Esta página fornece instruções para identificar e responder a combinações tóxicas e pontos de gargalo usando as seguintes páginas:
- Problemas, disponíveis nos níveis de serviço Premium e Enterprise.
- Casos, disponíveis no nível de serviço Enterprise.
- Descobertas, disponíveis nos níveis de serviço Premium e Enterprise.
Antes de começar
Para garantir que a detecção de combinações tóxicas e gargalos seja precisa, verifique se o software do componente de operações de segurança está atualizado, se o conjunto de recursos de alto valor está designado corretamente e se você tem as permissões adequadas do IAM.
Opcional: coletar dados de outras nuvens
O Risk Engine permite executar simulações com dados da Amazon Web Services (AWS) (prévia) e do Microsoft Azure (prévia) para identificar combinações tóxicas e gargalos.
Configure a conexão do Security Command Center com esses provedores de nuvem para coletar dados de recursos e configurações. Para informações sobre como configurar as conexões, consulte:
- Conectar-se à AWS para coleta de dados de configuração e recursos
- Conectar-se ao Microsoft Azure para configuração e coleta de dados de recursos
Para conferir a lista de recursos compatíveis, consulte Suporte a recursos do Risk Engine.
Receber as permissões necessárias
Para trabalhar com combinações tóxicas e gargalos, você precisa de permissões que concedam acesso aos recursos do Security Command Center e do Google SecOps.
Papéis do IAM do Security Command Center
Para receber as permissões necessárias para trabalhar com combinações tóxicas e gargalos, peça ao administrador que conceda a você os seguintes papéis do IAM na sua organização:
-
Ver caminhos de ataque:
-
Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) -
Leitor de caminhos de ataque da Central de segurança (
roles/securitycenter.attackPathsViewer) -
Leitor de descobertas da Central de segurança (
roles/securitycenter.findingsViewer)
-
Leitor administrador da Central de segurança (
-
Ver descobertas de caminhos de ataque:
-
Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) -
Leitor de caminhos de ataque da Central de segurança (
roles/securitycenter.attackPathsViewer) -
Leitor de descobertas da Central de segurança (
roles/securitycenter.findingsViewer)
-
Leitor administrador da Central de segurança (
-
Ver descobertas:
-
Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) -
Leitor de descobertas da Central de segurança (
roles/securitycenter.findingsViewer)
-
Leitor administrador da Central de segurança (
-
Silenciar descobertas:
-
Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) -
Editor de descobertas da Central de segurança (
roles/securitycenter.findingsEditor) -
Definidor de desativação de som de descobertas da Central de segurança (
roles/securitycenter.findingsMuteSetter)
-
Leitor administrador da Central de segurança (
-
Ver recursos:
-
Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) -
Definidor de desativação de som de descobertas da Central de segurança (
roles/securitycenter.findingsMuteSetter)
-
Leitor administrador da Central de segurança (
-
Editar descobertas:
-
Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) -
Editor de descobertas da Central de segurança (
roles/securitycenter.findingsEditor) -
Leitor de descobertas da Central de segurança (
roles/securitycenter.findingsViewer)
-
Leitor administrador da Central de segurança (
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
Para mais informações sobre papéis e permissões do Security Command Center, consulte IAM para ativações no nível da organização.
Papéis do IAM do Google SecOps
Para a camada de serviço Enterprise, para trabalhar com combinações e casos tóxicos, você precisa de uma das seguintes funções:
- Gerenciador de vulnerabilidades do Chronicle SOAR
(
roles/chronicle.soarVulnerabilityManager) - Gerenciador de ameaças do Chronicle SOAR (
roles/chronicle.soarThreatManager) - Administrador do Chronicle SOAR (
roles/chronicle.soarAdmin)
Para informações sobre como conceder o papel a um usuário, consulte Mapear e autorizar usuários usando o IAM.
Instalar o caso de uso mais recente de operações de segurança
O recurso de combinação tóxica requer a versão de 25 de junho de 2024 ou posterior do caso de uso SCC Enterprise – orquestração e correção na nuvem.
Para informações sobre como instalar o caso de uso, consulte Atualização do caso de uso empresarial, junho de 2024.
Especificar seu conjunto de recursos de alto valor
Não é necessário ativar a detecção de combinações tóxicas e pontos de estrangulamento. Ela está sempre ativada. O Risk Engine detecta automaticamente combinações tóxicas e pontos de estrangulamento que expõem um conjunto padrão de recursos de alto valor.
É improvável que as descobertas de combinações tóxicas e pontos de estrangulamento geradas com base no conjunto padrão de recursos de alto valor reflitam com precisão suas prioridades de segurança. Para especificar quais recursos fazem parte do seu conjunto de recursos de alto valor, crie configurações de valor de recursos no console do Google Cloud . Para instruções, consulte Definir e gerenciar seu conjunto de recursos de alto valor.
Corrigir combinações ruins e pontos de estrangulamento
Combinações tóxicas e pontos de estrangulamento podem expor muitos recursos de alto valor a possíveis invasores. É recomendável corrigir esses problemas antes de outros riscos nos seus ambientes de nuvem.
É possível priorizar a ordem de correção das combinações tóxicas e dos pontos de gargalo com base na pontuação de exposição a ataques. A forma de fazer isso muda dependendo de onde você vê as combinações ruins e os pontos de estrangulamento.
Problemas
Para os níveis de serviço Premium e Enterprise, é possível acessar as combinações tóxicas e os pontos de estrangulamento de maior risco (mostrados como problemas) nas seguintes páginas:
- Nível de serviço Enterprise: página Visão geral de >riscos
- Nível de serviço Premium: Security Command Center > Visão geral de riscos
Todas as combinações ruins e pontos de estrangulamento podem ser visualizados na página Risco > Problemas.
Para corrigir um problema, siga estas instruções:
Premium
Ver todos os problemas
- Para conferir todos os problemas, acesse a página Problemas do Security Command Center.
- Selecione sua Google Cloud organização.
Ordenar por pontuação de exposição a ataques
- Por padrão, os problemas agrupados são classificados por gravidade. Dentro do grupo, os problemas são classificados por pontuação de exposição a ataques. Para ordenar todos os problemas por pontuação de exposição a ataques, desative a opção Agrupar por detecções.
- Selecione um problema.
- Revise a descrição e as evidências do problema.
Acessar mais informações
- Se houver descobertas relacionadas, confira os detalhes delas.
- Se vários problemas críticos forem encontrados em um recurso principal em uma combinação tóxica ou ponto de estrangulamento, uma mensagem vai aparecer após o diagrama Evidência. Para otimizar seus esforços de correção, clique em Filtrar problemas neste recurso principal na mensagem e concentre-se em resolver problemas desse recurso específico. Clique na seta para trás
ao lado de
Adicionar filtro quando quiser remover o filtro. - Clique em Analise caminhos de ataque completos no diagrama Evidências para entender melhor o problema e como os caminhos de ataque expõem recursos de alto valor.
- Clique em Como corrigir e siga as orientações para reduzir o risco.
Enterprise
Ver todos os problemas
- Para ver todos os problemas, acesse a página Risco > Problemas do Security Command Center.
- Selecione sua Google Cloud organização.
Ordenar por pontuação de exposição a ataques
- Por padrão, os problemas agrupados são classificados por gravidade. Dentro do grupo, os problemas são classificados por pontuação de exposição a ataques. Para ordenar todos os problemas por pontuação de exposição a ataques, desative a opção Agrupar por detecções.
- Selecione um problema.
- Revise a descrição e as evidências do problema.
Acessar mais informações
- Se houver descobertas relacionadas, confira os detalhes delas.
- Se vários problemas críticos forem encontrados em um recurso principal em uma combinação tóxica ou ponto de estrangulamento, uma mensagem vai aparecer após o diagrama Evidência. Para otimizar seus esforços de correção, clique em Filtrar problemas neste recurso principal na mensagem e concentre-se em resolver problemas desse recurso específico. Clique na seta para trás
ao lado de
Adicionar filtro quando quiser remover o filtro.
- Clique em Analise caminhos de ataque completos no diagrama Evidências para entender melhor o problema e como os caminhos de ataque expõem recursos de alto valor.
- Clique em Como corrigir e siga as orientações para reduzir o risco.
Casos
Para o nível de serviço Enterprise, acesse a página Casos para conferir todos os casos de combinação tóxica. Os gargalos não geram um caso automaticamente e precisam ser visualizados na página Problemas.
Para encontrar combinações tóxicas em casos, siga estas instruções:
- No console do Google Cloud , acesse Risco > Casos. A página Casos do console de operações de segurança será aberta.
- Na lista de casos, clique em
Filtro de casos para abrir o painel de filtros. O painel Filtro da fila de casos é aberto.
- No Filtro da fila de casos, especifique o seguinte: 1. No campo Período, especifique o período em que o caso está ativo. 1. Defina o Operador lógico como AND. 1. Na caixa de listagem de chaves de filtro, selecione Tags. 1. Defina o operador de igualdade como é. 1. Na caixa de listagem de valores do filtro, selecione Combinação tóxica. 1. Clique em Aplicar. Os casos na fila são atualizados para mostrar apenas aqueles que correspondem ao filtro especificado.
- Clique em Classificar ao lado de
Filtro de casos e selecione Classificar por exposição a ataques (de alta a baixa).
- Na fila de casos, clique no caso que você quer acessar. Se você estiver visualizando casos na Visualização em lista, clique no ID do caso. As informações do caso aparecem.
- Clique em
Visão geral do caso. - Na seção Resumo do caso, siga as orientações em Próximas etapas.
Analisar descobertas relacionadas em casos de combinação tóxica
Normalmente, uma combinação tóxica inclui uma ou mais descobertas de uma vulnerabilidade de software ou uma configuração incorreta. Para cada uma dessas descobertas, o Security Command Center abre automaticamente um caso separado e executa os playbooks associados. Você pode analisar os casos desses resultados e pedir aos proprietários dos tíquetes para priorizar a correção e resolver a combinação tóxica.
Para analisar as descobertas relacionadas em uma combinação tóxica, siga estas etapas:
- Na guia
Visão geral do caso, acesse a seção Descobertas.
Na seção Descobertas, analise as descobertas listadas.
- Clique no ID do caso da descoberta para abrir o caso e conferir o status, o proprietário atribuído e outras informações.
- Clique na pontuação de exposição a ataques para analisar o caminho de ataque da descoberta.
- Se a descoberta tiver um ID de tíquete, clique nele para abrir o tíquete.
Como alternativa, é possível conferir as descobertas relacionadas nas guias de alerta do caso.
Descobertas
Uma descoberta de combinação tóxica ou ponto de estrangulamento é o registro inicial que o Risk Engine gera quando detecta uma combinação tóxica ou um ponto de estrangulamento no seu ambiente de nuvem.
Acesse a página Descobertas.
Selecione sua Google Cloud organização.
Na seção Classe da descoberta do painel Filtros rápidos, selecione Combinação tóxica ou Ponto de estrangulamento. O painel Resultados da consulta de descobertas é atualizado para mostrar apenas descobertas de combinação tóxica ou gargalo.
Para classificar as descobertas por gravidade, clique no cabeçalho da coluna Pontuação de exposição a ataques até que as pontuações estejam em ordem decrescente.
Clique em uma categoria para abrir o painel de detalhes da descoberta. Acesse a seção Próximas etapas e siga as orientações para corrigir o problema de segurança.
Fechar casos de combinações tóxicas
Para fechar um caso de combinação tóxica, corrija a combinação tóxica subjacente ou silencie a descoberta relacionada no console doGoogle Cloud .
Fechar um caso corrigindo uma combinação tóxica
Depois que você corrigir os problemas de segurança que compõem uma combinação tóxica e eles não expuserem mais nenhum recurso no seu conjunto de recursos de alto valor, o Risk Engine vai fechar o caso automaticamente durante a próxima simulação de caminho de ataque, que é executada aproximadamente a cada seis horas.
Silenciar uma descoberta para fechar um caso
Se o risco representado pela combinação tóxica for aceitável para sua empresa ou não for possível corrigir, você poderá fechar o caso silenciando a descoberta relacionada.
Para desativar uma descoberta de combinação tóxica, siga estas etapas:
- No console do Google Cloud , acesse Risco > Casos.
- Encontre e abra o caso de combinação tóxica.
- Clique na guia de alertas relacionados.
- No widget Resumo da descoberta, clique em Analisar descobertas no SCC. A descoberta relacionada é aberta.
- Use as Opções de silenciamento na página de detalhes da descoberta para silenciar.
Também é possível silenciar descobertas no Google Cloud console. Para mais informações, consulte Silenciar uma descoberta individual.
Ver casos de combinação tóxica encerrados
Quando um caso é encerrado, o Security Command Center o remove da página Casos.
Para conferir um caso encerrado de combinação tóxica, siga estas etapas:
- No console do Google Cloud , acesse Investigação > Pesquisa do SOAR. A página do console de operações de segurança Pesquisa do SOAR é aberta.
- Expanda a seção Status e selecione Fechado.
- Expanda a seção Tags e selecione Combinação tóxica.
- Clique em Aplicar. Os casos de combinação tóxica fechados são mostrados nos resultados da pesquisa.