Gérer les combinaisons toxiques

Cette page fournit des instructions pour identifier et répondre aux combinaisons toxiques à l'aide de cas et de résultats.

Avant de commencer

Pour vous assurer que la détection des combinaisons toxiques est précise, vérifiez que le logiciel du composant Security Operations est à jour, que votre ensemble de ressources à forte valeur ajoutée est désigné avec précision et que vous disposez des autorisations IAM appropriées.

Obtenir les autorisations requises

Pour utiliser les résultats et les cas de combinaisons toxiques dans la console Google Cloud et la console Security Operations, vous devez disposer d'autorisations dans les deux consoles.

Rôles IAM de la console Google Cloud

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

    8. Pour en savoir plus sur les rôles et les autorisations de Security Command Center, consultez la page IAM pour les activations au niveau de l'organisation.

    Rôles de la console Security Operations

    Pour travailler avec les résultats et les demandes de combinaisons toxiques dans la console Security Operations, vous devez disposer de l'un des rôles suivants:

    • Gestionnaire de failles Chronicle SOAR
    • Gestionnaire de menaces Chronicle SOAR
    • Administrateur Chronicle SOAR

    Pour savoir comment attribuer le rôle à un utilisateur, consultez la section Mappeur et autorisation des utilisateurs à l'aide d'IAM.

    Installer le dernier cas d'utilisation des opérations de sécurité

    La fonctionnalité de combinaison toxique nécessite la version du 25 juin 2024 ou ultérieure du cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation (SCC Enterprise : orchestration et correction dans le cloud).

    Pour en savoir plus sur l'installation du cas d'utilisation, consultez Cas d'utilisation de la mise à jour d'entreprise, juin 2024.

    Spécifier votre ensemble de ressources de forte valeur

    Vous n'avez pas besoin d'activer la détection des combinaisons toxiques. Elle est toujours activée. Le moteur de risque détecte automatiquement les combinaisons toxiques qui exposent un ensemble de ressources à forte valeur par défaut.

    Les résultats de combinaisons toxiques générés sur la base de l'ensemble de ressources à forte valeur par défaut ne reflètent probablement pas avec précision vos priorités de sécurité. Par conséquent, nous vous recommandons de spécifier les ressources dans votre ensemble de ressources de forte valeur.

    Pour spécifier les ressources qui font partie de votre ensemble de ressources à forte valeur ajoutée, vous devez créer des configurations de valeur de ressource dans la console Google Cloud. Pour obtenir des instructions, consultez la section Définir et gérer votre ensemble de ressources à forte valeur.

    Afficher les cas de combinaison toxique

    Vous pouvez consulter un aperçu de tous les cas de combinaison toxique et les détails de chaque cas dans la console Security Operations.

    Afficher une présentation de tous les cas de combinaison toxique

    Sur la page Vue d'ensemble de la posture, plusieurs widgets vous fournissent un aperçu rapide des cas de combinaisons toxiques dans vos environnements cloud Google Cloud et Amazon Web Services (AWS) (Preview). Vous trouverez les informations suivantes:

    • Tous les cas de stratégie ouverts ou Cas de combinaison toxique ouverts: pour afficher les cas de combinaison toxique ouverts, sélectionnez Combinaisons toxiques dans le sélecteur. Le widget affiche le nombre de cas de combinaison toxique ouverts à chaque niveau de priorité. Cliquez sur la barre d'une priorité donnée pour afficher la liste des demandes.

    • TTR et tendance des cas de combinaison toxique: tendances des cas de combinaison toxique ouverts et fermés pour une période donnée. Maintenez le pointeur sur les lignes de tendance pour afficher le nombre spécifique de demandes ouvertes et clôturées pour un point de données donné au cours de la période. Ce widget fournit également une valeur de temps de résolution (TTR) qui indique le temps moyen nécessaire pour résoudre un cas de combinaison toxique en fonction de la période donnée.

    • Principals cas de combinaison toxique: principaux cas de combinaison toxique triés par score d'exposition aux attaques. Cliquez sur l'ID de demande pour l'ouvrir.

    • Cas de combinaison toxique dépassant le SLA: cas de combinaison toxique triés en fonction du temps restant dans le contrat de niveau de service (SLA). Cliquez sur l'ID de demande pour l'ouvrir.

    Vous trouverez la page Présentation de la posture à l'URL suivante:

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

    Afficher les détails d'un cas de combinaison toxique

    Dans n'importe quelle vue de liste de cas de combinaison toxique, vous pouvez ouvrir les détails du cas en cliquant sur l'ID du cas.

    1. Dans la console Security Operations, accédez à Demandes.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

      La page Demandes s'ouvre avec la vue Coté à côté sélectionnée.

    2. En haut de la liste des demandes, cliquez sur l'icône Filtre  pour ouvrir le panneau de filtre. Le panneau Filtre de la file d'attente des demandes s'ouvre.

    3. Dans le champ Filtre de file d'attente de demandes, spécifiez les éléments suivants:

      1. Dans le champ Période, indiquez la période pendant laquelle la demande est active.
      2. Définissez Opérateur logique sur ET.
      3. Pour la première valeur sous Opérateur logique, sélectionnez Tags (Balise) dans le menu.
      4. Pour la deuxième valeur, sélectionnez Combinaisons toxiques.
      5. Spécifiez d'autres paires de valeurs si nécessaire pour trouver le cas particulier que vous devez afficher.
      6. Cliquez sur Appliquer. Les demandes de la file d'attente sont mises à jour pour n'afficher que celles qui correspondent au filtre que vous avez spécifié.

    4. Dans la file d'attente des demandes, sélectionnez la demande que vous devez consulter. Les informations sur la demande s'affichent, y compris les vues à onglets suivantes:

      • Onglet Présentation de l'incident (): fournit des informations sur l'incident de combinaison toxique, y compris un diagramme simplifié du chemin d'attaque, une liste des résultats associés, une liste des ressources concernées, une liste d'incidents similaires, des alertes, un graphique des entités, etc.
      • Onglet Mur de la demande (): contient un enregistrement des actions, des modifications de l'état, des tâches, des commentaires, etc.
      • Onglets Alerte associée: fournissent des informations plus détaillées sur les résultats individuels associés, y compris les suivantes :
        • Sous Présentation, vous trouverez une description de chaque résultat et les étapes à suivre pour le corriger.
        • Sous Événements, liste des propriétés de résultat.
        • Sous Playbooks (Playbooks), liste des playbooks associés.

    Hiérarchiser les cas de combinaison toxique

    Par défaut, les combinaisons toxiques sont classées comme résultats de gravité critique et cas de priorité critique. Par conséquent, ils doivent être traités en priorité par rapport à la résolution des problèmes pour les autres catégories de résultats de l'évaluation de la posture. Les combinaisons toxiques représentent un chemin complet qu'un pirate informatique déterminé pourrait raisonnablement suivre de l'Internet public vers une ou plusieurs ressources de votre ensemble de ressources de grande valeur, s'il parvenait à accéder à votre environnement cloud.

    Comparez les scores de combinaison toxique sur la page Résultats de la console Google Cloud pour vous aider à hiérarchiser les cas de combinaison toxique. Dans la console Security Operations, vous pouvez consulter les cas de combinaison toxique qui présentent les scores d'exposition aux attaques les plus élevés dans le widget Principals cas de combinaison toxique sur la page Vue d'ensemble, sous Posture.

    Vous pouvez trier tous les cas de combinaison toxique par score d'exposition aux attaques sur la page Cas. Pour en savoir plus sur l'affichage, le filtrage et le tri des cas de combinaison toxique, consultez Afficher les cas de combinaison toxique.

    Corriger une combinaison toxique

    Vous trouverez des conseils pour corriger une combinaison toxique dans la demande ouverte pour la combinaison dans la console Security Operations ou dans l'enregistrement de la combinaison elle-même.

    Afficher les conseils de résolution dans une demande

    Pour afficher les conseils de résolution dans un cas de combinaison toxique, procédez comme suit:

    1. Accédez à la page Demandes de la console Security Operations.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

    2. Ouvrez la demande pour la combinaison toxique que vous devez corriger.

    3. Cliquez sur l'onglet Demande ou Alerte.

    4. Consultez la section Étapes suivantes dans l'un des widgets suivants:

      • Si vous avez cliqué sur l'onglet Demande, le widget Récapitulatif de la demande.
      • Si vous avez cliqué sur l'onglet Alertes, le widget Résumé des résultats.

      Si nécessaire, faites défiler la page jusqu'à la section Description de la recherche pour afficher les Étapes suivantes.

    Afficher les conseils de résolution dans un résultat de combinaison toxique

    Pour afficher les conseils de correction dans un enregistrement de résultat, procédez comme suit:

    1. Dans la console Security Operations, accédez à Posture > Findings (Posture > Résultats).

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

    2. Recherchez la combinaison toxique en sélectionnant Filtres rapides ou en modifiant la requête de recherche.

    3. Cliquez sur le nom de la catégorie du résultat pour afficher ses détails. La page des détails de la recherche s'affiche.

    4. Sur la page des détails des résultats, dans la section Étapes suivantes de l'onglet Récapitulatif, consultez les conseils de résolution.

    Examiner les résultats d'un cas de combinaison toxique

    En général, une combinaison toxique inclut une ou plusieurs failles logicielles ou erreurs de configuration. Pour chacune de ces observations, Security Command Center ouvre automatiquement une demande distincte et exécute les playbooks associés. Vous pouvez examiner les demandes pour vérifier ces résultats et demander aux propriétaires des demandes de hiérarchiser leur résolution afin de résoudre la combinaison toxique.

    Pour examiner les résultats d'une combinaison toxique, procédez comme suit:

    1. Dans la console Security Operations, accédez à Demandes.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

    2. Recherchez et ouvrez la demande de combinaison toxique.

    3. Sélectionnez l'onglet "Vue d'ensemble de la demande" ().

    4. Dans la section Résultats de l'onglet "Vue d'ensemble de la demande", examinez les résultats affichés.

    5. Cliquez sur un résultat pour afficher des informations récapitulatives à son sujet, y compris l'ID de demande, le score d'exposition aux attaques et tout ID de demande associé.

      • Cliquez sur l'ID de la demande pour l'ouvrir et afficher son état, le propriétaire qui lui est attribué et d'autres informations.
      • Cliquez sur le score d'exposition aux attaques pour examiner le chemin d'attaque du résultat.
      • Cliquez sur l'ID de demande pour ouvrir la demande associée à l'anomalie.

    Fermer un dossier de combinaison toxique

    Vous pouvez clôturer une demande pour une combinaison toxique en corrigeant la combinaison toxique sous-jacente ou en désactivant la détection de la combinaison toxique dans la console Google Cloud.

    Clôturer une demande en corrigeant une combinaison toxique

    Une fois que vous avez corrigé un ou plusieurs des problèmes de sécurité qui constituent une combinaison toxique afin qu'elle n'expose plus aucune ressource de votre ensemble de ressources à forte valeur, Risk Engine ferme automatiquement la demande de combinaison toxique lors de la prochaine simulation du chemin d'attaque, qui s'exécute toutes les six heures environ.

    Pour résoudre une combinaison toxique, suivez les conseils fournis dans la demande de combinaison toxique sous Étapes suivantes.

    Pour en savoir plus, consultez la section Corriger une combinaison toxique.

    Clôturer une demande en ignorant le résultat

    Si le risque posé par la combinaison toxique est acceptable pour votre entreprise ou si vous ne pouvez pas y remédier, vous pouvez clôturer la demande en désactivant la détection de la combinaison toxique.

    Pour désactiver un résultat de combinaison toxique, procédez comme suit:

    1. Dans la console Security Operations, accédez à Demandes.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

    2. Recherchez et ouvrez la demande de combinaison toxique.

    3. Sélectionnez l'onglet "Alerte de résultat".

    4. En bas à droite du widget Récapitulatif des résultats, cliquez sur Explorer. Le résultat de la combinaison toxique s'ouvre.

    5. Utilisez les options de masquage en haut à droite de la page d'informations sur le résultat pour le masquer.

    Vous pouvez également couper le son des résultats dans la console Google Cloud. Pour en savoir plus, consultez la section Ignorer un résultat spécifique.

    Afficher les cas de combinaison toxique fermés

    Lorsqu'une demande est clôturée dans la console Security Operations, Security Command Center la supprime de la page Demandes.

    Pour afficher un dossier de combinaison toxique clôturé, procédez comme suit:

    1. Dans la console Security Operations, accédez à la page Recherche SOAR.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

      Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

    2. Sur la gauche de la page, sous État, spécifiez Clôturée.

    3. Sous Tags (Tags), spécifiez Combinaison toxique.

    4. Cliquez sur Appliquer. Tous les cas de combinaison toxique fermés s'affichent dans les résultats de recherche.

    Afficher les résultats de la combinaison toxique

    Une détection de combinaison toxique est l'enregistrement initial émis par Risk Engine lorsqu'il détecte une combinaison toxique dans votre environnement cloud. Security Command Center ouvre automatiquement une demande pour chaque résultat de combinaison toxique émis par Risk Engine.

    Vous pouvez consulter les résultats des combinaisons toxiques directement dans la console Google Cloud, sur la page Présentation des risques ou sur la page Résultats.

    Sur la page Aperçu des risques, les résultats de la combinaison toxique qui présentent les scores d'exposition aux attaques les plus élevés sont affichés. Chaque résultat est listé avec un lien vers la demande correspondante dans la console Security Operations.

    Pour afficher les résultats des combinaisons toxiques, procédez comme suit:

    1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

      Accéder

    2. Si nécessaire, sélectionnez votre organisation Google Cloud.

    3. Dans la section Catégorie de résultat du panneau Filtres rapides, sélectionnez Combinaison toxique. Le volet Résultats de la requête "Résultats" s'actualise pour n'afficher que les résultats de combinaisons toxiques.

    4. Pour hiérarchiser les résultats de combinaison toxique, triez-les par ordre décroissant en fonction du score en cliquant sur l'en-tête de colonne Score de combinaison toxique.