Auf dieser Seite wird beschrieben, wie Sie in derGoogle Cloud -Konsole mit Ergebnissen für Sicherheitsprobleme im Zusammenhang mit Identität und Zugriff (Ergebnisse zu Identität und Zugriff) arbeiten, um potenzielle Fehlkonfigurationen zu untersuchen und zu identifizieren.
Sie können Ergebnisse zu Identität und Zugriff auf den folgenden Security Command Center-Seiten ansehen:
- Ansicht Identität auf der Seite Ergebnisse
- Ansicht Identität auf der Seite Risikoübersicht
Hinweis
Führen Sie die folgenden Aufgaben aus, bevor Sie fortfahren:
- Weitere Informationen zu den CIEM-Funktionen von Security Command Center
- CIEM-Erkennungsdienst aktivieren
Ergebnisse zu Identität und Zugriff auf der Seite „Ergebnisse“ ansehen
In der Ansicht Identität auf der Seite Ergebnisse von Security Command Center werden Ergebnisse zu Identität und Zugriff in allen Cloud-Umgebungen angezeigt.
Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
Wählen Sie Ihre Google Cloud Organisation aus.
Wählen Sie die Ansicht Identität aus.
In der Ansicht Identität wird eine Filterbedingung hinzugefügt, damit nur Ergebnisse angezeigt werden, bei denen das Feld domains.category den Wert IDENTITY_AND_ACCESS enthält.
Mit dem Bereich Schnellfilter und dem Abfrageeditor können Sie die Ergebnisse weiter filtern.
Wenn Sie nur Ergebnisse zu Identität und Zugriff sehen möchten, die von einem bestimmten Dienst erkannt wurden, wählen Sie die folgenden Werte für Source display name (Anzeigename der Quelle) aus:
CIEM: Hier können Sie auf Ergebnisse zu Microsoft Azure und AWS zugreifen.
IAM Recommender: Ergebnisse zu Google Cloudfinden und darauf zuzugreifen.
Verwenden Sie die folgenden Attribute, um die Ergebnisse weiter zu filtern:
- Kategorie: Mit Filtern werden die Ergebnisse nach bestimmten Kategorien von Ergebnissen gefiltert, über die Sie mehr erfahren möchten.
- Projekt-ID: Filtert die Abfrageergebnisse nach Ergebnissen, die sich auf ein bestimmtes Projekt beziehen.
- Ressourcentyp: Filtert die Abfrageergebnisse nach Ergebnissen, die sich auf einen bestimmten Ressourcentyp beziehen.
- Schweregrad: Filter, mit denen die Ergebnisse nach Befunden mit einem bestimmten Schweregrad gefiltert werden.
Der Bereich Ergebnisse der Ergebnisabfrage besteht aus mehreren Spalten mit Details zum Ergebnis. Für CIEM sind die folgenden Spalten von Interesse:
- Schweregrad: Hier wird der Schweregrad eines bestimmten Ergebnisses angezeigt, damit Sie die Behebung priorisieren können.
- Anzeigename der Ressource: Hier wird die Ressource angezeigt, in der das Ergebnis erkannt wurde.
- Anzeigename der Quelle: Hier wird der Dienst angezeigt, der das Ergebnis erkannt hat. Zu den Quellen, die identitätsbezogene Ergebnisse liefern, gehören CIEM, IAM Recommender, Security Health Analytics und Event Threat Detection.
- Cloud-Anbieter: Hier wird die Cloud-Umgebung angezeigt, in der der Befund erkannt wurde, z. B. Google Cloud, AWS und Microsoft Azure.
- Verletzende Zugriffsgewährungen: Hier wird ein Link angezeigt, über den Sie die Hauptkonten aufrufen können, denen möglicherweise unangemessene Rollen zugewiesen wurden.
- Fall-ID: Zeigt die ID-Nummer des Falls an, der mit dem Ergebnis zusammenhängt. (Enterprise-Dienststufe)
Weitere Informationen zum Arbeiten mit Ergebnissen finden Sie unter Ergebnisse prüfen und verwalten.
Ergebnisse zu Identität und Zugriff im Detail untersuchen
Wenn Sie mehr über ein Ergebnis zu Identität und Zugriff erfahren möchten, öffnen Sie die Detailansicht des Ergebnisses, indem Sie im Bereich Ergebnisse in der Spalte Kategorie auf den Namen des Ergebnisses klicken. Weitere Informationen zur Detailansicht für Ergebnisse finden Sie unter Details zu einem Ergebnis ansehen.
Die folgenden Abschnitte auf dem Tab Zusammenfassung der Detailansicht des Ergebnisses sind hilfreich, wenn Sie Ergebnisse zu Identität und Zugriff untersuchen.
Verstoßende Zugriffserteilungen
Auf dem Tab Zusammenfassung im Detailbereich eines Ergebnisses können Sie in der Zeile Zugriffsberechtigungen mit Sicherheitsrisiko schnell die Identitäten, einschließlich verbundener Identitäten, und deren Zugriff auf Ihre Ressourcen prüfen. Diese Informationen werden nur für Ergebnisse angezeigt, wenn IAM Recommender Hauptkonten für Google Cloud -Ressourcen mit sehr permissiven, einfachen und nicht verwendeten Rollen erkennt.
Klicken Sie auf Verstoßende Zugriffserteilungen überprüfen, um den Bereich Verstoßende Zugriffserteilungen überprüfen zu öffnen. Dieser enthält die folgenden Informationen:
- Der Name des Auftraggebers. Die in dieser Spalte angezeigten Hauptkonten können eine Mischung aus Google Cloud Nutzerkonten, Gruppen, föderierten Identitäten und Dienstkonten sein.
- Der Name der Rolle, die dem Hauptkonto zugewiesen wurde.
- Die empfohlene Maßnahme, die Sie ergreifen können, um den betreffenden Zugriff zu beheben.
Informationen zum Fall
Auf dem Tab Zusammenfassung der Detailseite eines Ergebnisses wird der Abschnitt Fallinformationen angezeigt, wenn es einen Fall oder ein Ticket gibt, das einem bestimmten Ergebnis entspricht.
Im Abschnitt Informationen zu Fällen können Sie die Maßnahmen zur Behebung eines bestimmten Ergebnisses nachverfolgen. Sie enthält Details zum entsprechenden Fall, z. B. Links zu allen entsprechenden Fällen und Tickets im Ticketsystem (Jira oder ServiceNow), den zugewiesenen Mitarbeiter, den Fallstatus und die Fallpriorität.
Wenn Sie auf die Fall-ID-Nummer in der Zeile Fall-ID klicken, können Sie auf den Fall zugreifen, der dem Ergebnis entspricht.
Wenn Sie auf das Jira- oder ServiceNow-Ticket zugreifen möchten, das dem Ergebnis entspricht, klicken Sie in der Zeile Ticket-ID auf die Ticket-ID-Nummer.
Informationen zum Verbinden Ihrer Ticketsysteme mit Security Command Center Enterprise finden Sie unter Security Command Center Enterprise in Ticketsysteme einbinden.
Weitere Informationen zum Prüfen entsprechender Fälle finden Sie unter Fälle mit Ergebnissen zur Identitäts- und Zugriffsverwaltung prüfen.
Nächste Schritte
Auf dem Tab Zusammenfassung der Detailseite eines Ergebnisses finden Sie im Abschnitt Nächste Schritte eine Schritt-für-Schritt-Anleitung dazu, wie Sie das erkannte Problem sofort beheben können. Diese Empfehlungen sind auf das jeweilige Ergebnis abgestimmt, das Sie sich ansehen.
Ergebnisse zu Identität und Zugriff für jede Cloud-Plattform
Mehrere Security Command Center-Dienste wie CIEM, IAM Recommender, Security Health Analytics und Event Threat Detection generieren CIEM-spezifische Ergebniskategorien, mit denen potenzielle Sicherheitsrisiken für Identitäten und Zugriffe für Ihre Cloud-Plattformen erkannt werden.
Der CIEM-Erkennungsdienst generiert spezifische Ergebnisse für Ihre AWS- und Microsoft Azure-Umgebungen. Die Dienste „IAM Recommender“, „Security Health Analytics“ und „Event Threat Detection“ generieren spezifische Ergebnisse für Ihre Google Cloud Umgebung.
In der folgenden Tabelle werden alle Ergebnisse beschrieben, die Teil der CIEM-Funktionen von Security Command Center sind.
| Cloud-Plattform | Ergebniskategorie | Beschreibung | Quelle |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Übernommene IAM-Rollen, die in Ihrer AWS-Umgebung mit sehr permissiven Richtlinien erkannt wurden. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | AWS IAM- oder AWS IAM Identity Center-Gruppen, die in Ihrer AWS-Umgebung mit sehr permissiven Richtlinien erkannt wurden. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | AWS IAM- oder AWS IAM Identity Center-Nutzer, die in Ihrer AWS-Umgebung mit sehr permissiven Richtlinien erkannt wurden. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| AWS | User is inactive
(INACTIVE_USER) | In Ihrer AWS-Umgebung werden inaktive AWS IAM- oder AWS IAM Identity Center-Nutzer erkannt. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| AWS | Group is inactive
(INACTIVE_GROUP) | In Ihrer AWS-Umgebung erkannte AWS IAM- oder AWS IAM Identity Center-Gruppen sind nicht aktiv. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| AWS | Assumed identity is inactive
(INACTIVE_ASSUMED_IDENTITY) | In Ihrer AWS-Umgebung wurden übernommene IAM-Rollen erkannt, die inaktiv sind. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity
(OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | Die Vertrauensrichtlinie, die für eine angenommene IAM-Rolle erzwungen wird, ist sehr großzügig. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| AWS | Assumed identity has lateral movement risk
(ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | Eine oder mehrere Identitäten können sich durch die Übernahme von Rollen lateral in Ihrer AWS-Umgebung bewegen. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| Microsoft Azure | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) |
Dienstkonten oder verwaltete Identitäten, die in Ihrer Azure-Umgebung mit sehr permissiven Rollenzuweisungen erkannt wurden. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| Microsoft Azure | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) |
Gruppen in Ihrer Azure-Umgebung mit sehr permissiven Rollenzuweisungen. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| Microsoft Azure | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) |
Nutzer in Ihrer Azure-Umgebung mit sehr permissiven Rollenzuweisungen. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden. Weitere Informationen finden Sie unter Ergebnisse der 2‑Faktor-Authentifizierung. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an benutzerdefinierten Rollen konfiguriert. Weitere Informationen finden Sie unter Monitoring von Sicherheitslücken-Ergebnissen. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Cloud Key Management Service-Rollen hat: CryptoKey-Verschlüsseler/Entschlüsseler, Verschlüsseler oder Entschlüsseler. Weitere Informationen finden Sie unter IAM-Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Ein Nutzer hat eine der folgenden einfachen Rollen: Inhaber (roles/owner), Bearbeiter (roles/editor) oder Betrachter (roles/viewer). Weitere Informationen finden Sie unter IAM-Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Eine Redis-IAM-Rolle wird auf Organisations- oder Ordnerebene zugewiesen. Weitere Informationen finden Sie unter IAM-Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Einem Nutzer wurden die Rollen Dienstkontoadministrator und Dienstkontonutzer zugewiesen. Dies verstößt gegen das Prinzip der „Aufgabentrennung“. Weitere Informationen finden Sie unter IAM-Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS Google Cloud Foundations 1.0 lösen nur Identitäten mit @gmail.com-E‑Mail-Adressen diesen Detektor aus. Weitere Informationen finden Sie unter IAM-Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Ein Google Groups-Konto, das ohne Genehmigung verknüpft werden kann, wird als Hauptkonto auf einer IAM-Zulassungsrichtlinie verwendet. Weitere Informationen finden Sie unter IAM-Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | Der IAM-Recommender hat ein Nutzerkonto mit einer IAM-Rolle erkannt, die in den letzten 90 Tagen nicht verwendet wurde. Weitere Informationen finden Sie unter Ergebnisse des IAM-Recommenders. | IAM Recommender |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | IAM Recommender hat ein Dienstkonto erkannt, das eine oder mehrere IAM-Rollen hat, die dem Nutzerkonto nicht erforderliche Berechtigungen gewähren. Weitere Informationen finden Sie unter Ergebnisse des IAM-Recommenders. | IAM Recommender |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
Der IAM-Recommender hat erkannt, dass die ursprüngliche IAM-Standardrolle, die einem Dienst-Agent gewährt wurde, durch eine der einfachen IAM-Rollen ersetzt wurde: Inhaber, Bearbeiter oder Betrachter. Einfache Rollen sind übermäßig permissive Legacy-Rollen und sollten Dienst-Agents nicht zugewiesen werden. Weitere Informationen finden Sie unter IAM-Recommender-Ergebnisse. | IAM Recommender |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | Der IAM-Recommender hat erkannt, dass einem Dienst-Agent eine der einfachen IAM-Rollen Inhaber, Bearbeiter oder Betrachter gewährt wurde. Einfache Rollen sind übermäßig permissive Legacy-Rollen und sollten Dienst-Agents nicht zugewiesen werden. Weitere Informationen finden Sie unter IAM-Recommender-Ergebnisse. | IAM Recommender |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Ein Dienstkonto hat die Berechtigung Administrator, Inhaber oder Bearbeiter. Diese Rollen sollten nicht von Nutzern erstellten Dienstkonten zugewiesen werden. Weitere Informationen finden Sie unter IAM-Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Eine Instanz ist für die Verwendung des Standarddienstkontos konfiguriert. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken bei Compute-Instanzen. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Ein Dienstkonto hat in einem Cluster übermäßigen Projektzugriff. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Ein Nutzer hat die Rolle Dienstkontonutzer oder Ersteller von Dienstkonto-Tokens auf Projektebene, statt für ein bestimmtes Dienstkonto. Weitere Informationen finden Sie unter IAM-Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in IAM. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Ein Knotendienstkonto hat übermäßige Zugriffsbereiche. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich. Weitere Informationen finden Sie unter KMS-Sicherheitslücken-Ergebnisse. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Ein Cloud Storage-Bucket ist öffentlich zugänglich. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken im Speicher. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Ein als Logsenke verwendeter Storage-Bucket ist öffentlich zugänglich. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken im Speicher. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Ein Nutzer verwaltet einen Dienstkontoschlüssel. Weitere Informationen finden Sie unter IAM-Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Es gibt mehr als drei Nutzer kryptografischer Schlüssel. Weitere Informationen finden Sie unter KMS-Sicherheitslücken-Ergebnisse. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Ein Nutzer hat Inhaber-Berechtigungen für ein Projekt mit kryptografischen Schlüsseln. Weitere Informationen finden Sie unter KMS-Sicherheitslücken-Ergebnisse. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert. Weitere Informationen finden Sie unter Monitoring von Sicherheitslücken-Ergebnissen. | Security Health Analytics |
Nächste Schritte
- Ergebnisse prüfen und verwalten
- Informationen zum Prüfen von Fällen mit Ergebnissen zu Identität und Zugriff
- Informationen zum Überprüfen und Verwalten von Identitätsrisiken in Policy Intelligence
- CIEM-Detektoren, die Ergebnisse generieren
- Weitere Informationen zu den IAM-Recommender-Detektoren, die Ergebnisse generieren