Gestisci le combinazioni tossiche

Questa pagina fornisce istruzioni per identificare e reagire ad attacchi di tossico combinazioni utilizzando casi e risultati.

Prima di iniziare

Per assicurarti che il rilevamento delle combinazioni tossiche sia accurato, che il software del componente delle operazioni di sicurezza sia aggiornato, risorse siano designate in modo accurato e che tu disponga dei Autorizzazioni IAM.

Ottieni le autorizzazioni richieste

Per lavorare con i risultati e i casi di combinazioni tossiche in Console Google Cloud e Security Operations Console devi avere le autorizzazioni necessarie in entrambe le console.

Ruoli IAM della console Google Cloud

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci l'identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungiamo ogni altro ruolo.
  7. Fai clic su Salva.

    8. Per saperne di più sui ruoli e sulle autorizzazioni di Security Command Center, vedi IAM per attivazioni a livello di organizzazione.

    Ruoli di Security Operations Console

    Per lavorare con i risultati e i casi di combinazioni tossiche nel Security Operations Console, devi avere uno dei seguenti ruoli:

    • Gestore delle vulnerabilità SOAR di Chronicle
    • Responsabile delle minacce di Chronicle SOAR
    • Amministratore Chronicle SOAR

    Per informazioni sulla concessione del ruolo a un utente, consulta Mappa e autorizza gli utenti utilizzando IAM.

    Installa il caso d'uso più recente sulle operazioni di sicurezza

    La funzionalità di combinazione tossica richiede la release del 25 giugno 2024 o versioni successive del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation.

    Per informazioni sull'installazione del caso d'uso, consulta Update Enterprise use case, giugno 2024.

    Specifica quali risorse sono di alto valore

    Non è necessario attivare il rilevamento delle combinazioni tossiche: viene sempre attivato ma devi specificare quali delle tue risorse cloud di risorse di alto valore.

    Finché non specifichi quali risorse sono di alto valore, Risk Engine rileva le combinazioni tossiche che espongono un di risorse di alto valore predefinito.

    Risultati relativi a combinazioni dannose generati in base ai valori predefiniti di risorse di alto valore è improbabile che rispecchino le priorità in materia di sicurezza.

    Per specificare quali risorse sono di alto valore, devi creare configurazioni dei valori delle risorse nella console Google Cloud. Per istruzioni, vedi Definisci e gestisci il set di risorse di alto valore.

    Visualizza i casi di combinazione tossica

    Puoi vedere una panoramica di tutti i casi di combinazione tossica e consultare i dettagli di ogni richiesta nella Security Operations Console.

    Visualizza una panoramica di tutti i casi di combinazione tossica

    Nella pagina Panoramica postura, sono disponibili diversi widget per fornire una rapida Panoramica dei casi di combinazione tossica nel tuo ambiente cloud. Puoi trovare le seguenti informazioni:

    • Richieste di combinazione tossica aperte: il numero di combinazioni tossiche aperte. a ogni livello di priorità. Fai clic sulla barra di una data priorità per aprirla una visualizzazione elenco delle richieste.
    • Principali casi di combinazione tossica: i principali casi di combinazione tossica ordinati in base al punteggio di esposizione agli attacchi. Fai clic sull'case ID per aprire una richiesta.
    • Casi di combinazione tossica che superano lo SLA: i casi di combinazione tossica. ordinati in base al tempo rimasto nell'accordo sul livello del servizio (SLA). Fai clic sull'case ID per aprire una richiesta.

    Puoi trovare la pagina Panoramica postura al seguente URL:

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

    Sostituisci CUSTOMER_SUBDOMAIN con specifico per il cliente.

    Visualizzare i dettagli di un caso di combinazione tossica

    In qualsiasi visualizzazione elenco di casi di combinazione tossica, puoi aprire i dettagli della richiesta facendo clic sull'ID della richiesta.

    1. In Security Operations Console, vai a Richieste.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Sostituisci CUSTOMER_SUBDOMAIN con specifico per il cliente.

      Si apre la pagina Richieste con la visualizzazione Affiancata selezionata.

    2. Nella parte superiore dell'elenco delle richieste, fai clic sull'icona del filtro . per aprire il riquadro dei filtri. Si apre il riquadro Filtro coda di richieste.

    3. Nel filtro coda delle richieste, specifica quanto segue:

      1. Nel campo Intervallo di tempo, specifica il periodo di tempo in cui è attivo.
      2. Imposta Operatore logico su AND.
      3. Per il primo valore in Operatore logico, seleziona Tag da il menu.
      4. Per il secondo valore, seleziona Combinazioni tossiche.
      5. Specifica altre coppie di valori per trovare il caso specifico che hanno bisogno di vedere.
      6. Fai clic su Applica. Le richieste nella coda di richieste vengono aggiornate per mostrare le richieste corrispondenti al filtro specificato.

    4. Dalla coda delle richieste, seleziona la richiesta che vuoi visualizzare. Le informazioni sulla richiesta tra cui le seguenti visualizzazioni a schede:

      • La scheda Panoramica della richiesta () fornisce informazioni sulla caso combinato, compreso un diagramma semplificato del percorso di attacco, un elenco di risultati correlati, un elenco di casi simili, avvisi, un grafico delle entità, e altro ancora.
      • La scheda Case wall () contiene un registro di azioni, modifiche allo stato, attività commenti e altro.
      • La scheda Trovare un avviso fornisce informazioni più dettagliate. sulla combinazione tossica, tra cui:
        • Nella sezione Panoramica, viene visualizzata una descrizione della combinazione tossica e i passaggi successivi che puoi seguire per risolvere la combinazione tossica.
        • In Eventi, viene visualizzato un elenco di proprietà dei risultati.
        • Nella sezione Playbook, viene visualizzato un elenco di playbook associati.

    Dai la priorità ai casi di combinazioni tossiche

    Per dare la priorità a un caso di combinazione tossica rispetto a altri casi di posture, confrontare i punteggi di esposizione agli attacchi.

    In generale, dare la priorità alla correzione di un caso di combinazione tossica rispetto alla risposta ai casi per altre categorie di rilevamento della postura, a meno che l’attacco il punteggio di esposizione per un'altra categoria di risultati è significativamente superiore al punteggio del caso di combinazione tossica.

    I casi di combinazione tossica devono avere la priorità più alta in quanto tossici combinazioni rappresentano un percorso completo che, se un determinato aggressore se l'accesso all'ambiente cloud dell'utente, l'aggressore potrebbe ragionevolmente dalla rete internet pubblica verso una o più delle tue risorse di alto valore.

    Nella Security Operations Console puoi vedere il contenuto i casi di combinazione con i punteggi più alti di esposizione agli attacchi Widget Principali casi di combinazione tossica nella pagina Panoramica in Postura.

    Puoi ordinare tutti i casi di combinazione tossica in base all'esposizione agli attacchi nella pagina Richieste. Per ulteriori informazioni sulla visualizzazione, filtrare e ordinare i casi di combinazione tossica, consulta Visualizza i casi di combinazione tossica.

    Risolvere una combinazione tossica

    Puoi trovare indicazioni per correggere una combinazione tossica rilevata nel caso aperto per il risultato nella Security Operations Console oppure nel record dei risultati stessi.

    Visualizzare le indicazioni di correzione in una richiesta

    Per visualizzare le indicazioni sulla correzione in un caso di combinazione tossica, segui questi passaggi:

    1. Vai alla pagina Richieste nella Security Operations Console.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Sostituisci CUSTOMER_SUBDOMAIN con specifico per il cliente.

    2. Apri la richiesta della combinazione tossica di cui devi risolvere il problema.

    3. Fai clic sulla scheda Richiesta di assistenza o Avviso.

    4. Consulta la sezione Passaggi successivi in uno dei seguenti widget:

      • Se hai fatto clic sulla scheda Richieste, visualizzerai il widget Riepilogo richiesta.
      • Se hai fatto clic sulla scheda Avviso, viene visualizzato il widget Riepilogo recupero.

      Se necessario, scorri oltre la Descrizione dei risultati per visualizzare Passaggi successivi.

    Visualizza le indicazioni di correzione in un risultato di combinazione tossica

    Per visualizzare le indicazioni per la correzione in un record dei risultati:

    1. Nella console operativa di sicurezza, vai a Posture > (Postura >) Risultati.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

      Sostituisci CUSTOMER_SUBDOMAIN con specifico per il cliente.

    2. Per trovare la combinazione tossica, seleziona Filtri rapidi. o la modifica della query dei risultati.

    3. Fai clic sul nome della categoria del risultato per aprire i dettagli del risultato. Il risultato si apre la pagina dei dettagli.

    4. Nella pagina dei dettagli del risultato nella sezione Passaggi successivi di Riepilogo, rivedi le indicazioni per la correzione.

    Esaminare i risultati in un caso di combinazione tossica

    Di solito, una combinazione tossica include uno o più risultati di un software vulnerabilità o errata configurazione. Per ognuno di questi risultati, Security Command Center apre automaticamente una richiesta separata ed esegue playbook associati. Puoi esaminare i casi per questi risultati, e chiedere ai proprietari di ticket di dare la priorità alla correzione la combinazione tossica.

    Per esaminare i risultati relativi a una combinazione tossica, segui questi passaggi:

    1. In Security Operations Console, vai a Richieste.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Sostituisci CUSTOMER_SUBDOMAIN con specifico per il cliente.

    2. Individua e apri il caso di combinazione tossica.

    3. Seleziona la scheda Panoramica della richiesta ().

    4. Nella sezione Risultati della scheda Panoramica della richiesta, esamina i risultati.

    5. Fai clic su un risultato per visualizzarne le informazioni di riepilogo. includere l'case ID, il punteggio di esposizione agli attacchi e qualsiasi ID ticket per il risultato.

      • Fai clic sull'case ID del risultato per aprirla e visualizzarne lo stato. proprietario assegnato e altre informazioni sulla richiesta.
      • Fai clic sul punteggio di esposizione all'attacco per esaminare il percorso di attacco per il risultato.
      • Fai clic sull'ID del ticket per aprire il ticket per il risultato.

    Chiudi un caso di combinazione tossica

    Puoi chiudere una richiesta per una combinazione tossica risolvendo il combinazione tossica sottostante o disattivando il risultato della combinazione tossica nella console Google Cloud.

    Chiudere una richiesta risolvendo una combinazione tossica

    Dopo aver risolto uno o più problemi di sicurezza che costituiscono un combinazione tossica, in modo da non esporre più risorse di alto valore, Il motore di rischio chiude automaticamente il caso di combinazione tossica durante la successiva simulazione del percorso di attacco, che viene eseguita ogni sei ore, circa.

    Per risolvere una combinazione tossica, segui le indicazioni indicata nel caso di combinazione tossica in Passaggi successivi.

    Per ulteriori informazioni, consulta l'articolo Come correggere una combinazione tossica.

    Chiudi una richiesta disattivando il risultato

    Se il rischio rappresentato dalla combinazione tossica è accettabile per il tuo attività o non puoi rimediare alla combinazione tossica, può chiudere la richiesta disattivando il risultato della combinazione tossica.

    Per disattivare il risultato di una combinazione tossica:

    1. In Security Operations Console, vai a Richieste.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Sostituisci CUSTOMER_SUBDOMAIN con specifico per il cliente.

    2. Individua e apri il caso di combinazione tossica.

    3. Seleziona la scheda dell'avviso sui risultati.

    4. Nell'angolo in basso a destra del widget Riepilogo risultato, fai clic su Esplora. Si apre il risultato relativo alla combinazione tossica.

    5. Utilizza le Opzioni di disattivazione audio nell'angolo in alto a destra del risultato. pagina dei dettagli per disattivare il risultato.

    Puoi anche disattivare i risultati nella console Google Cloud. Per maggiori informazioni per ulteriori informazioni, consulta Disattivare un singolo risultato.

    Visualizzazione di casi di combinazione tossica chiusi

    Quando una richiesta nella Security Operations Console viene chiusa, Security Command Center la rimuove dalla pagina Richieste.

    Per visualizzare un caso di combinazione tossico chiuso:

    1. In Security Operations Console, vai alla pagina Ricerca SOAR.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

      Sostituisci CUSTOMER_SUBDOMAIN con specifico per il cliente.

    2. Sul lato sinistro della pagina, in Stato, specifica Chiuso.

    3. In Tag, specifica Combinazione tossica.

    4. Fai clic su Applica. Le combinazioni tossiche chiuse vengono visualizzate in nei risultati di ricerca.

    Visualizza risultati relativi a combinazioni tossiche

    Il risultato di una combinazione tossica è il record iniziale che Problemi relativi a Risk Engine quando rileva una combinazione tossica nel tuo ambiente cloud. Security Command Center apre automaticamente una richiesta per ogni combinazione tossica che rileva problemi con il motore di rischio.

    Puoi visualizzare i risultati relativi alle combinazioni tossiche direttamente Console Google Cloud nella pagina Panoramica dei rischi o nella Pagina Risultati.

    Nella pagina Panoramica dei rischi, i risultati della combinazione tossica che sono vengono visualizzati i punteggi più alti per l'esposizione agli attacchi. Ciascuna il risultato sia elencato con un link al caso corrispondente nella Security Operations Console.

    Per visualizzare i risultati relativi alle combinazioni tossiche, segui questi passaggi:

    1. Nella console Google Cloud, vai ai Risultati di Security Command Center .

      Vai a Risultati

    2. Se necessario, seleziona la tua organizzazione Google Cloud.

    3. Nella sezione Ricerca del corso del riquadro Filtri rapidi, Seleziona Combinazione tossica. Riquadro Risultati query dei risultati aggiornamenti per mostrare solo i risultati relativi a combinazioni tossiche.

    4. Per dare la priorità ai risultati relativi alla combinazione tossica, ordina i risultati in in ordine decrescente per punteggio, facendo clic sul Punteggio di combinazione tossica .