בדף הזה מוסבר איך לעבוד עם ממצאים של בעיות אבטחה שקשורות לזהות ולגישה (ממצאים שקשורים לזהות ולגישה) במסוףGoogle Cloud כדי לחקור ולזהות טעויות פוטנציאליות בהגדרות.
כחלק מהיכולות של ניהול הרשאות בתשתית ענן (CIEM) שמוצעות במהדורת Enterprise, Security Command Center יוצר ממצאים לגבי זהויות וגישה ומציג אותם בדף סקירת הסיכונים ב-Security Command Center. הממצאים האלה נאספים ומסווגים בחלונית ממצאים שקשורים לזהות ולאימות.
לפני שמתחילים
לפני שממשיכים, צריך לוודא שהשלמתם את המשימות הבאות:
- מידע נוסף על יכולות CIEM של Security Command Center
- הגדרת הרשאות ל-CIEM
- הפעלת שירות האיתור של CIEM בענן.
הצגת ממצאים בנושא זהויות והרשאות גישה בדף הממצאים
בתצוגה Identity בדף Findings ב-Security Command Center מוצגות תוצאות שקשורות לזהויות ולגישה בסביבות הענן שלכם, כמו Google Cloud ו-Amazon Web Services (AWS).
נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .
בוחרים את Google Cloud הארגון.
בוחרים בתצוגה Identity (זהות).
בתצוגה זהות מתווסף תנאי סינון כדי להציג רק ממצאים שבהם השדה domains.category מכיל את הערך IDENTITY_AND_ACCESS.
כדי להציג רק תוצאות מפלטפורמת ענן ספציפית, משתמשים בלחצנים AWS ו-Google.
כדי לסנן את התוצאות עוד יותר, משתמשים בחלונית Quick Filters ובQuery Editor. כדי להציג רק ממצאים שזוהו על ידי שירות ספציפי, בוחרים את השירות הזה בקטגוריה שם התצוגה של המקור בחלונית מסננים מהירים. לדוגמה, אם רוצים לראות רק ממצאים שזוהו על ידי שירות הזיהוי של CIEM, בוחרים באפשרות CIEM. דוגמאות נוספות:
- קטגוריה: מסנן את תוצאות השאילתה לפי קטגוריות ספציפיות של ממצאים שרוצים לקבל עליהן מידע נוסף.
- מזהה פרויקט: מסנן את תוצאות השאילתה כדי להציג רק ממצאים שקשורים לפרויקט מסוים.
- Resource type: מסננים לשאילתת תוצאות לגבי ממצאים שקשורים לסוג משאב ספציפי.
- חומרה: סינון כדי לשאול את התוצאות לגבי ממצאים ברמת חומרה ספציפית.
- השם המוצג של המקור: מסננים לשאילתת התוצאות של הממצאים שזוהו על ידי שירות ספציפי שזיהה את ההגדרה השגויה.
החלונית Findings query results מורכבת מכמה עמודות שמספקות פרטים על הממצא. בין העמודות האלה, העמודות הבאות רלוונטיות למטרות CIEM:
- חומרה: מוצגת רמת החומרה של ממצא מסוים כדי לעזור לכם לתעדף את הטיפול בבעיה.
- השם המוצג של המשאב: השם של המשאב שבו זוהה הממצא.
- השם המוצג של המקור: השירות שזיהה את הממצא. מקורות שמפיקים ממצאים שקשורים לזהויות כוללים את CIEM, את הכלי להמלצות בנושא IAM, את Security Health Analytics ואת Event Threat Detection.
- Cloud provider: מציג את סביבת הענן שבה זוהתה הממצא, למשל Google Cloud, AWS ו-Microsoft Azure.
- הענקות גישה בעייתיות: מוצג קישור לבדיקת החשבונות שקיבלו תפקידים לא מתאימים.
- Case ID (מספר פנייה): מוצג מספר הפנייה שקשורה לממצא.
מידע נוסף על עבודה עם ממצאים זמין במאמר בדיקה וניהול של ממצאים.
בדיקת ממצאים שקשורים לזהויות ולגישה בפלטפורמות שונות בענן
ב-Security Command Center אפשר לבדוק ממצאים של הגדרות שגויות של זהויות וגישה בסביבות AWS, Microsoft Azure ו- Google Cloud בדף ממצאים ב-Security Command Center.
שירותי זיהוי רבים ושונים של Security Command Center, כמו CIEM, שירות ההמלצות של IAM, Security Health Analytics ו-Event Threat Detection, יוצרים קטגוריות ספציפיות של ממצאים שקשורות ל-CIEM, ומזהים בעיות פוטנציאליות באבטחת הזהויות והגישה בפלטפורמות הענן שלכם.
שירות הזיהוי של CIEM ב-Security Command Center יוצר ממצאים ספציפיים לסביבות AWS ו-Microsoft Azure שלכם, ושירותי הזיהוי של IAM Recommender, Security Health Analytics ו-Event Threat Detection יוצרים ממצאים ספציפיים לסביבת Google Cloudשלכם.
כדי להציג רק ממצאים שזוהו על ידי שירות ספציפי, בוחרים את השירות הזה בקטגוריית המסננים המהירים שם התצוגה של המקור. לדוגמה, אם רוצים לראות רק ממצאים שזוהו על ידי שירות הזיהוי של CIEM, בוחרים באפשרות CIEM.
בטבלה הבאה מתוארים כל הממצאים שנחשבים לחלק מהיכולות של CIEM ב-Security Command Center.
| פלטפורמת ענן | קטגוריית התוצאות | תיאור | מקור |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | זוהו תפקידי IAM שמוקצים באופן אוטומטי בסביבת AWS עם מדיניות הרשאות נרחבת. מידע נוסף זמין במאמר ממצאים של CIEM. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | קבוצות של AWS IAM או AWS IAM Identity Center שזוהו בסביבת AWS עם מדיניות מתירה מאוד. מידע נוסף זמין במאמר ממצאים של CIEM. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | משתמשים ב-AWS IAM או ב-AWS IAM Identity Center שזוהו בסביבת AWS עם מדיניות מתירנית מאוד. מידע נוסף זמין במאמר ממצאים של CIEM. | CIEM |
| AWS | User is inactive
(INACTIVE_USER) | זוהו משתמשים לא פעילים ב-AWS IAM או ב-AWS IAM Identity Center בסביבת AWS שלכם. מידע נוסף זמין במאמר ממצאים של CIEM. | CIEM |
| AWS | Group is inactive
(INACTIVE_GROUP) | קבוצות של AWS IAM או AWS IAM Identity Center שזוהו בסביבת AWS שלכם לא פעילות. מידע נוסף זמין במאמר ממצאים של CIEM. | CIEM |
| AWS | Assumed identity is inactive
(INACTIVE_ASSUMED_IDENTITY) | תפקידי IAM שהוקצו וזוהו בסביבת AWS לא פעילים. מידע נוסף זמין במאמר ממצאים של CIEM. | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity
(OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | מדיניות ההרשאות שמוחלת על תפקיד IAM שמוקצה לו הרשאה היא מדיניות עם הרבה הרשאות. מידע נוסף זמין במאמר ממצאים של CIEM. | CIEM |
| AWS | Assumed identity has lateral movement risk
(ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | זהות אחת או יותר יכולות לנוע לרוחב בסביבת AWS שלכם באמצעות התחזות לתפקיד. מידע נוסף זמין במאמר ממצאים של CIEM. | CIEM |
| Microsoft Azure | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) |
חשבונות שירות או זהויות מנוהלות שזוהו בסביבת Azure שלכם עם הקצאות תפקידים שמאפשרות גישה נרחבת. מידע נוסף זמין במאמר ממצאים של CIEM. | CIEM |
| Microsoft Azure | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) |
קבוצות שזוהו בסביבת Azure עם הקצאות תפקידים מתירות מאוד. מידע נוסף זמין במאמר ממצאים של CIEM. | CIEM |
| Microsoft Azure | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) |
משתמשים שזוהו בסביבת Azure עם הקצאות תפקידים מתירניות מאוד. מידע נוסף זמין במאמר ממצאים של CIEM. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | יש משתמשים שלא משתמשים באימות דו-שלבי. מידע נוסף זמין במאמר ממצאים בנושא אימות רב-שלבי. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | מדדים והתראות ביומן לא מוגדרים למעקב אחרי שינויים בתפקידים בהתאמה אישית. מידע נוסף זמין במאמר מעקב אחרי ממצאי נקודות חולשה. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | אין הפרדה בין התפקידים, ויש משתמש שיש לו בו-זמנית אחד מהתפקידים הבאים ב-Cloud Key Management Service: CryptoKey Encrypter/Decrypter, Encrypter או Decrypter. למידע נוסף, אפשר לקרוא את המאמר ממצאים של נקודות חולשה ב-IAM. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | למשתמש יש אחד מהתפקידים הבסיסיים הבאים: בעלים (roles/owner), עורך (roles/editor) או מציג (roles/viewer). מידע נוסף זמין במאמר ממצאי נקודות חולשה ב-IAM. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | תפקיד IAM של Redis מוקצה ברמת הארגון או התיקייה. מידע נוסף זמין במאמר ממצאי נקודות חולשה ב-IAM. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | למשתמש הוקצו התפקידים Service Account Admin ו-Service Account User. זוהי הפרה של העיקרון 'הפרדת תפקידים'. מידע נוסף זמין במאמר ממצאי נקודות חולשה ב-IAM. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | יש משתמש שלא משתמש בפרטי כניסה ארגוניים. לפי CIS Google Cloud Foundations 1.0, רק זהויות עם כתובות אימייל מסוג @gmail.com מפעילות את המזהה הזה. למידע נוסף, אפשר לקרוא את המאמר ממצאים של נקודות חולשה ב-IAM. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | חשבון בקבוצות Google שאפשר להצטרף אליו בלי אישור משמש כחשבון ראשי במדיניות הרשאות IAM. מידע נוסף זמין במאמר ממצאי נקודות חולשה ב-IAM. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | שירות ההמלצות של IAM זיהה חשבון משתמש עם תפקיד IAM שלא היה בשימוש ב-90 הימים האחרונים. מידע נוסף מופיע במאמר ממצאים של שירות ההמלצות של IAM. | שירות ההמלצות של IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | הכלי להמלצות ב-IAM זיהה חשבון שירות שיש לו תפקיד אחד או יותר ב-IAM שנותנים הרשאות מוגזמות לחשבון המשתמש. מידע נוסף מופיע במאמר ממצאים של שירות ההמלצות של IAM. | שירות ההמלצות של IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
שירות ההמלצות של IAM זיהה שתפקיד ה-IAM המקורי שמוגדר כברירת מחדל לסוכן שירות הוחלף באחד מתפקידי ה-IAM הבסיסיים: בעלים, עריכה או צפייה. תפקידים בסיסיים הם תפקידים מדור קודם עם הרשאות רחבות מדי, ולא מומלץ להקצות אותם לסוכני שירות. מידע נוסף זמין במאמר ממצאי שירות ההמלצות של IAM. | שירות ההמלצות של IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | שירות ההמלצות של IAM זיהה שסוכן שירות קיבל אחד מהתפקידים הבסיסיים של IAM: Owner, Editor או Viewer. תפקידים בסיסיים הם תפקידים מדור קודם עם הרשאות רחבות מדי, ולא מומלץ להקצות אותם לסוכני שירות. מידע נוסף זמין במאמר ממצאי שירות ההמלצות של IAM. | שירות ההמלצות של IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | לחשבון שירות יש הרשאות אדמין, בעלים או עריכה. אסור להקצות את התפקידים האלה לחשבונות שירות שנוצרו על ידי משתמשים. מידע נוסף זמין במאמר ממצאי נקודות חולשה ב-IAM. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | מוגדרת מכונה וירטואלית לשימוש בחשבון השירות שמוגדר כברירת מחדל. מידע נוסף זמין במאמר ממצאים של נקודות חולשה במופעי Compute. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | לחשבון שירות יש גישה רחבה מדי לפרויקט באשכול. מידע נוסף זמין במאמר בנושא ממצאי נקודות חולשה במאגרים. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | למשתמש יש את התפקיד Service Account User או Service Account Token Creator ברמת הפרויקט, במקום בחשבון שירות ספציפי. מידע נוסף זמין במאמר ממצאי נקודות חולשה ב-IAM. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | מפתח של חשבון שירות לא עבר רוטציה במשך יותר מ-90 יום. מידע נוסף זמין במאמר ממצאים של נקודות חולשה ב-IAM. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | לחשבון שירות של צומת יש היקפי גישה רחבים. מידע נוסף זמין במאמר בנושא ממצאי נקודות חולשה במאגרים. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | מפתח קריפטוגרפי של Cloud KMS הוא נגיש לציבור. מידע נוסף זמין במאמר מציאת נקודות חולשה ב-KMS. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | קטגוריה של Cloud Storage נגישה באופן ציבורי. מידע נוסף זמין במאמר בנושא ממצאים של פגיעויות באחסון. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | קטגוריית אחסון שמשמשת כיעד ליומן נגישה באופן ציבורי. מידע נוסף זמין במאמר בנושא ממצאים של פגיעויות באחסון. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | משתמש מנהל מפתח של חשבון שירות. מידע נוסף זמין במאמר ממצאי נקודות חולשה ב-IAM. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | יש יותר משלושה משתמשים במפתחות קריפטוגרפיים. מידע נוסף זמין במאמר מציאת נקודות חולשה ב-KMS. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | למשתמש יש הרשאות בעלים בפרויקט שיש בו מפתחות קריפטוגרפיים. מידע נוסף זמין במאמר מציאת נקודות חולשה ב-KMS. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | המדדים וההתראות ביומן לא מוגדרים למעקב אחרי הקצאות או שינויים של בעלות על פרויקטים. מידע נוסף זמין במאמר מעקב אחרי ממצאי פגיעות. | Security Health Analytics |
סינון ממצאים שקשורים לזהויות ולהרשאות גישה לפי פלטפורמת ענן
בחלונית Findings query results (תוצאות השאילתה של הממצאים), אפשר לראות לאיזו פלטפורמת ענן מתייחס הממצא על ידי בדיקת התוכן של העמודות Cloud provider (ספק שירותי הענן), Resource display name (שם התצוגה של המשאב) או Resource type (סוג המשאב).
בתוצאות של שאילתת הממצאים מוצגים ממצאים שקשורים לזהות ולגישה בסביבות שלGoogle Cloud, AWS ו-Microsoft Azure כברירת מחדל. כדי לערוך את תוצאות השאילתה של הממצאים שמוצגות כברירת מחדל כך שיוצגו רק ממצאים של פלטפורמת ענן מסוימת, בוחרים באפשרות Amazon Web Services או Google Cloud platform בקטגוריה של המסננים המהירים ספק שירותי ענן.
בדיקה מפורטת של ממצאים שקשורים לזהויות ולהרשאות גישה
כדי לקבל מידע נוסף על ממצא שקשור לזהות ולגישה, לוחצים על שם הממצא בעמודה קטגוריה בחלונית ממצאים כדי לפתוח את התצוגה המפורטת של הממצא. מידע נוסף על תצוגת הפרטים של הממצא זמין במאמר הצגת הפרטים של ממצא.
הקטעים הבאים בכרטיסייה סיכום בתצוגת הפרטים יכולים לעזור לכם לחקור ממצאים שקשורים לזהויות ולגישה.
הרשאות גישה לא מוצדקות
בכרטיסייה סיכום בחלונית הפרטים של ממצא, השורה Offending access grants מאפשרת לבדוק במהירות את הגורמים המורשים, כולל זהויות מאוחדות, ואת הגישה שלהם למשאבים שלכם. המידע הזה מופיע רק בממצאים שמתקבלים כשכלי ההמלצות של IAM מזהה חשבונות משתמשים במשאבים עם תפקידים בסיסיים, לא בשימוש ועם הרשאות רחבות מאוד. Google Cloud
לוחצים על בדיקת הרשאות הגישה הבעייתיות כדי לפתוח את החלונית בדיקת הרשאות הגישה הבעייתיות, שכוללת את הפרטים הבאים:
- שם המשתמש הראשי. החשבונות הראשיים שמוצגים בעמודה הזו יכולים להיות שילוב של חשבונות משתמשים, קבוצות, זהויות מאוחדות וחשבונות שירות. Google Cloud
- שם התפקיד שמוקצה לחשבון המשתמש.
- הפעולה המומלצת שאפשר לבצע כדי לתקן את הגישה הבעייתית.
פרטי בקשת התמיכה
בכרטיסייה סיכום בדף הפרטים של ממצא, הקטע פרטי פנייה מוצג אם יש פנייה או כרטיס שתואמים לממצא מסוים.
בקטע פרטי המקרים אפשר לעקוב אחרי מאמצי התיקון של ממצא מסוים. הוא כולל פרטים על בקשת התמיכה הרלוונטית, כמו קישורים לבקשת התמיכה הרלוונטית ולכרטיס במערכת אירועים (Jira או ServiceNow), המקבל, סטטוס בקשת התמיכה והעדיפות שלה.
כדי לגשת לפנייה שמתאימה לממצא, לוחצים על מספר הפנייה בשורה מספר הפנייה.
כדי לגשת לכרטיס Jira או ServiceNow שמתאים לממצא, לוחצים על מספר כרטיס התמיכה בשורה מספר כרטיס התמיכה.
כדי לקשר את מערכות הכרטוס שלכם ל-Security Command Center Enterprise, אפשר לעיין במאמר בנושא שילוב של Security Command Center Enterprise עם מערכות כרטוס.
מידע נוסף על בדיקת מקרים תואמים זמין במאמר בדיקת מקרים של ממצאים שקשורים לזהויות ולהרשאות גישה.
השלבים הבאים
בכרטיסייה סיכום בדף הפרטים של ממצא, בקטע השלבים הבאים מופיעות הוראות מפורטות לתיקון מיידי של הבעיה שזוהתה. ההמלצות האלה מותאמות לממצא הספציפי שאתם צופים בו.
המאמרים הבאים
- איך בודקים ומנהלים את הממצאים
- איך בודקים מקרים של ממצאים שקשורים לזהות ולגישה
- איך בודקים ומנהלים סיכונים שקשורים לזהויות
- מידע נוסף על גלאי CIEM שמפיקים ממצאים ב-AWS וב-Microsoft Azure