    Une fois que vous avez résolu un ou plusieurs problèmes de sécurité afin qu'elle n'expose plus aucune ressource de grande valeur, Le moteur de risque ferme automatiquement le cas de combinaison toxique lors de la prochaine simulation du chemin d'attaque, qui s'exécute toutes les six heures, approximativement.

    Pour résoudre une combinaison toxique, suivez les conseils fournis dans la demande de combinaison toxique sous Étapes suivantes.

    Pour en savoir plus, consultez la section Corriger une combinaison toxique.

    Fermez une demande en désactivant le résultat

    Si le risque posé par la combinaison toxique est acceptable pour votre entreprise ou si vous ne pouvez pas y remédier, vous pouvez clôturer la demande en désactivant la détection de la combinaison toxique.

    Pour masquer une combinaison toxique, procédez comme suit:

    1. Dans la console Opérations de sécurité, accédez à Demandes.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

    2. Localisez et ouvrez le cas de la combinaison toxique.

    3. Sélectionnez l'onglet "Alerte de résultat".

    4. Dans l'angle inférieur droit du widget Récapitulatif des résultats, cliquez sur Explorer : Le résultat de la combinaison toxique s'ouvre.

    5. Utilisez les options Ignorer en haut à droite du résultat. pour ignorer le résultat.

    Vous pouvez également couper le son des résultats dans la console Google Cloud. Pour en savoir plus, consultez la section Ignorer un résultat spécifique.

    Afficher les cas de combinaison toxique fermés

    Lorsqu'une demande est clôturée dans la console Security Operations, Security Command Center la supprime de la page Demandes.

    Pour afficher un cas fermé de combinaison toxique, procédez comme suit:

    1. Dans la console Opérations de sécurité, accédez à la page Recherche SOAR.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

    2. Sur la gauche de la page, sous État, spécifiez Clôturée.

    3. Sous Tags (Tags), spécifiez Combinaison toxique.

    4. Cliquez sur Appliquer. Tous les cas de combinaison toxique fermés s'affichent dans les résultats de recherche.

    Afficher les résultats de combinaisons toxiques

    Une combinaison toxique est l'enregistrement initial émis par Risk Engine lorsqu'il détecte une combinaison toxique dans votre environnement cloud. Security Command Center ouvre automatiquement une demande pour chaque résultat de combinaison toxique émis par Risk Engine.

    Vous pouvez consulter les résultats des combinaisons toxiques directement dans la console Google Cloud, sur la page Présentation des risques ou sur la page Résultats.

    Sur la page Aperçu des risques, les résultats de combinaisons toxiques qui ont les scores d'exposition aux attaques les plus élevés. Chaque ce résultat est répertorié avec un lien vers le cas correspondant dans la Console Opérations de sécurité.

    Pour afficher les résultats des combinaisons toxiques, procédez comme suit :

    1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

      Accéder

    2. Si nécessaire, sélectionnez votre organisation Google Cloud.

    3. Dans la section Catégorie de résultats du panneau Filtres rapides, sélectionnez Combinaison toxique. Le volet Résultats de la requête "Résultats" s'actualise pour n'afficher que les résultats de combinaisons toxiques.

    4. Pour hiérarchiser les résultats de combinaison toxique, triez-les par ordre décroissant en fonction du score en cliquant sur l'en-tête de colonne Score de combinaison toxique.