Nesta página, explicamos como trabalhar com descobertas de problemas de segurança relacionados a identidade e acesso (descobertas de identidade e acesso) no consoleGoogle Cloud para investigar e identificar possíveis configurações incorretas.
É possível conferir descobertas de identidade e acesso usando as seguintes páginas do Security Command Center:
- Visualização Identidade na página Descobertas
- Visualização Identidade na página Visão geral de riscos
Antes de começar
Antes de continuar, verifique se você concluiu as seguintes tarefas:
- Saiba mais sobre os recursos de CIEM do Security Command Center.
- Ative o serviço de detecção de CIEM.
Conferir descobertas de identidade e acesso na página "Descobertas"
A visualização Identidade na página Descobertas do Security Command Center mostra descobertas de identidade e acesso em todos os ambientes de nuvem.
No console do Google Cloud , acesse a página Descobertas do Security Command Center.
Selecione sua Google Cloud organização.
Selecione a visualização Identidade.
A visualização Identidade adiciona uma condição de filtro para mostrar apenas descobertas em que o campo domains.category contém o valor IDENTITY_AND_ACCESS.
Use o painel Filtros rápidos e o Editor de consultas para refinar os resultados.
Para ver apenas as descobertas de identidade e acesso detectadas por um serviço específico, selecione os seguintes valores de Nome de exibição da origem:
CIEM: identifique e acesse descobertas relacionadas ao Microsoft Azure e à AWS.
Recomendador do IAM: identifique e acesse descobertas relacionadas a Google Cloud.
Para filtrar ainda mais as descobertas, use os seguintes atributos:
- Categoria: filtra os resultados da consulta para categorias específicas de descobertas sobre as quais você quer saber mais.
- ID do projeto: os filtros consultam os resultados de descobertas relacionadas a um projeto específico.
- Tipo de recurso: filtra para consultar os resultados de descobertas relacionadas a um tipo de recurso específico.
- Gravidade: filtros para consultar os resultados de descobertas de uma gravidade específica.
O painel Resultados da consulta de descobertas consiste em várias colunas que fornecem detalhes sobre a descoberta. Entre elas, as seguintes colunas são de interesse para fins de CIEM:
- Gravidade: mostra a gravidade de uma determinada descoberta para ajudar você a priorizar a correção.
- Nome de exibição do recurso: mostra o recurso em que a descoberta foi detectada.
- Nome de exibição da origem: mostra o serviço que detectou a descoberta. As fontes que produzem descobertas relacionadas à identidade incluem CIEM, recomendador do IAM, Análise de integridade da segurança e Event Threat Detection.
- Provedor de nuvem: mostra o ambiente de nuvem em que a descoberta foi detectada, como Google Cloud, AWS e Microsoft Azure.
- Concessões de acesso inadequado: mostra um link para revisar os principais que podem ter recebido papéis inadequados.
- ID do caso: mostra o número de ID do caso relacionado à descoberta. (nível de serviço Enterprise)
Para mais informações sobre como trabalhar com descobertas, consulte Analisar e gerenciar descobertas.
Inspecionar uma descoberta de identidade e acesso em detalhes
Para saber mais sobre uma descoberta de identidade e acesso, abra a visualização detalhada dela clicando no nome na coluna Categoria do painel Descobertas. Para mais informações sobre a visualização de detalhes da descoberta, consulte Ver os detalhes de uma descoberta.
As seções a seguir na guia Resumo da visualização de detalhes da descoberta são úteis ao investigar descobertas de identidade e acesso.
Concessões de acesso ofensivo
Na guia Resumo do painel de detalhes de uma descoberta, a linha Concessões de acesso ofensivas oferece uma maneira de inspecionar rapidamente os principais, incluindo identidades federadas, e o acesso deles aos seus recursos. Essas informações só aparecem para descobertas quando o recomendador do IAM detecta principais em recursos do Google Cloud com papéis básicos, altamente permissivos e não utilizados.
Clique em Analisar concessões de acesso ofensivo para abrir o painel Analisar concessões de acesso ofensivo, que contém as seguintes informações:
- O nome do principal. Os principais mostrados nessa coluna podem ser uma mistura de contas de usuário, grupos, identidades federadas e contas de serviço do Google Cloud .
- O nome do papel concedido ao principal.
- A ação recomendada que você pode tomar para corrigir o acesso ofensivo.
Informações do caso
Na guia Resumo da página de detalhes de uma descoberta, a seção Informações do caso aparece quando há um caso ou tíquete correspondente a uma descoberta específica.
A seção Informações sobre casos oferece uma maneira de acompanhar os esforços de correção de uma descoberta específica. Ele fornece detalhes sobre o caso correspondente, como links para qualquer caso e tíquete do sistema de emissão de tíquetes (Jira ou ServiceNow) correspondentes, o destinatário, o status e a prioridade do caso.
Para acessar o caso correspondente à descoberta, clique no número do ID do caso na linha ID do caso.
Para acessar o tíquete do Jira ou do ServiceNow correspondente à descoberta, clique no número do ID do tíquete na linha ID do tíquete.
Para conectar seus sistemas de tíquetes ao Security Command Center Enterprise, consulte Integrar o Security Command Center Enterprise a sistemas de tíquetes.
Para mais informações sobre como analisar casos correspondentes, consulte Analisar casos de descoberta de identidade e acesso.
Próximas etapas
Na guia Resumo da página de detalhes de uma descoberta, a seção Próximas etapas fornece orientações detalhadas sobre como corrigir imediatamente o problema detectado. Essas recomendações são adaptadas à descoberta específica que você está visualizando.
Descobertas de identidade e acesso geradas para cada plataforma de nuvem
Vários serviços do Security Command Center, como CIEM, recomendador do IAM, Análise de integridade da segurança e Event Threat Detection, geram categorias de descobertas específicas do CIEM que detectam possíveis problemas de segurança de identidade e acesso nas plataformas de nuvem.
O serviço de detecção de CIEM gera descobertas específicas para seus ambientes da AWS e do Microsoft Azure. Os serviços de recomendador do IAM, Análise de integridade da segurança e Event Threat Detection geram descobertas específicas para seu ambiente Google Cloud .
A tabela a seguir descreve todas as descobertas que fazem parte dos recursos de CIEM do Security Command Center.
| Plataforma da nuvem | Categoria da descoberta | Descrição | Origem |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Funções do IAM assumidas detectadas no seu ambiente da AWS com políticas altamente permissivas. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Grupos do AWS IAM ou da Central de identificação do AWS IAM detectados no seu ambiente da AWS com políticas altamente permissivas. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Usuários do AWS IAM ou da Central de identificação do AWS IAM detectados no seu ambiente da AWS com políticas altamente permissivas. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| AWS | User is inactive
(INACTIVE_USER) | Usuários inativos do AWS IAM ou da Central de identificação do AWS IAM são detectados no seu ambiente da AWS. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| AWS | Group is inactive
(INACTIVE_GROUP) | Os grupos do AWS IAM ou da Central de identificação do AWS IAM detectados no seu ambiente da AWS não estão ativos. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| AWS | Assumed identity is inactive
(INACTIVE_ASSUMED_IDENTITY) | As funções do IAM assumidas detectadas no seu ambiente da AWS estão inativas. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity
(OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | A política de confiança aplicada a um papel do IAM assumido é altamente permissiva. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| AWS | Assumed identity has lateral movement risk
(ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | Uma ou mais identidades podem se mover lateralmente no seu ambiente da AWS por representação de função. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| Microsoft Azure | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) |
Principais de serviço ou identidades gerenciadas detectadas no ambiente do Azure com atribuições de papéis altamente permissivas. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| Microsoft Azure | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) |
Grupos detectados no seu ambiente do Azure com atribuições de papéis altamente permissivas. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| Microsoft Azure | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) |
Usuários detectados no seu ambiente do Azure com atribuições de papéis altamente permissivas. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Há usuários que não estão usando a verificação em duas etapas. Para mais informações, consulte Descobertas da autenticação multifator. | Análise de integridade da segurança |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | As métricas e os alertas de registro não estão configurados para monitorar as mudanças de papéis personalizados. Para mais informações, consulte Monitorar descobertas de vulnerabilidade. | Análise de integridade da segurança |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | A separação de tarefas não é aplicada e existe um usuário que tem um dos seguintes papéis do Cloud Key Management Service ao mesmo tempo: Criptografador/Descriptografador de CryptoKey, Criptografador ou Descriptografador. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Análise de integridade da segurança |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Um usuário tem um dos seguintes papéis básicos: Proprietário (roles/owner), Editor (roles/editor) ou Leitor (roles/viewer). Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Análise de integridade da segurança |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Um papel do Redis IAM é atribuído no nível da organização ou da pasta. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Análise de integridade da segurança |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Um usuário recebeu os papéis de Administrador da conta de serviço e Usuário da conta de serviço. Isso viola o princípio de "Separação de tarefas". Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Análise de integridade da segurança |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Há um usuário que não está usando credenciais organizacionais. De acordo com o CIS Google Cloud Foundations 1.0, apenas identidades com endereços de e-mail @gmail.com acionam esse detector. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Análise de integridade da segurança |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Uma conta dos Grupos do Google que pode ser mesclada sem aprovação é usada como principal da política de permissão do IAM. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Análise de integridade da segurança |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | O recomendador do IAM detectou uma conta de usuário com um papel do IAM que não foi usado nos últimos 90 dias. Para mais informações, consulte Descobertas do recomendador do IAM. | Recomendador IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | O recomendador do IAM detectou uma conta de serviço com um ou mais papéis do IAM que concedem permissões excessivas à conta de usuário. Para mais informações, consulte Descobertas do recomendador do IAM. | Recomendador IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
O recomendador do IAM detectou que o papel do IAM padrão original concedido a um agente de serviço foi substituído por um dos papéis básicos do IAM: Proprietário, Editor ou Leitor. Os papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço. Para mais informações, consulte Descobertas do recomendador do IAM. | Recomendador IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | O recomendador do IAM detectou que um agente de serviço recebeu um dos papéis básicos do IAM: Proprietário, Editor ou Leitor. Os papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço. Para mais informações, consulte Descobertas do recomendador do IAM. | Recomendador IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Uma conta de serviço tem privilégios de Administrador, Proprietário ou Editor. Esses papéis não devem ser atribuídos a contas de serviço criadas pelo usuário. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Análise de integridade da segurança |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Uma instância está configurada para usar a conta de serviço padrão. Para mais informações, consulte Descobertas de vulnerabilidade da instância do Compute. | Análise de integridade da segurança |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. | Análise de integridade da segurança |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Um usuário tem o papel Usuário da conta de serviço ou Criador de token da conta de serviço no nível do projeto, e não para uma conta de serviço específica. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Análise de integridade da segurança |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Uma chave de conta de serviço não é rotacionada há mais de 90 dias. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Análise de integridade da segurança |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Uma conta de serviço do nó tem escopos de acesso amplos. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. | Análise de integridade da segurança |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Uma chave criptográfica do Cloud KMS é acessível publicamente. Para mais informações, consulte Descobertas de vulnerabilidades do KMS. | Análise de integridade da segurança |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Um bucket do Cloud Storage é acessível publicamente. Para mais informações, consulte Descobertas de vulnerabilidade de armazenamento. | Análise de integridade da segurança |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Um bucket de armazenamento usado como coletor de registros é acessível publicamente. Para mais informações, consulte Descobertas de vulnerabilidade de armazenamento. | Análise de integridade da segurança |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Um usuário gerencia uma chave de conta de serviço. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Análise de integridade da segurança |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Há mais de três usuários de chaves criptográficas. Para mais informações, consulte Descobertas de vulnerabilidades do KMS. | Análise de integridade da segurança |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Um usuário tem permissões de Proprietário em um projeto com chaves criptográficas. Para mais informações, consulte Descobertas de vulnerabilidades do KMS. | Análise de integridade da segurança |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | As métricas e os alertas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto. Para mais informações, consulte Monitorar descobertas de vulnerabilidade. | Análise de integridade da segurança |
A seguir
- Saiba como analisar e gerenciar descobertas.
- Saiba como analisar casos de descoberta de identidade e acesso.
- Saiba como analisar e gerenciar riscos de identidade no Policy Intelligence.
- Saiba mais sobre os detectores de CIEM que geram descobertas.
- Saiba mais sobre os detectores do recomendador do IAM que geram descobertas.