Questa pagina spiega come utilizzare i risultati relativi ai problemi di sicurezza correlati all'identità e all'accesso (risultati relativi all'identità e all'accesso) nella consoleGoogle Cloud per esaminare e identificare potenziali errori di configurazione.
Puoi visualizzare i risultati relativi a identità e accesso utilizzando le seguenti pagine di Security Command Center:
- Visualizzazione Identità nella pagina Risultati
- Visualizzazione Identità nella pagina Panoramica dei rischi
Prima di iniziare
Prima di continuare, assicurati di aver completato le seguenti attività:
- Scopri di più sulle funzionalità CIEM di Security Command Center.
- Attiva il servizio di rilevamento CIEM.
Visualizzare i risultati relativi a identità e accesso nella pagina Risultati
La visualizzazione Identità nella pagina Risultati di Security Command Center mostra i risultati relativi a identità e accesso in tutti gli ambienti cloud.
Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.
Seleziona la tua Google Cloud organizzazione.
Seleziona la visualizzazione Identità.
La visualizzazione Identità aggiunge una condizione di filtro per mostrare solo i risultati in cui
il campo domains.category contiene il valore IDENTITY_AND_ACCESS.
Utilizza il riquadro Filtri rapidi e l'editor di query per filtrare ulteriormente i risultati.
Per visualizzare solo i risultati relativi a identità e accesso rilevati da un servizio specifico, seleziona i seguenti valori per Nome visualizzato origine:
CIEM: identifica e accedi ai risultati relativi a Microsoft Azure e AWS.
Motore per suggerimenti IAM: identifica e accedi ai risultati relativi a Google Cloud.
Per filtrare ulteriormente i risultati, utilizza i seguenti attributi:
- Categoria: i filtri eseguono query sui risultati per categorie di risultati specifiche su cui vuoi saperne di più.
- ID progetto: filtra i risultati della query in base ai risultati che riguardano un progetto specifico.
- Tipo di risorsa: filtra per eseguire query sui risultati per i risultati che riguardano un tipo di risorsa specifico.
- Gravità: filtri per eseguire query sui risultati per i risultati di una gravità specifica.
Il riquadro Risultati della query sui risultati è composto da diverse colonne che forniscono dettagli sul risultato. Tra queste, le seguenti colonne sono di interesse per gli scopi di CIEM:
- Gravità: mostra la gravità di un determinato risultato per aiutarti a dare la priorità alla correzione.
- Nome visualizzato risorsa: mostra la risorsa in cui è stata rilevata la scoperta.
- Nome visualizzato origine: mostra il servizio che ha rilevato il risultato. Le origini che producono risultati correlati all'identità includono CIEM, IAM Recommender, Security Health Analytics ed Event Threat Detection.
- Provider cloud: mostra l'ambiente cloud in cui è stato rilevato il risultato, ad esempio Google Cloud, AWS e Microsoft Azure.
- Concessioni di accesso illecite: mostra un link per esaminare le entità a cui potenzialmente sono stati concessi ruoli inappropriati.
- ID caso: mostra il numero ID del caso correlato al risultato. (livello di servizio Enterprise)
Per saperne di più sull'utilizzo dei risultati, vedi Esaminare e gestire i risultati.
Esaminare in dettaglio un risultato relativo a identità e accesso
Per saperne di più su un risultato relativo a identità e accesso, apri la visualizzazione dettagliata del risultato facendo clic sul nome del risultato nella colonna Categoria del riquadro Risultati. Per saperne di più sulla visualizzazione dei dettagli dei risultati, consulta Visualizzare i dettagli di un risultato.
Le seguenti sezioni della scheda Riepilogo della visualizzazione dei dettagli del risultato sono utili per esaminare i risultati relativi a identità e accesso.
Concessioni di accesso illecite
Nella scheda Riepilogo del riquadro dei dettagli di un risultato, la riga Concessioni di accesso illecite consente di esaminare rapidamente i principal, incluse le identità federate, e il loro accesso alle tue risorse. Queste informazioni vengono visualizzate solo per i risultati quando il motore per suggerimenti IAM rileva entità sulle risorse Google Cloud con ruoli di base, inutilizzati e altamente permissivi.
Fai clic su Esamina le concessioni di accesso illecite per aprire il riquadro Esamina le concessioni di accesso illecite, che contiene le seguenti informazioni:
- Il nome del preside. Le entità visualizzate in questa colonna possono essere un mix di account utente, gruppi, identità federate e service account. Google Cloud
- Il nome del ruolo concesso all'entità.
- L'azione consigliata che puoi intraprendere per correggere l'accesso in violazione.
Informazioni sulla richiesta
Nella scheda Riepilogo della pagina dei dettagli di un risultato, la sezione Informazioni sul caso viene visualizzata quando esiste una richiesta o un ticket corrispondente a un determinato risultato.
La sezione Informazioni sui casi consente di monitorare gli interventi correttivi per un determinato risultato. Fornisce dettagli sul caso corrispondente, ad esempio link a eventuali casi corrispondenti e al sistema di gestione dei ticket (Jira o ServiceNow), l'assegnatario, lo stato e la priorità del caso.
Per accedere alla richiesta corrispondente al risultato, fai clic sul numero case ID nella riga ID richiesta.
Per accedere al ticket Jira o ServiceNow corrispondente al risultato, fai clic sul numero ID ticket nella riga ID ticket.
Per connettere i tuoi sistemi di gestione dei ticket a Security Command Center Enterprise, consulta Integrare Security Command Center Enterprise con i sistemi di gestione dei ticket.
Per saperne di più sull'esame dei casi corrispondenti, vedi Esaminare i casi di risultati relativi a identità e accesso.
Passaggi successivi
Nella scheda Riepilogo della pagina dei dettagli di un risultato, la sezione Passaggi successivi fornisce indicazioni passo passo su come risolvere immediatamente il problema rilevato. Questi consigli sono personalizzati in base al risultato specifico che stai visualizzando.
Risultati relativi all'identità e all'accesso generati per ogni piattaforma cloud
Diversi servizi Security Command Center, come CIEM, IAM Recommender, Security Health Analytics ed Event Threat Detection, generano categorie di risultati specifiche per CIEM che rilevano potenziali problemi di sicurezza di identità e accesso per le tue piattaforme cloud.
Il servizio di rilevamento CIEM genera risultati specifici per i tuoi ambienti AWS e Microsoft Azure. I servizi motore per suggerimenti IAM, Security Health Analytics e Event Threat Detection generano risultati specifici per il tuo ambiente Google Cloud .
La tabella seguente descrive tutti i risultati che fanno parte delle funzionalità CIEM di Security Command Center.
| Piattaforma cloud | Categoria risultati | Descrizione | Origine |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Ruoli IAM presupposti rilevati nel tuo ambiente AWS con criteri altamente permissivi. Per saperne di più, consulta Risultati CIEM. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Gruppi AWS IAM o AWS IAM Identity Center rilevati nel tuo ambiente AWS con criteri altamente permissivi. Per saperne di più, consulta Risultati CIEM. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Utenti AWS IAM o AWS IAM Identity Center rilevati nel tuo ambiente AWS con criteri altamente permissivi. Per saperne di più, consulta Risultati CIEM. | CIEM |
| AWS | User is inactive
(INACTIVE_USER) | Nel tuo ambiente AWS vengono rilevati utenti AWS IAM o AWS IAM Identity Center inattivi. Per saperne di più, consulta Risultati CIEM. | CIEM |
| AWS | Group is inactive
(INACTIVE_GROUP) | I gruppi AWS IAM o AWS IAM Identity Center rilevati nel tuo ambiente AWS non sono attivi. Per saperne di più, consulta Risultati CIEM. | CIEM |
| AWS | Assumed identity is inactive
(INACTIVE_ASSUMED_IDENTITY) | I ruoli IAM assunti rilevati nel tuo ambiente AWS sono inattivi. Per saperne di più, consulta Risultati CIEM. | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity
(OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | Il criterio di attendibilità applicato a un ruolo IAM assunto è molto permissivo. Per saperne di più, consulta Risultati CIEM. | CIEM |
| AWS | Assumed identity has lateral movement risk
(ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | Una o più identità possono spostarsi lateralmente nel tuo ambiente AWS tramite la rappresentazione di ruoli. Per saperne di più, consulta Risultati CIEM. | CIEM |
| Microsoft Azure | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) |
Service principal o identità gestite rilevati nel tuo ambiente Azure con assegnazioni di ruolo altamente permissive. Per saperne di più, consulta Risultati CIEM. | CIEM |
| Microsoft Azure | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) |
Gruppi rilevati nel tuo ambiente Azure con assegnazioni di ruolo altamente permissive. Per saperne di più, consulta Risultati CIEM. | CIEM |
| Microsoft Azure | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) |
Utenti rilevati nel tuo ambiente Azure con assegnazioni di ruolo altamente permissive. Per saperne di più, consulta Risultati CIEM. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Alcuni utenti non utilizzano la verifica in due passaggi. Per saperne di più, consulta Risultati dell'autenticazione a più fattori. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche ai ruoli personalizzati. Per saperne di più, consulta Monitoraggio dei risultati delle vulnerabilità. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | La separazione dei compiti non è applicata e esiste un utente che dispone contemporaneamente di uno dei seguenti ruoli Cloud Key Management Service: CryptoKey Encrypter/Decrypter, Encrypter o Decrypter. Per saperne di più, consulta Risultati delle vulnerabilità di IAM. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Un utente ha uno dei seguenti ruoli di base: Proprietario (roles/owner), Editor (roles/editor) o Visualizzatore (roles/viewer). Per saperne di più, consulta Risultati delle vulnerabilità IAM. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Un ruolo IAM Redis viene assegnato a livello di organizzazione o cartella. Per saperne di più, consulta Risultati delle vulnerabilità di IAM. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | A un utente sono stati assegnati i ruoli Amministratore service account e Utente service account. Ciò viola il principio della "separazione dei compiti". Per saperne di più, consulta Risultati delle vulnerabilità di IAM. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Esiste un utente che non utilizza le credenziali dell'organizzazione. Per CIS Google Cloud Foundations 1.0, solo le identità con indirizzi email @gmail.com attivano questo rilevatore. Per saperne di più, consulta Risultati delle vulnerabilità di IAM. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Un account Google Gruppi a cui è possibile iscriversi senza approvazione viene utilizzato come entità dei criteri IAM. Per saperne di più, consulta Risultati delle vulnerabilità di IAM. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | IAM Recommender ha rilevato un account utente con un ruolo IAM che non è stato utilizzato negli ultimi 90 giorni. Per saperne di più, consulta Risultati del motore per suggerimenti IAM. | Motore per suggerimenti IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | IAM Recommender ha rilevato un account di servizio con uno o più ruoli IAM che concedono autorizzazioni eccessive all'account utente. Per saperne di più, consulta Risultati del motore per suggerimenti IAM. | Motore per suggerimenti IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
IAM Recommender ha rilevato che il ruolo IAM predefinito originale concesso a un service agent è stato sostituito con uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi ai service agent. Per saperne di più, consulta Risultati del motore per suggerimenti IAM. | Motore per suggerimenti IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | IAM Recommender ha rilevato che a un service agent è stato concesso uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi ai service agent. Per saperne di più, consulta Risultati del motore per suggerimenti IAM. | Motore per suggerimenti IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Un account di servizio ha privilegi di Amministratore, Proprietario o Editor. Questi ruoli non devono essere assegnati a service account creati dall'utente. Per saperne di più, consulta Risultati delle vulnerabilità di IAM. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Un'istanza è configurata per utilizzare il account di servizio predefinito. Per saperne di più, consulta Risultati delle vulnerabilità delle istanze di Compute. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Un account di servizio ha un accesso al progetto eccessivamente ampio in un cluster. Per saperne di più, consulta Risultati delle vulnerabilità dei container. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Un utente ha il ruolo Utente service account o Creatore token service account a livello di progetto, anziché per un account di servizio specifico. Per saperne di più, consulta Risultati delle vulnerabilità di IAM. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Una chiave del account di servizio non è stata ruotata per più di 90 giorni. Per saperne di più, consulta Risultati delle vulnerabilità di IAM. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Un account di servizio del nodo ha ambiti di accesso ampi. Per saperne di più, consulta Risultati delle vulnerabilità dei container. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Una chiave di crittografia Cloud KMS è accessibile pubblicamente. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di KMS. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Un bucket Cloud Storage è accessibile pubblicamente. Per saperne di più, consulta Risultati delle vulnerabilità dello spazio di archiviazione. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Un bucket di archiviazione utilizzato come sink di log è accessibile pubblicamente. Per saperne di più, consulta Risultati delle vulnerabilità dello spazio di archiviazione. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Un utente gestisce una chiaveaccount di serviziot. Per saperne di più, consulta Risultati delle vulnerabilità di IAM. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Esistono più di tre utenti di chiavi di crittografia. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di KMS. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Un utente dispone delle autorizzazioni di Proprietario per un progetto protetto da chiavi di crittografia. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di KMS. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Le metriche di log e gli avvisi non sono configurati per monitorare le assegnazioni o le modifiche alla proprietà del progetto. Per saperne di più, consulta Monitoraggio dei risultati delle vulnerabilità. | Security Health Analytics |
Passaggi successivi
- Scopri come esaminare e gestire i risultati.
- Scopri come esaminare i casi di risultati di identità e accesso.
- Scopri come esaminare e gestire i rischi per l'identità in Policy Intelligence.
- Scopri di più sui detector CIEM che generano risultati.
- Scopri di più sui detector del motore per suggerimenti IAM che generano risultati.