Gérer les combinaisons toxiques et les goulets d'étranglement

Cette page explique comment identifier les combinaisons toxiques et les goulets d'étranglement, ainsi que la façon d'y remédier grâce aux pages suivantes.

  • Page Problèmes disponible avec les niveaux de service Premium et Enterprise.
  • Page Demandes disponible avec le niveau de service Enterprise.
  • Page Résultats disponible avec les niveaux de service Enterprise et Premium.

Avant de commencer

Pour vous assurer que la détection des combinaisons toxiques et des goulets d'étranglement est précise, vérifiez que le logiciel du composant Security Operations est à jour, que votre ensemble de ressources à forte valeur est correctement désigné et que vous disposez des autorisations IAM appropriées.

Facultatif : Collecter des données à partir d'autres clouds

Risk Engine permet d'exécuter des simulations sur les données d'Amazon Web Services (AWS) (Preview) et de Microsoft Azure (Preview) pour identifier les combinaisons toxiques et les goulets d'étranglement.

Configurez les connexions entre Security Command Center et ces fournisseurs de services cloud pour collecter les données de ressources et de configuration. Pour savoir comment configurer les connexions, consultez les articles suivants :

Pour obtenir la liste des ressources compatibles, consultez Prise en charge des fonctionnalités de Risk Engine.

Obtenir les autorisations requises

Pour utiliser les combinaisons toxiques et les goulets d'étranglement, vous avez besoin d'autorisations qui vous donnent accès aux fonctionnalités de Security Command Center et de Google SecOps.

Rôles IAM Security Command Center

Pour obtenir les autorisations nécessaires pour travailler dans Security Command Center, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre organisation :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Pour en savoir plus sur les rôles et les autorisations Security Command Center, consultez IAM pour les activations au niveau de l'organisation.

Rôles IAM Google SecOps

Pour travailler avec des demandes et des combinaisons toxiques, vous devez disposer de l'un des rôles suivants :

  • Gestionnaire de failles Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)
  • Gestionnaire de menaces Chronicle SOAR (roles/chronicle.soarThreatManager)
  • Administrateur Chronicle SOAR (roles/chronicle.soarAdmin)

Pour savoir comment attribuer le rôle à un utilisateur, consultez Mapper et autoriser les utilisateurs à l'aide d'IAM.

Installer le dernier cas d'utilisation des opérations de sécurité

La fonctionnalité de combinaison toxique nécessite la version du 25 juin 2024 ou ultérieure du cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation.

Pour savoir comment installer le cas d'utilisation, consultez Mettre à jour le cas d'utilisation Enterprise, juin 2024.

Spécifier votre ensemble de ressources à forte valeur

Vous n'avez pas besoin d'activer la détection des combinaisons toxiques et des goulets d'étranglement, car elle est toujours activée. Risk Engine détecte automatiquement les combinaisons toxiques et les goulets d'étranglement qui exposent un ensemble de ressources à forte valeur par défaut.

Les résultats des combinaisons toxiques et des goulets d'étranglement générés à partir de l'ensemble de ressources à forte valeur par défaut ne reflètent probablement pas précisément vos priorités en termes de sécurité. Pour spécifier les ressources qui font partie de votre ensemble de ressources à forte valeur, créez des configurations de valeurs de ressources dans la console Google Cloud . Pour obtenir des instructions, consultez Définir et gérer votre ensemble de ressources à forte valeur.

Corriger les combinaisons toxiques et les goulets d'étranglement

Les combinaisons toxiques et les goulets d'étranglement peuvent exposer de nombreuses ressources à forte valeur à de potentiels pirates informatiques. Il est essentiel de les corriger en priorité dans vos environnements cloud.

Vous pouvez hiérarchiser l'ordre dans lequel vous corrigez les combinaisons toxiques et les goulets d'étranglement en fonction de leur niveau d'exposition aux attaques. La procédure à suivre varie selon l'endroit où vous consultez les combinaisons toxiques et les goulets d'étranglement.

Problèmes

Vous pouvez accéder aux combinaisons toxiques et aux goulets d'étranglement les plus risqués (affichés sous forme de problèmes) sur les pages suivantes :

  • Niveau de service Security Command Center Enterprise : page Risque >  Aperçu
  • Niveau de service Security Command Center Premium : Security Command Center > Aperçu des risques

Toutes les combinaisons toxiques et tous les goulets d'étranglement sont visibles sur la page Risque > Problèmes.

Pour résoudre un problème, suivez les instructions ci-dessous :

Premium

  1. Pour afficher tous les problèmes, accédez à la page Problèmes de Security Command Center.

    Accéder aux problèmes

  2. Par défaut, les problèmes groupés sont classés par niveau de gravité. Dans le groupe, les problèmes sont classés par niveau d'exposition aux attaques. Pour trier tous les problèmes par niveau d'exposition aux attaques, désactivez Regrouper par détections.
  3. Sélectionnez un problème.
  4. Consultez la description et les preuves du problème.
  5. Si des résultats associés sont disponibles, consultez les détails.
  6. Si plusieurs problèmes critiques sont détectés dans une ressource principale d'une combinaison toxique ou d'un goulet d'étranglement, un message s'affiche après le diagramme Preuves. Pour optimiser vos efforts de correction, cliquez sur Filtrer les problèmes de cette ressource principale dans ce message afin de vous concentrer sur la résolution des problèmes liés à cette ressource spécifique. Cliquez sur la flèche de retour près de Ouvrir le panneau des filtres Ajouter un filtre lorsque vous souhaitez supprimer le filtre.
  7. Cliquez sur Explorer les chemins d'attaque complets dans le diagramme Preuves pour mieux comprendre le problème et comment les chemins d'attaque exposent les ressources à forte valeur.
  8. Cliquez sur Résoudre les problèmes et suivez les instructions pour limiter les risques.

Entreprise

  1. Pour afficher tous les problèmes, accédez à la page Risque > Problèmes de Security Command Center.

    Accéder aux problèmes

  2. Par défaut, les problèmes groupés sont classés par niveau de gravité. Dans le groupe, les problèmes sont classés par niveau d'exposition aux attaques. Pour trier tous les problèmes par niveau d'exposition aux attaques, désactivez Regrouper par détections.
  3. Sélectionnez un problème.
  4. Consultez la description et les preuves du problème.
  5. Si des résultats associés sont disponibles, consultez les détails.
  6. Si plusieurs problèmes critiques sont détectés dans une ressource principale d'une combinaison toxique ou d'un goulet d'étranglement, un message s'affiche après le diagramme Preuves. Pour optimiser vos efforts de correction, cliquez sur Filtrer les problèmes de cette ressource principale dans ce message afin de vous concentrer sur la résolution des problèmes liés à cette ressource spécifique. Cliquez sur la flèche de retour près de Ouvrir le panneau des filtres Ajouter un filtre lorsque vous souhaitez supprimer le filtre.
  7. Cliquez sur Explorer les chemins d'attaque complets dans le diagramme Preuves pour mieux comprendre le problème et comment les chemins d'attaque exposent les ressources à forte valeur.
  8. Cliquez sur Résoudre les problèmes et suivez les instructions pour limiter les risques.

Demandes

Vous pouvez afficher tous les cas de combinaison toxique en accédant à la page Demandes. Les goulets d'étranglement ne génèrent pas automatiquement de demande et doivent être consultés sur la page Problèmes.

Pour trouver des combinaisons toxiques dans les demandes, suivez les instructions ci-dessous :

  1. Dans la console Google Cloud , accédez à Risque > Demandes. La page Demandes de la console Security Operations s'ouvre.
  2. Dans la liste des demandes, cliquez sur Ouvrir le panneau des filtres Filtre des demandes pour ouvrir le panneau de filtres. Le panneau Filtre de la file d'attente des demandes s'ouvre.
  3. Dans le panneau Filtre de la file d'attente des demandes, spécifiez les éléments suivants : 1. Dans le champ Période, spécifiez la période pendant laquelle la demande est active. 1. Définissez Opérateur logique sur AND. 1. Dans la zone de liste des clés de filtre, sélectionnez Tags. 1. Définissez l'opérateur d'égalité sur is. 1. Dans la zone de liste des valeurs de filtre, sélectionnez Combinaison toxique. 1. Cliquez sur Appliquer. Les demandes de la file d'attente sont mises à jour pour n'afficher que celles qui correspondent au filtre que vous avez spécifié.
  4. Cliquez sur Trier à côté de Ouvrir le panneau des filtres Filtre de demandes, puis sélectionnez Trier par niveau d'exposition aux attaques (élevée à faible).
  5. Dans la file d'attente des demandes, cliquez sur celle que vous souhaitez consulter. Si vous consultez les demandes en vue Liste, cliquez plutôt sur le numéro de la demande. Les informations sur la demande s'affichent.
  6. Cliquez sur Demandes Aperçu de la demande.
  7. Dans la section Résumé de la demande, suivez les Prochaines étapes.

En général, une combinaison toxique inclut un ou plusieurs résultats de failles logicielles ou d'erreurs de configuration. Pour chacun de ces résultats, Security Command Center ouvre automatiquement une demande distincte et exécute les playbooks associés. Vous pouvez examiner les demandes correspondant à ces résultats et demander aux propriétaires des tickets de hiérarchiser la correction pour résoudre la combinaison toxique.

Pour examiner les résultats associés dans une combinaison toxique, procédez comme suit :

  1. Dans l'onglet Aperçu de la demande, accédez à la section Résultats.Demandes

  2. Dans la section Résultats, examinez les résultats listés.

    • Cliquez sur le numéro de demande du résultat pour ouvrir la demande et afficher son état, son propriétaire et d'autres informations.
    • Cliquez sur le niveau d'exposition aux attaques pour examiner le chemin d'attaque du résultat.
    • Si le résultat comporte un numéro de demande, cliquez dessus pour ouvrir la demande.

Vous pouvez également afficher les résultats associés dans leurs propres onglets d'alerte dans la demande.

Résultats

Un résultat de combinaison toxique ou de goulet d'étranglement est l'enregistrement initial que Risk Engine génère lorsqu'il détecte une combinaison toxique ou un goulet d'étranglement dans votre environnement cloud.

  1. Accédez à la page Résultats.

    Accéder aux résultats

  2. Sélectionnez votre organisation Google Cloud .

  3. Dans la section Classe du résultat du panneau Filtres rapides, sélectionnez Combinaison toxique ou Goulet d'étranglement. Le panneau Résultats de la requête de résultat est mis à jour pour n'afficher que les résultats de combinaison toxique ou de goulet d'étranglement.

  4. Pour trier les résultats par niveau de gravité, cliquez sur l'en-tête de colonne Niveau d'exposition aux attaques jusqu'à ce que les niveaux soient classés par ordre décroissant.

  5. Cliquez sur une catégorie de résultats pour ouvrir le panneau des résultats détaillés. Accédez à la section Étapes suivantes et suivez les instructions pour résoudre le problème de sécurité.

Clôturer les demandes concernant des combinaisons toxiques

Vous pouvez clôturer une demande liée une combinaison toxique en corrigeant la combinaison toxique sous-jacente ou en désactivant le résultat associé dans la consoleGoogle Cloud .

Clôturer une demande en corrigeant une combinaison toxique

Une fois les problèmes de sécurité formant une combinaison toxique résolus et qu’aucune ressource à forte valeur n'est plus exposée, Risk Engine clôture automatiquement la demande lors de la prochaine simulation de chemin d'attaque, qui s'exécute environ toutes les six heures.

Clôturer une demande en mettant en sourdine le résultat

Si le risque posé par la combinaison toxique est acceptable pour votre entreprise ou si vous ne pouvez pas corriger la combinaison toxique, vous pouvez clôturer la demande en mettant en sourdine le résultat associé.

Pour désactiver un résultat de combinaison toxique, procédez comme suit :

  1. Dans la console Google Cloud , accédez à Risque > Demandes.
  2. Localisez et ouvrez la demande concernant une combinaison toxique.
  3. Cliquez sur l'onglet de l'alerte associée.
  4. Dans le widget Résumé des résultats, cliquez sur Explorer les résultats dans SCC. Le résultat associé s'ouvre.
  5. Utilisez les options de mise en sourdine sur la page des résultats détaillés pour ignorer ces résultats.

Vous pouvez également désactiver les résultats dans la console Google Cloud . Pour en savoir plus, consultez Ignorer un résultat individuel.

Afficher les demandes concernant une combinaison toxique clôturées

Lorsqu'une demande est clôturée, Security Command Center la supprime de la page Demandes.

Pour afficher une demande clôturée concernant une combinaison toxique, procédez comme suit :

  1. Dans la console Google Cloud , accédez à Investigation > Recherche SOAR. La page Recherche SOAR de la console Security Operations s'ouvre.
  2. Développez la section État, puis sélectionnez Clôturé.
  3. Développez la section Tags, puis sélectionnez Combinaison toxique.
  4. Cliquez sur Appliquer. Les demandes concernant une combinaison toxique clôturées s'affichent dans les résultats de recherche.