Questa pagina spiega come utilizzare i risultati per i problemi di sicurezza che sono correlati a identità e accesso (risultati relativi a identità e accesso) in Console Google Cloud per indagare e identificare potenziali errori di configurazione.
Nell'ambito delle funzionalità di gestione dei diritti dell'infrastruttura cloud (CIEM) offerte con Enterprise di livello enterprise, Security Command Center genera risultati relativi all'identità e all'accesso e li rende immediatamente accessibile dalla pagina Panoramica dei rischi di Security Command Center. Questi risultati sono selezionati e classificati nel riquadro Risultati di identità e accesso.
Prima di iniziare
Assicurati di aver completato le seguenti attività prima di continuare:
- Scopri di più sulle funzionalità CIEM di Security Command Center.
- Configura le autorizzazioni per CIEM.
- Abilita il servizio di rilevamento CIEM per AWS.
Visualizza un riepilogo dei risultati relativi a identità e accesso
Il riquadro Risultati di identità e accesso in Security Command Center Rischio Panoramica offre una panoramica generale sui principali risultati relativi all'identità e all'accesso ambienti cloud come Google Cloud e Amazon Web Services (AWS). La è costituito da una tabella che organizza i risultati in tre colonne:
- Gravità: i risultati
la gravità è una
indicatore generale di quanto sia importante correggere
la categoria dei risultati,
che possono essere classificati come
Critical,High,Medium, oLow. - Categoria di rilevamento: il tipo di configurazione errata dell'identità e dell'accesso trovato.
- Risultati totali: il numero totale di errori di configurazione dell'identità e dell'accesso. presenti in una categoria con una determinata classificazione di gravità.
Per esplorare i risultati nel riquadro, puoi ordinarli per gravità, o il numero di risultati totali facendo clic sulla rispettiva intestazione. Puoi modificare anche il numero di righe visualizzate nel riquadro (fino a 200) e da una pagina all'altra usando le frecce di navigazione nella parte inferiore della tabella.
Puoi fare clic sul titolo di una categoria o sul numero totale di risultati corrispondente per Analizzare in modo più dettagliato risultati specifici nei risultati di Security Command Center . Per saperne di più, consulta Esaminare nel dettaglio i risultati relativi a identità e accesso.
I seguenti componenti sotto la tabella dei risultati aiutano a fornire ulteriori contesto alla tua identità e accedere ai risultati:
- L'etichetta Origini indica l'origine che Security Command Center sta importando per produrre i risultati. I risultati relativi a identità e accesso possono essere applicati a entrambi Ambienti Google Cloud e AWS. Security Command Center mostra solo l'identità e accedere risultati per AWS se hai connesso a un AWS istanza e configurata Importazione dei log AWS per CIEM.
- Il link Visualizza tutti i risultati relativi a identità e accesso ti consente di passare alla Pagina Risultati di Security Command Center per visualizzare tutte le identità e gli accessi rilevati configurazioni errate a prescindere dalla categoria o dalla gravità.
- Il link Esamina l'accesso con l'Analizzatore criteri consente di accedere rapidamente alle Analizzatore criteri, che ti consente di vedere chi ha accesso a cosa in base ai tuoi criteri di autorizzazione IAM.
Visualizzare i risultati relativi all'identità e all'accesso nella pagina Risultati
Il riquadro Risultati di identità e accesso offre più punti di ingresso Security Command Center Risultati pagina per esaminare l'identità e accedere ai risultati nel dettaglio:
- Fai clic sul nome di un risultato in Categoria di risultati o sul numero totale di risultati in Risultati totali per eseguire automaticamente query per quel risultato specifico. categoria e valutazione della gravità.
- Fai clic su Visualizza tutti i risultati relativi a identità e accesso per eseguire query su tutti i risultati in non è un ordine particolare.
Security Command Center preseleziona alcuni filtri rapidi che creano una query dei risultati nello specifico per errori di configurazione dell'identità e dell'accesso. Le opzioni di filtro rapido cambiano in base sull'esecuzione di query su uno o tutti i risultati relativi all'identità e all'accesso. Puoi modificare questi query in base alle esigenze. Le categorie e le opzioni di filtro rapido che ai fini del CIEM includono:
- Categoria: filtri per eseguire query sui risultati per categorie di risultati specifiche. su cui vuoi saperne di più. Le opzioni di filtro rapido elencate in cambia la categoria in base all'esecuzione di query su una o tutte le identità e accessi i risultati.
- ID progetto: filtri per eseguire query sui risultati alla ricerca di risultati relativi a un progetto specifico.
- Tipo di risorsa: filtri per eseguire query sui risultati alla ricerca di risultati relativi a una di una risorsa specifica.
- Gravità: filtri per eseguire query sui risultati relativi a una specifica gravità.
- Nome visualizzato dell'origine: filtri per eseguire query sui risultati in base ai risultati rilevati da un servizio specifico che ha rilevato l'errata configurazione.
- Cloud provider: filtri per eseguire query sui risultati alla ricerca di risultati provenienti da una specifica piattaforma cloud.
Il riquadro Risultati della query dei risultati è costituito da diverse colonne che forniscono i dettagli del risultato. Tra queste, le seguenti colonne sono interessanti per Scopi CIEM:
- Gravità: mostra la gravità di un determinato risultato per aiutarti a stabilire la priorità correzione.
- Nome visualizzato della risorsa: mostra la risorsa in cui è stato trovato il risultato. rilevato.
- Nome visualizzato origine: mostra il servizio che ha rilevato il risultato. Le fonti che producono risultati correlati all'identità includono CIEM, motore per suggerimenti IAM e Security Health Analytics.
- Cloud provider: mostra l'ambiente cloud in cui è stato trovato il risultato. dei carichi di lavoro, ad esempio Google Cloud e AWS.
- Concessioni di accesso illecite: mostra un link per esaminare le entità che hanno ricevuto ruoli potenzialmente inappropriati.
- Case ID (ID richiesta): mostra il numero ID della richiesta correlata alla richiesta ricerca.
Per ulteriori informazioni sull'utilizzo dei risultati, consulta Utilizzare i risultati nel console Google Cloud.
Analisi dei risultati relativi a identità e accesso per diverse piattaforme cloud
Security Command Center consente di esaminare gli errori di configurazione dell'identità e dell'accesso risultati per i tuoi ambienti AWS e Google Cloud su Security Command Center Pagina Risultati.
Molti servizi di rilevamento di Security Command Center diversi, CIEM, motore per suggerimenti IAM e Security Health Analytics, generano specifiche CIEM trovare categorie che rilevano potenziali problemi di sicurezza dell'identità e dell'accesso per dalle tue piattaforme cloud.
Il servizio di rilevamento CIEM di Security Command Center genera specifici risultati per l'ambiente AWS, il motore per suggerimenti IAM e Security Health Analytics di Google Cloud consentono di generare risultati specifici per il tuo ambiente Google Cloud.
Per visualizzare solo i risultati rilevati da un servizio specifico, seleziona il servizio in questione la categoria di filtri rapidi per Nome visualizzato dell'origine. Ad esempio, se vuoi visualizzare solo i risultati rilevati dal servizio di rilevamento CIEM, selezionare CIEM.
La tabella seguente descrive tutti i risultati considerati parte del Funzionalità CIEM di Security Command Center.
| Cloud Platform | Categoria risultati | Descrizione | Origine |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Presunto Ruoli IAM rilevati nell'ambiente AWS con un'impostazione altamente permissiva criteri. Per ulteriori informazioni, consulta CIEM risultati. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Gruppi IAM rilevate nel tuo ambiente AWS con criteri altamente permissivi. Per ulteriori informazioni informazioni, consulta CIEM risultati. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Utenti IAM rilevati nel tuo ambiente AWS con criteri altamente permissivi. Per ulteriori informazioni informazioni, consulta CIEM risultati. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Ci sono utenti che non utilizzano Verifica in due passaggi. Per ulteriori informazioni, consulta la sezione sull'autenticazione risultati dell'autenticazione. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Registra metriche e avvisi non sono configurate per monitorare le modifiche ai ruoli personalizzati. Per ulteriori informazioni, consulta Monitoraggio vulnerabilità. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | La separazione dei compiti non è ed esiste un utente con uno qualsiasi dei seguenti Cloud Key Management Service ruoli contemporaneamente: Autore crittografia/decrittografia CryptoKey, Encrypter o Decrypter. Per ulteriori informazioni per informazioni, consulta IAM vulnerabilità. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Un utente ha uno dei seguenti
i seguenti ruoli di base: Proprietario (roles/owner),
Editor (roles/editor) oppure
Visualizzatore (roles/viewer). Per ulteriori informazioni,
consulta IAM
le vulnerabilità. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Un ruolo IAM Redis assegnati a livello di organizzazione o cartella. Per ulteriori informazioni, consulta IAM. vulnerabilità. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Un utente è stato Hanno assegnato il ruolo Amministratore account di servizio e Ruoli Utente account. Ciò costituisce una violazione della "Separazione dei compiti" dell'IA. Per ulteriori informazioni, consulta IAM. vulnerabilità. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | C'è un utente che non utilizza e credenziali dell'organizzazione. Per CIS Google Cloud Foundations 1.0, solo identità con indirizzi email @gmail.com attivano questo rilevatore. Per ulteriori informazioni per informazioni, consulta IAM vulnerabilità. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Un account Google Gruppi può essere unito senza approvazione è utilizzato come entità del criterio di autorizzazione IAM. Per ulteriori informazioni, consulta IAM. vulnerabilità. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | Il motore per suggerimenti IAM ha rilevato un utente con un ruolo IAM che non è stato utilizzato negli ultimi 90 giorni. Per ulteriori informazioni, consulta IAM. risultati del motore per suggerimenti. | Motore per suggerimenti IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | Motore per suggerimenti IAM ha rilevato un account di servizio con uno o più ruoli IAM che autorizzazioni eccessive all'account utente. Per ulteriori informazioni, consulta IAM. risultati del motore per suggerimenti. | Motore per suggerimenti IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
Il motore per suggerimenti IAM ha rilevato che il ruolo IAM predefinito originale è stato concesso un agente di servizio è stato sostituito con uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono eccessivamente permissivi ruoli e non deve essere concesso agli agenti di servizio. Per ulteriori informazioni, consulta IAM risultati del motore per suggerimenti. | Motore per suggerimenti IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | Motore per suggerimenti IAM ha rilevato IAM che a un agente di servizio è stato concesso uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono eccessivamente permissivi ruoli e non deve essere concesso agli agenti di servizio. Per ulteriori informazioni, consulta IAM risultati del motore per suggerimenti. | Motore per suggerimenti IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Un account di servizio ha Amministratore, Proprietario o Editor privilegiati. Questi ruoli non devono essere assegnati al servizio creato dall'utente . Per ulteriori informazioni, consulta IAM. vulnerabilità. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Un'istanza è configurato in modo da utilizzare l'account di servizio predefinito. Per ulteriori informazioni, vedi Computing risultati di vulnerabilità dell'istanza. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Un account di servizio ha un accesso eccessivo a progetti in un cluster. Per ulteriori informazioni, vedi Contenitore vulnerabilità. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | R l'utente ha l'opzione Utente account di servizio o Servizio Creatore token account a livello di progetto, anziché per un un account di servizio specifico. Per ulteriori informazioni, consulta IAM. vulnerabilità. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Un account di servizio. non viene ruotata per più di 90 giorni. Per ulteriori informazioni, vedi IAM vulnerabilità. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Un account di servizio nodo ha gli ambiti di accesso ampio. Per ulteriori informazioni, vedi Contenitore vulnerabilità. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Una chiave di crittografia Cloud KMS pubblicamente accessibili. Per ulteriori informazioni, consulta KMS vulnerabilità. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Un bucket Cloud Storage pubblicamente accessibili. Per ulteriori informazioni, vedi Archiviazione vulnerabilità. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Un bucket di archiviazione utilizzato come log sia accessibile pubblicamente. Per ulteriori informazioni, vedi Archiviazione vulnerabilità. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Un utente gestisce un chiave dell'account di servizio. Per ulteriori informazioni, consulta IAM. vulnerabilità. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Gli utenti sono più di tre di chiavi di crittografia. Per ulteriori informazioni, consulta KMS vulnerabilità. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Un utente ha Autorizzazioni di proprietario per un progetto con crittografia chiave. Per ulteriori informazioni, consulta KMS vulnerabilità. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Le metriche e gli avvisi dei log non sono configurate per monitorare le assegnazioni o le modifiche alla proprietà del progetto. Per ulteriori informazioni consulta la sezione Monitoring vulnerabilità. | Security Health Analytics |
Filtra i risultati relativi a identità e accesso in base alla piattaforma cloud
Dal riquadro Risultati query dei risultati, puoi stabilire quale risultato è correlato a un una determinata piattaforma cloud ispezionando i contenuti del cloud provider, Colonne Nome visualizzato della risorsa o Tipo di risorsa.
La sezione Ricerca dei risultati della query mostra i risultati relativi all'identità e all'accesso per entrambi Ambienti Google Cloud e AWS per impostazione predefinita. Per modificare la query dei risultati predefinita per visualizzare solo quelli per una particolare piattaforma cloud, seleziona Amazon Web Services o piattaforma Google Cloud del cloud provider categoria di filtri rapidi.
Esamina in dettaglio i risultati relativi a identità e accesso
Per scoprire di più su un risultato di identità e accesso, apri la visualizzazione dettagliata delle facendo clic sul risultato nella colonna Categoria nella Riquadro Risultati query dei risultati. Per ulteriori informazioni sui dettagli del risultato vedi Visualizzare i dettagli di una ricerca.
Le seguenti sezioni nella scheda Riepilogo della visualizzazione dettagliata sono utili per: esaminando i risultati relativi a identità e accesso.
Concessioni di accesso illecite
Nella scheda Riepilogo del riquadro dei dettagli di un risultato, viene mostrato il campo Accesso in violazione concessioni consente di ispezionare rapidamente Google Cloud e di terze parti e il loro accesso alle tue risorse. Queste informazioni viene visualizzato per i risultati solo quando il motore per suggerimenti IAM rileva le entità su Risorse Google Cloud con ruoli altamente permissivi, di base e inutilizzati.
Fai clic su Esamina le concessioni di accesso in violazione per aprire la sezione Esamina l'accesso in violazione. concessioni, che contiene le seguenti informazioni:
- Il nome dell'entità. Le entità visualizzate in questa colonna possono essere
una combinazione di account utente Google Cloud (
user:[email protected]), gruppi identità da altri provider di identità (//iam.googleapis.com/locations/global/workforcePools/example-pool/subject/[email protected]), e account di servizio. - Il nome del ruolo concesso all'entità.
- L'azione consigliata che puoi intraprendere per correggere l'accesso in violazione.
Informazioni sulla richiesta
Nella scheda Riepilogo della pagina dei dettagli di un risultato, Richiesta
informazioni quando è presente una richiesta o un ticket
corrisponde a un determinato risultato. Richieste e ticket vengono rilevati automaticamente
creato per i risultati con una classificazione di gravità Critical o High.
La sezione Informazioni sulle richieste consente di monitorare per un determinato risultato. Fornisce dettagli su caso corrispondente, ad esempio link a tutte le richieste e ai sistemi di gestione dei ticket corrispondenti (Jira o ServiceNow), l'assegnatario, lo stato della richiesta e la priorità della richiesta.
Per accedere alla richiesta corrispondente individua il risultato, fai clic sul numero ID richiesta nella riga Case ID (ID richiesta).
Per accedere al ticket Jira o ServiceNow corrispondente al valore fai clic sull'ID ticket nella riga ID biglietto.
Per connettere i sistemi di gestione delle richieste di assistenza a Security Command Center Enterprise, vedi Integrare Security Command Center Enterprise con la gestione dei ticket Google Cloud.
Per ulteriori informazioni sull'esame dei casi corrispondenti, consulta la sezione Esaminare l'identità e di accesso alle richieste di risultati.
Passaggi successivi
Nella scheda Riepilogo della pagina dei dettagli di un risultato, viene visualizzata la sezione Passaggi successivi. fornisce indicazioni dettagliate su come risolvere immediatamente il problema rilevato. Questi consigli sono personalizzati in base ai risultati specifici che stai riscontrando visualizzazione.
Passaggi successivi
- Scopri come utilizzare i risultati.
- Scopri come esaminare le richieste di rilevamento di identità e accesso.
- Scopri di più sul CIEM rilevatori che generano risultati AWS.