Questa pagina spiega come utilizzare i risultati per i problemi di sicurezza che sono correlati a identità e accesso (risultati relativi a identità e accesso) in Console Google Cloud per indagare e identificare potenziali errori di configurazione.
Nell'ambito delle funzionalità di gestione dei diritti dell'infrastruttura cloud (CIEM) offerte con Enterprise di livello enterprise, Security Command Center genera risultati relativi all'identità e all'accesso e li rende immediatamente accessibile dalla pagina Panoramica dei rischi di Security Command Center. Questi risultati sono selezionati e classificati nel riquadro Risultati di identità e accesso.
Prima di iniziare
Assicurati di aver completato le seguenti attività prima di continuare:
- Informazioni su Funzionalità CIEM di Security Command Center.
- Configura le autorizzazioni per CIEM.
- Abilita il servizio di rilevamento CIEM per AWS.
Visualizza un riepilogo dei risultati relativi a identità e accesso
Riquadro Risultati di identità e accesso in Security Command Center Panoramica dei rischi offre una panoramica generale sui principali risultati relativi all'identità e all'accesso ambienti cloud come Google Cloud e Amazon Web Services (AWS). La è costituito da una tabella che organizza i risultati in tre colonne:
- Gravità:
la gravità del rilevamento è un
indicatore generale di quanto sia importante correggere
la categoria dei risultati,
che possono essere classificati come
Critical,High,Medium, oLow. - Categoria di rilevamento: il tipo di configurazione errata dell'identità e dell'accesso trovato.
- Cloud provider: l'ambiente cloud in cui sono state rilevate le configurazioni errate trovato.
- Risultati totali: il numero totale di errori di configurazione dell'identità e dell'accesso. presenti in una categoria con una determinata classificazione di gravità.
Per esplorare i risultati nel riquadro, puoi ordinarli per gravità, o il numero di risultati totali facendo clic sulla rispettiva intestazione. Puoi modificare anche il numero di righe visualizzate nel riquadro (fino a 200) e da una pagina all'altra usando le frecce di navigazione nella parte inferiore della tabella.
Puoi fare clic sul titolo di una categoria o sul numero totale di risultati corrispondente per esaminare più in dettaglio risultati specifici nella pagina Risultati di Security Command Center. Per ulteriori informazioni, vedi Esamina in dettaglio i risultati relativi a identità e accesso.
I seguenti componenti sotto la tabella dei risultati aiutano a fornire ulteriori contesto alla tua identità e accedere ai risultati:
- L'etichetta Origini indica l'origine che Security Command Center sta importando per produrre i risultati. I risultati relativi a identità e accesso possono essere applicati a entrambi Ambienti Google Cloud e AWS. Security Command Center mostra solo l'identità e accedere risultati per AWS se hai connesso a un AWS istanza e configurata Importazione dei log AWS per CIEM.
- Il link Visualizza tutti i risultati relativi a identità e accesso ti consente di passare alla Pagina Risultati di Security Command Center per visualizzare tutte le identità e gli accessi rilevati configurazioni errate a prescindere dalla categoria o dalla gravità.
- Link Esamina l'accesso con Policy Analyzer per Google Cloud consente di accedere rapidamente Analizzatore criteri che ti consente di vedere chi ha accesso a quali risorse Google Cloud in base ai criteri di autorizzazione IAM.
Visualizzare i risultati relativi all'identità e all'accesso nella pagina Risultati
Il riquadro Risultati di identità e accesso offre più punti di ingresso Security Command Center Risultati pagina per esaminare l'identità e accedere ai risultati nel dettaglio:
- Fai clic sul nome di un risultato in Categoria di risultati o sul numero totale di risultati in Risultati totali per eseguire automaticamente query per quel risultato specifico. categoria e valutazione della gravità.
- Fai clic su Visualizza tutti i risultati relativi a identità e accesso per eseguire query su tutti i risultati in non è un ordine particolare.
Security Command Center preseleziona alcuni filtri rapidi che creano una query dei risultati nello specifico per gli errori di configurazione dell'identità e dell'accesso. Le opzioni di filtro rapido cambiano in base sull'esecuzione di query su uno o tutti i risultati relativi all'identità e all'accesso. Puoi modificare questi query in base alle esigenze. Le categorie e le opzioni di filtro rapido che ai fini del CIEM includono:
- Categoria: filtri per eseguire query sui risultati per categorie di risultati specifiche. su cui vuoi saperne di più. Le opzioni di filtro rapido elencate in cambia la categoria in base all'esecuzione di query su una o tutte le identità e accessi i risultati.
- ID progetto: filtri per eseguire query sui risultati alla ricerca di risultati relativi a un progetto specifico.
- Tipo di risorsa: filtri per eseguire query sui risultati alla ricerca di risultati relativi a una di una risorsa specifica.
- Gravità: filtri per eseguire query sui risultati relativi a una specifica gravità.
- Nome visualizzato dell'origine: filtri per eseguire query sui risultati in base ai risultati rilevati da un servizio specifico che ha rilevato l'errata configurazione.
- Provider cloud: filtra i risultati per eseguire query sui risultati provenienti da una piattaforma cloud specifica.
Il riquadro Risultati della query dei risultati è costituito da diverse colonne che forniscono i dettagli del risultato. Tra queste, le seguenti colonne sono interessanti per Scopi CIEM:
- Gravità: mostra la gravità di un determinato risultato per aiutarti a stabilire la priorità correzione.
- Nome visualizzato della risorsa: mostra la risorsa in cui è stato trovato il risultato. rilevato.
- Nome visualizzato origine: mostra il servizio che ha rilevato il risultato. Le fonti che producono risultati correlati all'identità includono CIEM, motore per suggerimenti IAM e Security Health Analytics.
- Cloud provider: mostra l'ambiente cloud in cui è stato trovato il risultato. dei carichi di lavoro, ad esempio Google Cloud e AWS.
- Concessioni di accesso illecite: mostra un link per esaminare le entità che hanno ricevuto ruoli potenzialmente inappropriati.
- Case ID (ID richiesta): mostra il numero ID della richiesta correlata alla richiesta ricerca.
Per ulteriori informazioni sull'utilizzo dei risultati, consulta Esaminare e gestire i risultati.
Analisi dei risultati relativi a identità e accesso per diverse piattaforme cloud
Security Command Center consente di esaminare gli errori di configurazione dell'identità e dell'accesso per i tuoi ambienti AWS e Google Cloud sulla Pagina Risultati di Security Command Center.
Molti diversi servizi di rilevamento di Security Command Center, come CIEM, il Recommender IAM e Security Health Analytics, generano categorie di risultati specifiche per CIEM che rilevano potenziali problemi di sicurezza di identità e accesso per le tue piattaforme cloud.
Il servizio di rilevamento CIEM di Security Command Center genera specifici risultati per l'ambiente AWS, il motore per suggerimenti IAM e Security Health Analytics di rilevamento del traffico generano risultati specifici per il tuo Google Cloud completamente gestito di Google Cloud.
Per visualizzare solo i risultati rilevati da un servizio specifico, seleziona il servizio in questione la categoria di filtri rapidi per Nome visualizzato dell'origine. Ad esempio, se vuoi visualizzare solo i risultati rilevati dal servizio di rilevamento CIEM, selezionare CIEM.
La tabella seguente descrive tutti i risultati considerati parte del Funzionalità CIEM di Security Command Center.
| Cloud Platform | Categoria risultati | Descrizione | Origine |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Ruoli IAM predefiniti rilevati nel tuo ambiente AWS con criteri molto permissivi. Per ulteriori informazioni, consulta CIEM risultati. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Gruppi IAM rilevate nel tuo ambiente AWS con criteri altamente permissivi. Per maggiori informazioni informazioni, consulta CIEM risultati. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Utenti IAM rilevati nel tuo ambiente AWS con criteri altamente permissivi. Per maggiori informazioni informazioni, consulta CIEM risultati. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Ci sono utenti che non utilizzano Verifica in due passaggi. Per ulteriori informazioni, consulta la sezione sull'autenticazione risultati dell'autenticazione. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Registra metriche e avvisi non sono configurate per monitorare le modifiche ai ruoli personalizzati. Per ulteriori informazioni, consulta Monitoraggio vulnerabilità. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | La separazione dei compiti non è ed esiste un utente con uno qualsiasi dei seguenti Cloud Key Management Service ruoli contemporaneamente: Autore crittografia/decriptazione CryptoKey, Encrypter o Decrypter. Per maggiori informazioni per informazioni, consulta IAM vulnerabilità. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Un utente ha uno dei seguenti
i seguenti ruoli di base: Proprietario (roles/owner),
Editor (roles/editor) oppure
Visualizzatore (roles/viewer). Per ulteriori informazioni,
consulta IAM
le vulnerabilità. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Un ruolo IAM Redis viene assegnato a livello di organizzazione o cartella. Per ulteriori informazioni, consulta IAM. vulnerabilità. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Un utente è stato Hanno assegnato il ruolo Amministratore account di servizio e Ruoli utente dell'account. Ciò costituisce una violazione della "Separazione dei compiti" dell'IA. Per ulteriori informazioni, consulta IAM. vulnerabilità. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | C'è un utente che non utilizza e credenziali dell'organizzazione. Per CIS Google Cloud Foundations 1.0, solo identità con indirizzi email @gmail.com attivano questo rilevatore. Per maggiori informazioni per informazioni, consulta IAM vulnerabilità. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Un account Google Gruppi può essere unito senza approvazione è utilizzato come entità del criterio di autorizzazione IAM. Per ulteriori informazioni, consulta IAM. vulnerabilità. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | Il motore per suggerimenti IAM ha rilevato un utente con un ruolo IAM che non è stato utilizzato negli ultimi 90 giorni. Per ulteriori informazioni, consulta IAM. risultati del motore per suggerimenti. | Motore per suggerimenti IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | Motore per suggerimenti IAM ha rilevato un account di servizio con uno o più ruoli IAM che autorizzazioni eccessive all'account utente. Per ulteriori informazioni, consulta IAM. risultati del motore per suggerimenti. | Motore per suggerimenti IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
Il motore per suggerimenti IAM ha rilevato che il ruolo IAM predefinito originale è stato concesso un agente di servizio è stato sostituito con uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono eccessivamente permissivi ruoli e non deve essere concesso agli agenti di servizio. Per ulteriori informazioni, consulta IAM risultati del motore per suggerimenti. | Motore per suggerimenti IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | Motore per suggerimenti IAM ha rilevato IAM che a un agente di servizio è stato concesso uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono eccessivamente permissivi ruoli e non deve essere concesso agli agenti di servizio. Per ulteriori informazioni, consulta IAM risultati del motore per suggerimenti. | Motore per suggerimenti IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Un account di servizio ha Amministratore, Proprietario o Editor privilegiati. Questi ruoli non devono essere assegnati al servizio creato dall'utente . Per ulteriori informazioni, consulta IAM. vulnerabilità. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Un'istanza è configurato in modo da utilizzare l'account di servizio predefinito. Per ulteriori informazioni, consulta Risultati delle vulnerabilità delle istanze di calcolo. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Un account di servizio ha un accesso eccessivo a progetti in un cluster. Per ulteriori informazioni, vedi Contenitore vulnerabilità. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | R l'utente ha l'opzione Utente account di servizio o Servizio Creatore token account a livello di progetto, anziché per un un account di servizio specifico. Per ulteriori informazioni, consulta IAM. vulnerabilità. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Un account di servizio. non viene ruotata per più di 90 giorni. Per ulteriori informazioni, vedi IAM vulnerabilità. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Un account di servizio del nodo gli ambiti di accesso ampio. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Una chiave di crittografia Cloud KMS pubblicamente accessibili. Per ulteriori informazioni, consulta KMS vulnerabilità. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Un bucket Cloud Storage pubblicamente accessibili. Per ulteriori informazioni, vedi Archiviazione vulnerabilità. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Un bucket di archiviazione utilizzato come log sia accessibile pubblicamente. Per ulteriori informazioni, vedi Archiviazione vulnerabilità. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Un utente gestisce un chiave dell'account di servizio. Per ulteriori informazioni, consulta IAM. vulnerabilità. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Gli utenti sono più di tre di chiavi di crittografia. Per ulteriori informazioni, consulta KMS vulnerabilità. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Un utente ha Autorizzazioni di proprietario su un progetto con crittografia chiave. Per ulteriori informazioni, consulta KMS vulnerabilità. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Le metriche e gli avvisi dei log non sono configurate per monitorare le assegnazioni o le modifiche alla proprietà del progetto. Per maggiori informazioni consulta la sezione Monitoring vulnerabilità. | Security Health Analytics |
Filtra i risultati relativi a identità e accesso in base alla piattaforma cloud
Dal riquadro Risultati query dei risultati, puoi stabilire quale risultato è correlato a un una determinata piattaforma cloud ispezionando i contenuti del cloud provider, Colonne Nome visualizzato della risorsa o Tipo di risorsa.
Nella sezione Ricerca dei risultati della query vengono visualizzati i risultati relativi all'identità e all'accesso per entrambi Ambienti Google Cloud e AWS per impostazione predefinita. Per modificare il risultato predefinito: per visualizzare solo i risultati relativi a una particolare piattaforma cloud, seleziona Amazon Web Services o piattaforma Google Cloud del cloud provider categoria di filtri rapidi.
Esamina in dettaglio i risultati relativi a identità e accesso
Per scoprire di più su un risultato di identità e accesso, apri la visualizzazione dettagliata delle facendo clic sul risultato nella colonna Categoria nella Riquadro Risultati query dei risultati. Per ulteriori informazioni sulla visualizzazione dei dettagli del risultato, consulta Visualizzare i dettagli di un risultato.
Le seguenti sezioni nella scheda Riepilogo della visualizzazione dettagliata sono utili per: esaminando i risultati relativi a identità e accesso.
Concessioni di accesso illecite
Nella scheda Riepilogo del riquadro dei dettagli di un risultato, viene mostrato il campo Accesso in violazione La riga concessioni offre un modo per esaminare rapidamente le entità, incluse le entità federate identità e il loro accesso alle risorse. Queste informazioni vengono visualizzate solo per i risultati quando il Recommender IAM rileva principi nelle risorse Google Cloud con ruoli di base, ampiamente permissivi e non utilizzati.
Fai clic su Esamina le concessioni di accesso in violazione per aprire la sezione Esamina l'accesso in violazione. concessioni, che contiene le seguenti informazioni:
- Il nome dell'entità. Le entità visualizzate in questa colonna possono essere una combinazione di account utente, gruppi, identità federate di Google Cloud account di servizio.
- Il nome del ruolo concesso all'entità.
- L'azione consigliata che puoi intraprendere per correggere l'accesso in violazione.
Informazioni sulla richiesta
Nella scheda Riepilogo della pagina dei dettagli di un risultato, Richiesta
informazioni quando è presente una richiesta o un ticket
corrisponde a un determinato risultato. Richieste e ticket vengono rilevati automaticamente
creato per i risultati con una classificazione di gravità Critical o High.
La sezione Informazioni sulle richieste consente di monitorare per un determinato risultato. Fornisce dettagli sulla richiesta corrispondente, ad esempio link a eventuali richieste e ticket del sistema di ticketing corrispondente (Jira o ServiceNow), all'assegnatario, allo stato e alla priorità della richiesta.
Per accedere alla richiesta corrispondente individua il risultato, fai clic sul numero ID richiesta nella riga Case ID (ID richiesta).
Per accedere al ticket Jira o ServiceNow corrispondente al valore fai clic sull'ID ticket nella riga ID biglietto.
Per connettere i sistemi di gestione delle richieste di assistenza a Security Command Center Enterprise, vedi Integrare Security Command Center Enterprise con la gestione dei ticket Google Cloud.
Per ulteriori informazioni sull'esame dei casi corrispondenti, consulta Esamina le richieste di rilevamento di identità e accesso.
Passaggi successivi
Nella scheda Riepilogo della pagina dei dettagli di un risultato, viene visualizzata la sezione Passaggi successivi. fornisce indicazioni dettagliate su come risolvere immediatamente il problema rilevato. Questi consigli sono personalizzati in base ai risultati specifici che stai riscontrando visualizzazione.
Passaggi successivi
- Scopri come esaminare e gestire i risultati.
- Scopri come esaminare le richieste relative ai risultati relativi a identità e accesso.
- Scopri di più sulla Rilevatori CIEM che generano risultati AWS.