Esta página explica como trabalhar com as conclusões relativas a problemas de segurança relacionados com a identidade e o acesso (conclusões relativas à identidade e ao acesso) naGoogle Cloud consola para investigar e identificar potenciais configurações incorretas.
Como parte das capacidades de gestão de autorizações da infraestrutura na nuvem (CIEM) oferecidas com o nível Enterprise, o Security Command Center gera resultados de identidade e acesso e torna-os facilmente acessíveis na página Vista geral de riscos do Security Command Center. Estas conclusões são organizadas e categorizadas no painel Conclusões de identidade e acesso.
Antes de começar
Certifique-se de que concluiu as seguintes tarefas antes de continuar:
- Saiba mais sobre as capacidades de CIEM do Centro de comandos de segurança.
- Configure as autorizações para a CIEM.
- Ative o serviço de deteção de CIEM para a sua nuvem.
Veja as conclusões de identidade e acesso na página Conclusões
A vista Identidade na página Resultados do Security Command Center apresenta resultados de identidade e acesso nos seus ambientes de nuvem, como o Google Cloud e os Amazon Web Services (AWS).
Na Google Cloud consola, aceda à página Resultados do Centro de comando de segurança.
Selecione a sua Google Cloud organização.
Selecione a vista Identidade.
A vista Identidade adiciona uma condição de filtro para apresentar apenas as conclusões em que o campo domains.category contém o valor IDENTITY_AND_ACCESS.
Para apresentar apenas resultados de uma plataforma na nuvem específica, use os botões AWS e Google.
Use o painel Filtros rápidos e o Editor de consultas para filtrar ainda mais os resultados. Para ver apenas as conclusões detetadas por um serviço específico, selecione esse serviço na categoria Nome a apresentar da origem no painel Filtros rápidos. Por exemplo, se quiser ver apenas as conclusões detetadas pelo serviço de deteção de CIEM, selecione CIEM. Outros exemplos incluem o seguinte:
- Categoria: os filtros consultam os resultados de categorias de descobertas específicas sobre as quais quer saber mais.
- ID do projeto: as consultas filtram os resultados para encontrar conclusões relacionadas com um projeto específico.
- Tipo de recurso: filtros para consultar os resultados de conclusões relacionadas com um tipo de recurso específico.
- Gravidade: filtros para consultar os resultados de conclusões de uma gravidade específica.
- Nome a apresentar da origem: filtros para consultar os resultados de conclusões detetadas por um serviço específico que detetou a configuração incorreta.
O painel Resultados da consulta de constatações é composto por várias colunas que fornecem detalhes sobre a constatação. Entre elas, as seguintes colunas são de interesse para fins de CIEM:
- Gravidade: apresenta a gravidade de uma determinada descoberta para ajudar a priorizar a correção.
- Nome a apresentar do recurso: apresenta o recurso onde a descoberta foi detetada.
- Nome a apresentar da origem: apresenta o serviço que detetou a descoberta. As fontes que produzem resultados relacionados com a identidade incluem o CIEM, o IAM recommender, o Security Health Analytics e a deteção de ameaças de eventos.
- Fornecedor de nuvem: apresenta o ambiente de nuvem onde a descoberta foi detetada, como Google Cloud, AWS e Microsoft Azure.
- Concessões de acesso ofensivas: apresenta um link para rever os responsáveis a quem foram potencialmente concedidas funções impróprias.
- ID do registo: apresenta o número de ID do registo relacionado com a constatação.
Para mais informações sobre como trabalhar com as descobertas, consulte o artigo Reveja e faça a gestão das descobertas.
Investigue as conclusões de identidade e acesso para diferentes plataformas na nuvem
O Security Command Center permite-lhe investigar resultados de configuração incorreta de identidade e acesso para os seus ambientes do AWS, Microsoft Azure e Google Cloud na página Resultados do Security Command Center.
Muitos serviços de deteção do Security Command Center diferentes, como o CIEM, o Recomendador de IAM, o Security Health Analytics e a Deteção de ameaças de eventos, geram categorias de resultados específicas do CIEM que detetam potenciais problemas de segurança de identidade e acesso para as suas plataformas na nuvem.
O serviço de deteção de CIEM do Security Command Center gera conclusões específicas para os seus ambientes AWS e Microsoft Azure, e os serviços de deteção do IAM recommender, do Security Health Analytics e do Event Threat Detection geram conclusões específicas para o seu ambiente Google Cloud.
Para ver apenas as deteções de um serviço específico, selecione esse serviço na categoria de filtros rápidos Nome a apresentar da origem. Por exemplo, se quiser ver apenas as conclusões detetadas pelo serviço de deteção de CIEM, selecione CIEM.
A tabela seguinte descreve todas as conclusões consideradas parte das capacidades de CIEM do Security Command Center.
| Plataforma na nuvem | Categoria dos resultados | Descrição | Origem |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Funções IAM assumidas detetadas no seu ambiente da AWS com políticas altamente permissivas. Para mais informações, consulte as conclusões do CIEM. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Grupos do AWS IAM ou do AWS IAM Identity Center detetados no seu ambiente da AWS com políticas altamente permissivas. Para mais informações, consulte as conclusões da CIEM. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Utilizadores do AWS IAM ou do AWS IAM Identity Center detetados no seu ambiente da AWS com políticas altamente permissivas. Para mais informações, consulte as conclusões da CIEM. | CIEM |
| AWS | User is inactive
(INACTIVE_USER) | São detetados utilizadores inativos do AWS IAM ou do AWS IAM Identity Center no seu ambiente da AWS. Para mais informações, consulte as conclusões do CIEM. | CIEM |
| AWS | Group is inactive
(INACTIVE_GROUP) | Os grupos do AWS IAM ou do AWS IAM Identity Center detetados no seu ambiente da AWS não estão ativos. Para mais informações, consulte as conclusões do CIEM. | CIEM |
| AWS | Assumed identity is inactive
(INACTIVE_ASSUMED_IDENTITY) | As funções de IAM assumidas detetadas no seu ambiente da AWS estão inativas. Para mais informações, consulte as conclusões do CIEM. | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity
(OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | A política de confiança aplicada a uma função IAM assumida é altamente permissiva. Para mais informações, consulte as conclusões do CIEM. | CIEM |
| AWS | Assumed identity has lateral movement risk
(ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | Uma ou mais identidades podem mover-se lateralmente no seu ambiente da AWS através da representação de funções. Para mais informações, consulte as conclusões do CIEM. | CIEM |
| Microsoft Azure | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) |
Principais serviços ou identidades geridas detetados no seu ambiente do Azure com atribuições de funções altamente permissivas. Para mais informações, consulte as conclusões do CIEM. | CIEM |
| Microsoft Azure | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) |
Grupos detetados no seu ambiente do Azure com atribuições de funções altamente permissivas. Para mais informações, consulte as conclusões da CIEM. | CIEM |
| Microsoft Azure | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) |
Utilizadores detetados no seu ambiente do Azure com atribuições de funções altamente permissivas. Para mais informações, consulte as conclusões da CIEM. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Existem utilizadores que não estão a usar a validação em dois passos. Para mais informações, consulte o artigo Resultados da autenticação multifator. | Análise do estado de segurança |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | As métricas e os alertas de registo não estão configurados para monitorizar alterações de funções personalizadas. Para mais informações, consulte o artigo Monitorização de resultados de vulnerabilidades. | Análise do estado de segurança |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | A separação de funções não é aplicada e existe um utilizador que tem qualquer uma das seguintes funções do Cloud Key Management Service ao mesmo tempo: encriptador/desencriptador de CryptoKey, encriptador ou desencriptador. Para mais informações, consulte as conclusões de vulnerabilidades da IAM. | Análise do estado de segurança |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Um utilizador tem uma das seguintes funções básicas: Proprietário (roles/owner), Editor (roles/editor) ou Leitor (roles/viewer). Para mais informações, consulte as conclusões de vulnerabilidades de IAM. | Análise do estado de segurança |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Uma função do IAM do Redis é atribuída ao nível da organização ou da pasta. Para mais informações, consulte as conclusões de vulnerabilidades do IAM. | Análise do estado de segurança |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Um utilizador tem as funções Administrador da conta de serviço e Utilizador da conta de serviço atribuídas. Isto viola o princípio da "Separação de funções". Para mais informações, consulte as conclusões de vulnerabilidades do IAM. | Análise do estado de segurança |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Existe um utilizador que não está a usar credenciais organizacionais. De acordo com a CIS Google Cloud Foundations 1.0, apenas as identidades com endereços de email @gmail.com acionam este detetor. Para mais informações, consulte as conclusões de vulnerabilidades da IAM. | Análise do estado de segurança |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Uma conta do Google Groups que pode ser associada sem aprovação é usada como um principal da política de autorização do IAM. Para mais informações, consulte as conclusões de vulnerabilidades do IAM. | Análise do estado de segurança |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | O recomendador do IAM detetou uma conta de utilizador que tem uma função do IAM que não foi usada nos últimos 90 dias. Para mais informações, consulte as conclusões do recomendador do IAM. | Recomendador de IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | O recomendador de IAM detetou uma conta de serviço que tem uma ou mais funções de IAM que concedem autorizações excessivas à conta de utilizador. Para mais informações, consulte as conclusões do recomendador do IAM. | Recomendador de IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
O recomendador de IAM detetou que a função de IAM predefinida original concedida a um agente de serviço foi substituída por uma das funções de IAM básicas: proprietário, editor ou leitor. As funções básicas são funções antigas excessivamente permissivas e não devem ser concedidas a agentes de serviço. Para mais informações, consulte as conclusões do recomendador do IAM. | Recomendador de IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | O recomendador do IAM detetou que foi concedida a um agente de serviço uma das funções básicas do IAM: Proprietário, Editor ou Visualizador. As funções básicas são funções antigas excessivamente permissivas e não devem ser concedidas a agentes de serviço. Para mais informações, consulte as conclusões do recomendador do IAM. | Recomendador de IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Uma conta de serviço tem privilégios de administrador, proprietário ou editor. Estas funções não devem ser atribuídas a contas de serviço criadas pelo utilizador. Para mais informações, consulte as conclusões de vulnerabilidades do IAM. | Análise do estado de segurança |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Uma instância está configurada para usar a conta de serviço predefinida. Para mais informações, consulte o artigo Calcule as conclusões de vulnerabilidades de instâncias. | Análise do estado de segurança |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Uma conta de serviço tem acesso ao projeto excessivamente amplo num cluster. Para mais informações, consulte o artigo Resultados de vulnerabilidades de contentores. | Análise do estado de segurança |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Um utilizador tem a função Utilizador da conta de serviço ou Criador de tokens da conta de serviço ao nível do projeto, em vez de para uma conta de serviço específica. Para mais informações, consulte as conclusões de vulnerabilidades do IAM. | Análise do estado de segurança |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Uma chave da conta de serviço não é alterada há mais de 90 dias. Para mais informações, consulte as conclusões de vulnerabilidades do IAM. | Análise do estado de segurança |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Uma conta de serviço do nó tem âmbitos de acesso amplos. Para mais informações, consulte o artigo Resultados de vulnerabilidades de contentores. | Análise do estado de segurança |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Uma chave criptográfica do Cloud KMS é acessível publicamente. Para mais informações, consulte as conclusões de vulnerabilidades do KMS. | Análise do estado de segurança |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Um contentor do Cloud Storage é acessível publicamente. Para mais informações, consulte as conclusões de vulnerabilidades de armazenamento. | Análise do estado de segurança |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Um contentor de armazenamento usado como um destino de registos é acessível publicamente. Para mais informações, consulte as conclusões de vulnerabilidades de armazenamento. | Análise do estado de segurança |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Um utilizador gere uma chave de conta de serviço. Para mais informações, consulte as conclusões de vulnerabilidades do IAM. | Análise do estado de segurança |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Existem mais de três utilizadores de chaves criptográficas. Para mais informações, consulte as conclusões de vulnerabilidades do KMS. | Análise do estado de segurança |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Um utilizador tem autorizações de proprietário num projeto que tem chaves criptográficas. Para mais informações, consulte as conclusões de vulnerabilidades do KMS. | Análise do estado de segurança |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | As métricas e os alertas de registo não estão configurados para monitorizar atribuições ou alterações de propriedade do projeto. Para mais informações, consulte o artigo Monitorizar resultados de vulnerabilidades. | Análise do estado de segurança |
Filtre as conclusões de identidade e acesso por plataforma de nuvem
No painel Resultados da consulta de conclusões, pode saber a que plataforma de nuvem uma determinada conclusão se refere inspecionando o conteúdo das colunas Fornecedor de nuvem, Nome a apresentar do recurso ou Tipo de recurso.
A identidade de apresentação Finding query results e os resultados de acesso para ambientesGoogle Cloud, AWS e Microsoft Azure por predefinição. Para editar os resultados da consulta de deteção predefinidos para apresentar apenas deteções de uma determinada plataforma na nuvem, selecione Amazon Web Services ou Google Cloud Platform na categoria de filtros rápidos Fornecedor de nuvem.
Inspecione detalhadamente as conclusões de identidade e acesso
Para saber mais sobre uma descoberta de identidade e acesso, abra a vista detalhada da descoberta clicando no nome da descoberta na coluna Categoria no painel Descobertas. Para mais informações acerca da vista de detalhes da descoberta, consulte o artigo Veja os detalhes de uma descoberta.
As secções seguintes no separador Resumo da vista de detalhes são úteis quando investiga conclusões de identidade e acesso.
Concessões de acesso ofensivas
No separador Resumo do painel de detalhes de uma descoberta, a linha Concessões de acesso ofensivas oferece uma forma de inspecionar rapidamente os responsáveis, incluindo identidades federadas, e o respetivo acesso aos seus recursos. Estas informações só aparecem para as conclusões quando o recomendador da IAM deteta responsáveis em Google Cloud recursos com funções básicas, não usadas e altamente permissivas.
Clique em Reveja as concessões de acesso ofensivas para abrir o painel Reveja as concessões de acesso ofensivas, que contém as seguintes informações:
- O nome do principal. Os principais apresentados nesta coluna podem ser uma mistura de Google Cloud contas de utilizador, grupos, identidades federadas e contas de serviço.
- O nome da função concedida ao principal.
- A ação recomendada que pode tomar para corrigir o acesso ofensivo.
Informações do registo
No separador Resumo da página de detalhes de uma deteção, a secção Informações do registo é apresentada quando existe um registo ou um pedido que corresponde a uma deteção específica.
A secção Informações sobre casos oferece uma forma de acompanhar os esforços de remediação para uma determinada descoberta. Fornece detalhes sobre o registo correspondente, como links para qualquer registo correspondente e o registo do sistema de emissão de bilhetes (Jira ou ServiceNow), o responsável, o estado do registo e a prioridade do registo.
Para aceder ao registo correspondente à constatação, clique no número do ID do registo na linha ID do registo.
Para aceder ao pedido do Jira ou ServiceNow correspondente à descoberta, clique no número do ID do pedido na linha ID do pedido.
Para associar os seus sistemas de emissão de bilhetes ao Security Command Center Enterprise, consulte o artigo Integre o Security Command Center Enterprise com sistemas de emissão de bilhetes.
Para mais informações sobre a revisão dos casos correspondentes, consulte o artigo Reveja os casos de deteção de identidade e acesso.
Passos seguintes
No separador Resumo da página de detalhes de uma deteção, a secção Passos seguintes fornece orientações passo a passo sobre como corrigir imediatamente o problema detetado. Estas recomendações são adaptadas à descoberta específica que está a ver.
O que se segue?
- Saiba como rever e gerir resultados.
- Saiba como rever casos de deteção de identidade e acesso.
- Saiba mais sobre os detetores de CIEM que geram resultados da AWS e do Microsoft Azure.