Gérer les combinaisons toxiques et les goulots d'étranglement

Cette page fournit des instructions pour identifier et répondre aux combinaisons et goulots d'étranglement toxiques (Aperçu) à l'aide de problèmes (Aperçu), de cas ou de résultats.

Avant de commencer

Pour vous assurer que la détection des combinaisons et des goulots d'étranglement toxiques est précise, vérifiez que le logiciel du composant Security Operations est à jour, que votre ensemble de ressources à forte valeur ajoutée est désigné avec précision et que vous disposez des autorisations IAM appropriées.

Obtenir les autorisations requises

Pour travailler avec les combinaisons et les goulots d'étranglement toxiques dans la console Google Cloud et la console Security Operations, vous devez disposer d'autorisations dans les deux consoles.

Rôles IAM de la console Google Cloud

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
  7. Cliquez sur Enregistrer.

Pour en savoir plus sur les rôles et les autorisations de Security Command Center, consultez la page IAM pour les activations au niveau de l'organisation.

Rôles de la console Security Operations

Pour travailler avec des combinaisons et des demandes toxiques dans la console Security Operations, vous devez disposer de l'un des rôles suivants:

  • Gestionnaire de failles Chronicle SOAR
  • Gestionnaire de menaces Chronicle SOAR
  • Administrateur Chronicle SOAR

Pour savoir comment attribuer le rôle à un utilisateur, consultez la section Mappeur et autorisation des utilisateurs à l'aide d'IAM.

Installer le dernier cas d'utilisation des opérations de sécurité

La fonctionnalité de combinaison toxique nécessite la version du 25 juin 2024 ou ultérieure du cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation (SCC Enterprise : orchestration et correction dans le cloud).

Pour en savoir plus sur l'installation du cas d'utilisation, consultez Cas d'utilisation de la mise à jour de l'entreprise, juin 2024.

Spécifier votre ensemble de ressources de forte valeur

Vous n'avez pas besoin d'activer la détection des combinaisons et des goulots d'étranglement toxiques. Elle est toujours activée. Le moteur de risque détecte automatiquement les combinaisons toxiques et les goulots d'étranglement qui exposent un ensemble de ressources par défaut à forte valeur.

Les résultats de combinaison toxique et de goulot d'étranglement générés sur la base de l'ensemble de ressources à forte valeur par défaut ne reflètent probablement pas avec précision vos priorités de sécurité. Pour spécifier les ressources qui font partie de votre ensemble de ressources à forte valeur ajoutée, créez des configurations de valeur de ressource dans la console Google Cloud. Pour obtenir des instructions, consultez la section Définir et gérer votre ensemble de ressources à forte valeur.

Corriger les combinaisons toxiques et les goulots d'étranglement

Les combinaisons toxiques et les goulots d'étranglement peuvent exposer de nombreuses ressources à forte valeur à des pirates informatiques potentiels. Vous devez les corriger avant les autres risques dans vos environnements cloud.

Vous pouvez hiérarchiser l'ordre dans lequel vous corrigez les combinaisons toxiques et les goulots d'étranglement en fonction de leur score d'exposition aux attaques. La méthode à suivre varie selon l'endroit où vous voyez les combinaisons et les goulots d'étranglement toxiques.

Problèmes (preview) Demandes Résultats

Les combinaisons toxiques et les goulots d'étranglement les plus à risque sont affichés sous forme de problèmes sur la page Risque > Aperçu de la console Security Operations.

Toutes les combinaisons toxiques et les goulots d'étranglement sont disponibles sur la page Risque > Problèmes.

Pour résoudre un problème, procédez comme suit:

  1. Pour afficher tous les problèmes dans la console Security Operations, accédez à Problèmes:

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/issues

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

  2. Par défaut, les problèmes regroupés sont classés par gravité. Dans le groupe, les problèmes sont classés en fonction du score d'exposition aux attaques. Pour trier tous les problèmes par score d'exposition aux attaques, désactivez Regrouper par détections.

  3. Sélectionnez un problème.

  4. Examinez la description du problème et les preuves.

  5. Si des résultats associés s'affichent, consultez leurs détails.

  6. Si plusieurs problèmes critiques sont détectés sur une ressource principale dans une combinaison toxique ou un goulot d'étranglement (Aperçu), un message s'affiche après le diagramme Preuves. Pour optimiser vos efforts de correction, cliquez sur Filtrer les problèmes de cette ressource principale dans ce message pour vous concentrer sur la résolution des problèmes de cette ressource spécifique. Pour supprimer le filtre, cliquez sur la flèche de retour à côté de Ouvrir le panneau des filtres Ajouter un filtre.

  7. Cliquez sur Explorer les chemins d'attaque complets dans le diagramme Preuves pour comprendre en détail le problème et la façon dont les chemins d'attaque exposent des ressources à forte valeur.

  8. Cliquez sur Comment résoudre le problème, puis suivez les instructions pour atténuer le risque.

Pour afficher tous les cas de combinaison toxique, accédez à la page Cas. Les goulots d'étranglement ne génèrent pas automatiquement de demande et doivent être consultés sur la page Problèmes.

Pour trouver des combinaisons toxiques dans des demandes, procédez comme suit:

  1. Dans la console Security Operations, accédez à Demandes.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

    La page Demandes s'ouvre avec la vue Coté à côté sélectionnée.

  2. Dans la liste des demandes, cliquez sur Ouvrir le panneau des filtres Filtre des demandes pour ouvrir le panneau de filtrage. Le panneau Filtre de la file d'attente des cas s'ouvre.

  3. Dans le champ Filtre de file d'attente de demandes, spécifiez les éléments suivants:

    1. Dans le champ Période, spécifiez la période pendant laquelle la demande est active.
    2. Définissez Opérateur logique sur ET.
    3. Dans la zone de liste de clés de filtrage, sélectionnez Tags (Tags).
    4. Définissez l'opérateur d'égalité sur est.
    5. Dans la zone de liste des valeurs de filtre, sélectionnez Combinaison toxique.
    6. Cliquez sur Appliquer. Les demandes de la file d'attente sont mises à jour pour n'afficher que celles qui correspondent au filtre que vous avez spécifié.

  4. Cliquez sur Trier à côté de Ouvrir le panneau des filtres Filtre des cas, puis sélectionnez Trier par exposition aux attaques (de haut en bas).

  5. Dans la file d'attente des demandes, cliquez sur la demande que vous souhaitez consulter. Si vous consultez les demandes dans la vue Liste, cliquez plutôt sur l'ID de la demande. Les informations sur la demande s'affichent.

  6. Cliquez sur Cas Présentation de la demande.

  7. Dans la section Récapitulatif de la demande, suivez les instructions de la section Étapes suivantes.

En général, une combinaison toxique inclut une ou plusieurs conclusions concernant une faille logicielle ou une mauvaise configuration. Pour chacun de ces résultats, Security Command Center ouvre automatiquement une demande distincte et exécute les playbooks associés. Vous pouvez examiner les demandes pour vérifier ces résultats et demander aux propriétaires des demandes de donner la priorité à leur résolution pour résoudre la combinaison toxique.

Pour examiner les résultats associés à une combinaison toxique, procédez comme suit:

  1. Dans l'onglet Cas Aperçu de la demande d'une demande, accédez à la section Résultats.
  2. Dans la section Résultats, examinez les résultats affichés.
    • Cliquez sur l'ID de la demande pour l'ouvrir et afficher son état, le propriétaire qui lui est attribué et d'autres informations.
    • Cliquez sur le score d'exposition aux attaques pour examiner le chemin d'attaque du résultat.
    • Si le résultat est associé à un numéro de demande, cliquez dessus pour l'ouvrir.

Vous pouvez également consulter les résultats associés dans leurs propres onglets d'alerte dans la demande.

Une combinaison toxique ou un goulot d'étranglement est l'enregistrement initial généré par Risk Engine lorsqu'il détecte une combinaison toxique ou un goulot d'étranglement dans votre environnement cloud.

Vous pouvez consulter les résultats de combinaison toxique et de goulot d'étranglement aux emplacements suivants:

  • Page Résultats de la console Google Cloud.

  • Page Résultats de la console Security Operations

Console Google Cloud Console Security Operations

Pour corriger les résultats de combinaison toxique et de goulot d'étranglement dans la console Google Cloud, procédez comme suit:

  1. Accéder à la page Résultats

    Accéder

  2. Sélectionnez votre Google Cloud organisation.

  3. Dans la section Catégorie de résultat du panneau Filtres rapides, sélectionnez Combinaison toxique ou Goulot d'étranglement. Le volet Résultats de la requête "Findings" (Résultats de la requête "Findings") est mis à jour pour n'afficher que les résultats de combinaison toxique ou de goulot d'étranglement.

  4. Pour trier les résultats par gravité, cliquez sur l'en-tête de colonne Score de combinaison toxique ou Score d'exposition aux attaques jusqu'à ce que les scores soient triés par ordre décroissant.

  5. Cliquez sur une catégorie de résultats pour ouvrir le panneau des détails de résultat. Accédez à la section Étapes suivantes et suivez les instructions pour résoudre le problème de sécurité.

Pour corriger les résultats de combinaison toxique et de goulot d'étranglement dans la console Security Operations, procédez comme suit:

  1. Accédez à Risque > Résultats.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/findings

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

  2. Dans la section Agrégations, développez Classe de recherche, puis sélectionnez Combinaison toxique et Goulot d'étranglement.

  3. Cliquez sur Niveau d'exposition aux attaques jusqu'à ce que les scores soient affichés par ordre décroissant.

  4. Cliquez sur une catégorie de résultats pour ouvrir le panneau des détails de résultat. Accédez à la section Étapes suivantes et suivez les instructions pour résoudre le problème de sécurité.

Clôturer les cas de combinaisons toxiques

Vous pouvez clôturer une demande pour une combinaison toxique en corrigeant la combinaison toxique sous-jacente ou en désactivant le résultat associé dans la console Google Cloud.

Clôturer une demande en corrigeant une combinaison toxique

Une fois que vous avez corrigé les problèmes de sécurité qui constituent une combinaison toxique et qu'ils n'exposent plus aucune ressource de votre ensemble de ressources à forte valeur, le moteur d'analyse des risques clôture automatiquement la demande lors de la prochaine simulation de chemin d'attaque, qui s'exécute environ toutes les six heures.

Clôturer une demande en ignorant le résultat

Si le risque posé par la combinaison toxique est acceptable pour votre entreprise ou si vous ne pouvez pas y remédier, vous pouvez clôturer la demande en désactivant la conclusion associée.

Pour désactiver un résultat de combinaison toxique, procédez comme suit:

  1. Dans la console Security Operations, accédez à Demandes.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

  2. Recherchez et ouvrez la demande de combinaison toxique ou de goulot d'étranglement.

  3. Cliquez sur l'onglet de l'alerte associée.

  4. Dans le widget Résumé des résultats, cliquez sur Explorer les résultats dans SCC. Le résultat associé s'ouvre.

  5. Utilisez les options de masquage sur la page d'informations du résultat pour le masquer.

Vous pouvez également couper le son des résultats dans la console Google Cloud. Pour en savoir plus, consultez la section Couper le son d'un résultat spécifique.

Afficher les cas de combinaison toxique fermés

Lorsqu'une demande est clôturée dans la console Security Operations, Security Command Center la supprime de la page Demandes.

Pour afficher un dossier de combinaison toxique clôturé, procédez comme suit:

  1. Dans la console Security Operations, accédez à la page Recherche SOAR.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

  2. Développez la section État, puis sélectionnez Fermé.

  3. Développez la section Tags, puis sélectionnez Combinaison toxique.

  4. Cliquez sur Appliquer. Les cas de combinaison toxique fermés s'affichent dans les résultats de recherche.