Cette page explique comment identifier les combinaisons toxiques et les goulets d'étranglement, et comment y répondre à l'aide des pages suivantes :
- Problèmes, disponibles dans les niveaux de service Premium et Enterprise.
- Demandes disponibles avec le niveau de service Enterprise.
- Résultats disponibles dans les niveaux de service Premium et Enterprise.
Avant de commencer
Pour vous assurer que la détection des combinaisons toxiques et des points d'étranglement est précise, vérifiez que le logiciel du composant Security Operations est à jour, que votre ensemble de ressources à forte valeur est correctement désigné et que vous disposez des autorisations IAM appropriées.
Facultatif : Collecter des données à partir d'autres clouds
Le moteur de risque permet d'exécuter des simulations sur les données d'Amazon Web Services (AWS) (aperçu) et de Microsoft Azure (aperçu) pour identifier les combinaisons toxiques et les points de blocage.
Configurez la connexion entre Security Command Center et ces fournisseurs de services cloud pour collecter les données de ressources et de configuration. Pour savoir comment configurer les connexions, consultez les articles suivants :
- Se connecter à AWS pour collecter des données de configuration et de ressources
- Se connecter à Microsoft Azure pour la collecte de données de configuration et de ressources
Pour obtenir la liste des ressources compatibles, consultez Compatibilité des fonctionnalités du moteur de risque.
Obtenir les autorisations requises
Pour utiliser les combinaisons toxiques et les points d'étranglement, vous avez besoin d'autorisations qui vous donnent accès aux fonctionnalités Security Command Center et Google SecOps.
Rôles IAM Security Command Center
Pour obtenir les autorisations nécessaires pour utiliser les combinaisons toxiques et les points d'étranglement, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre organisation :
-
Afficher les chemins d'attaque :
-
Lecteur administrateur du centre de sécurité (
roles/securitycenter.adminViewer) -
Lecteur des chemins d'attaque du centre de sécurité (
roles/securitycenter.attackPathsViewer) -
Lecteur de résultats du centre de sécurité (
roles/securitycenter.findingsViewer)
-
Lecteur administrateur du centre de sécurité (
-
Afficher les résultats des chemins d'attaque :
-
Lecteur administrateur du centre de sécurité (
roles/securitycenter.adminViewer) -
Lecteur des chemins d'attaque du centre de sécurité (
roles/securitycenter.attackPathsViewer) -
Lecteur de résultats du centre de sécurité (
roles/securitycenter.findingsViewer)
-
Lecteur administrateur du centre de sécurité (
-
Afficher les résultats :
-
Lecteur administrateur du centre de sécurité (
roles/securitycenter.adminViewer) -
Lecteur de résultats du centre de sécurité (
roles/securitycenter.findingsViewer)
-
Lecteur administrateur du centre de sécurité (
-
Ignorer les résultats :
-
Lecteur administrateur du centre de sécurité (
roles/securitycenter.adminViewer) -
Éditeur de données du centre de sécurité (
roles/securitycenter.findingsEditor) -
Configurateur de mise en sourdine des résultats du centre de sécurité (
roles/securitycenter.findingsMuteSetter)
-
Lecteur administrateur du centre de sécurité (
-
Afficher les ressources :
-
Lecteur administrateur du centre de sécurité (
roles/securitycenter.adminViewer) -
Configurateur de mise en sourdine des résultats du centre de sécurité (
roles/securitycenter.findingsMuteSetter)
-
Lecteur administrateur du centre de sécurité (
-
Modifier les résultats :
-
Lecteur administrateur du centre de sécurité (
roles/securitycenter.adminViewer) -
Éditeur de données du centre de sécurité (
roles/securitycenter.findingsEditor) -
Lecteur de résultats du centre de sécurité (
roles/securitycenter.findingsViewer)
-
Lecteur administrateur du centre de sécurité (
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Pour en savoir plus sur les rôles et les autorisations Security Command Center, consultez IAM pour les activations au niveau de l'organisation.
Rôles IAM Google SecOps
Pour le niveau de service Enterprise, vous devez disposer de l'un des rôles suivants pour travailler avec les combinaisons et les cas toxiques :
- Gestionnaire de failles Chronicle SOAR (
roles/chronicle.soarVulnerabilityManager) - Gestionnaire de menaces Chronicle SOAR (
roles/chronicle.soarThreatManager) - Administrateur Chronicle SOAR (
roles/chronicle.soarAdmin)
Pour savoir comment attribuer le rôle à un utilisateur, consultez Mapper et autoriser les utilisateurs à l'aide d'IAM.
Installer le dernier cas d'utilisation des opérations de sécurité
La fonctionnalité de combinaison toxique nécessite la version du 25 juin 2024 ou ultérieure du cas d'utilisation SCC Enterprise – Cloud Orchestration and Remediation.
Pour savoir comment installer le cas d'utilisation, consultez Mettre à jour le cas d'utilisation Enterprise, juin 2024.
Spécifier votre ensemble de ressources de forte valeur
Vous n'avez pas besoin d'activer la détection des combinaisons toxiques et des points de blocage, car elle est toujours activée. Le moteur de risque détecte automatiquement les combinaisons toxiques et les goulets d'étranglement qui exposent un ensemble de ressources à forte valeur par défaut.
Les résultats des combinaisons toxiques et des goulets d'étranglement générés sur la base de l'ensemble de ressources à forte valeur par défaut ne reflètent probablement pas précisément vos priorités en matière de sécurité. Pour spécifier les ressources qui font partie de votre ensemble de ressources à forte valeur, vous devez créer des configurations de valeurs de ressources dans la console Google Cloud . Pour obtenir des instructions, consultez Définir et gérer votre ensemble de ressources de forte valeur.
Corriger les combinaisons toxiques et les goulets d'étranglement
Les combinaisons toxiques et les goulets d'étranglement peuvent exposer de nombreuses ressources à forte valeur à des pirates informatiques potentiels. Vous devez les corriger avant les autres risques dans vos environnements cloud.
Vous pouvez hiérarchiser l'ordre dans lequel vous corrigez les combinaisons toxiques et les goulets d'étranglement en fonction de leur score d'exposition aux attaques. La procédure à suivre dépend de l'endroit où vous consultez les combinaisons toxiques et les goulets d'étranglement.
Problèmes
Pour les niveaux de service Premium et Enterprise, vous pouvez accéder aux combinaisons toxiques et aux points d'étranglement les plus risqués (affichés sous forme de problèmes) sur les pages suivantes :
- Niveau de service Enterprise : page Risque > Aperçu
- Niveau de service Premium : Security Command Center > Aperçu des risques
Toutes les combinaisons toxiques et tous les goulets d'étranglement sont visibles sur la page Risque > Problèmes.
Pour résoudre un problème, suivez les instructions ci-dessous :
Premium
Afficher tous les problèmes
- Pour afficher tous les problèmes, accédez à la page Problèmes de Security Command Center.
- Sélectionnez votre organisation Google Cloud .
Trier par niveau d'exposition aux attaques
- Par défaut, les problèmes groupés sont classés par niveau de gravité. Dans le groupe, les problèmes sont classés par score d'exposition aux attaques. Pour trier tous les problèmes par score d'exposition aux attaques, désactivez Regrouper par détections.
- Sélectionnez un problème.
- Consultez la description du problème et les preuves.
Accéder à des informations supplémentaires
- Si des résultats associés sont disponibles, consultez leurs détails.
- Si plusieurs problèmes critiques sont détectés dans une ressource principale d'une combinaison toxique ou d'un goulet d'étranglement, un message s'affiche après le diagramme Preuve. Pour optimiser vos efforts de correction, cliquez sur Filtrer les problèmes de cette ressource principale dans ce message afin de vous concentrer sur la résolution des problèmes liés à cette ressource spécifique. Cliquez sur la flèche de retour près de
Ajouter un filtre lorsque vous souhaitez supprimer le filtre. - Cliquez sur Explorer les chemins d'attaque complets dans le diagramme Preuve pour mieux comprendre le problème et comment les chemins d'attaque exposent les ressources à forte valeur.
- Cliquez sur Comment résoudre le problème et suivez les instructions pour atténuer le risque.
Entreprise
Afficher tous les problèmes
- Pour afficher tous les problèmes, accédez à la page Risque > Problèmes de Security Command Center.
- Sélectionnez votre organisation Google Cloud .
Trier par niveau d'exposition aux attaques
- Par défaut, les problèmes groupés sont classés par niveau de gravité. Dans le groupe, les problèmes sont classés par score d'exposition aux attaques. Pour trier tous les problèmes par score d'exposition aux attaques, désactivez Regrouper par détections.
- Sélectionnez un problème.
- Consultez la description du problème et les preuves.
Accéder à des informations supplémentaires
- Si des résultats associés sont disponibles, consultez leurs détails.
- Si plusieurs problèmes critiques sont détectés dans une ressource principale d'une combinaison toxique ou d'un goulet d'étranglement, un message s'affiche après le diagramme Preuve. Pour optimiser vos efforts de correction, cliquez sur Filtrer les problèmes de cette ressource principale dans ce message afin de vous concentrer sur la résolution des problèmes liés à cette ressource spécifique. Cliquez sur la flèche de retour près de
Ajouter un filtre lorsque vous souhaitez supprimer le filtre.
- Cliquez sur Explorer les chemins d'attaque complets dans le diagramme Preuve pour mieux comprendre le problème et comment les chemins d'attaque exposent les ressources à forte valeur.
- Cliquez sur Comment résoudre le problème et suivez les instructions pour atténuer le risque.
Demandes
Pour le niveau de service Enterprise, vous pouvez afficher tous les cas de combinaison toxique en accédant à la page Demandes. Les points de blocage ne génèrent pas automatiquement de demande et doivent être consultés sur la page Problèmes.
Pour trouver des combinaisons toxiques dans les cas, suivez les instructions ci-dessous :
- Dans la console Google Cloud , accédez à Risque > Demandes. La page Cas de la console Security Operations s'ouvre.
- Dans la liste des demandes, cliquez sur
Filtre des demandes pour ouvrir le panneau de filtres. Le panneau Filtre de la file d'attente des cas s'ouvre.
- Dans le filtre de file d'attente des demandes, spécifiez les éléments suivants : 1. Dans le champ Période, spécifiez la période pendant laquelle la demande est active. 1. Définissez Opérateur logique sur AND. 1. Dans la zone de liste des clés de filtre, sélectionnez Tags. 1. Définissez l'opérateur d'égalité sur is. 1. Dans la zone de liste des valeurs de filtre, sélectionnez Combinaison toxique. 1. Cliquez sur Appliquer. Les demandes de la file d'attente sont mises à jour pour n'afficher que celles qui correspondent au filtre que vous avez spécifié.
- Cliquez sur Trier à côté de
Filtre "Cas", puis sélectionnez Trier par exposition aux attaques (de la plus élevée à la plus faible).
- Dans la file d'attente des demandes, cliquez sur celle que vous souhaitez consulter. Si vous consultez les demandes en vue Liste, cliquez plutôt sur l'ID de la demande. Les informations sur la demande s'affichent.
- Cliquez sur
Vue d'ensemble de la demande. - Dans la section Résumé de la demande, suivez les Prochaines étapes.
Examiner les résultats associés dans les cas de combinaison toxique
En général, une combinaison toxique inclut un ou plusieurs résultats de failles logicielles ou d'erreurs de configuration. Pour chacun de ces résultats, Security Command Center ouvre automatiquement une demande distincte et exécute les playbooks associés. Vous pouvez examiner les cas correspondant à ces résultats et demander aux propriétaires des tickets de hiérarchiser la correction pour résoudre la combinaison toxique.
Pour examiner les résultats associés dans une combinaison toxique, procédez comme suit :
- Dans l'onglet
Aperçu de la demande, accédez à la section Résultats.
Dans la section Résultats, examinez les résultats listés.
- Cliquez sur le numéro de demande du résultat pour ouvrir la demande et afficher son état, le propriétaire qui lui est attribué et d'autres informations.
- Cliquez sur le score d'exposition aux attaques pour examiner le chemin d'attaque du résultat.
- Si le résultat comporte un ID de demande, cliquez dessus pour ouvrir la demande.
Vous pouvez également afficher les résultats associés dans leurs propres onglets d'alerte dans la demande.
Résultats
Un résultat de combinaison toxique ou de point d'étranglement est l'enregistrement initial que Risk Engine génère lorsqu'il détecte une combinaison toxique ou un point d'étranglement dans votre environnement cloud.
Accéder à la page Résultats
Sélectionnez votre organisation Google Cloud .
Dans la section Classe de résultat du panneau Filtres rapides, sélectionnez Combinaison toxique ou Point d'étranglement. Le panneau Résultats de la requête est mis à jour pour n'afficher que les résultats de combinaison toxique ou de point d'étranglement.
Pour trier les résultats par gravité, cliquez sur l'en-tête de colonne Niveau d'exposition aux attaques jusqu'à ce que les scores soient classés par ordre décroissant.
Cliquez sur une catégorie de résultats pour ouvrir le panneau des détails des résultats. Accédez à la section Étapes suivantes et suivez les instructions pour résoudre le problème de sécurité.
Clôturer les cas de combinaison toxique
Vous pouvez fermer une fiche pour une combinaison toxique en corrigeant la combinaison toxique sous-jacente ou en mettant en sourdine le résultat associé dans la consoleGoogle Cloud .
Fermer une demande en corrigeant une combinaison toxique
Une fois que vous avez corrigé les problèmes de sécurité qui constituent une combinaison toxique et qu'ils n'exposent plus aucune ressource de votre ensemble de ressources à forte valeur, Risk Engine clôture automatiquement la demande lors de la prochaine simulation de chemin d'attaque, qui s'exécute environ toutes les six heures.
Fermer une demande en mettant en sourdine le résultat
Si le risque posé par la combinaison toxique est acceptable pour votre entreprise ou si vous ne pouvez pas corriger la combinaison toxique, vous pouvez clore la demande en mettant en sourdine le résultat associé.
Pour désactiver un résultat de combinaison toxique, procédez comme suit :
- Dans la console Google Cloud , accédez à Risque > Demandes.
- Localisez et ouvrez la demande de combinaison toxique.
- Cliquez sur l'onglet de l'alerte associée.
- Dans le widget Résumé des résultats, cliquez sur Explorer les résultats dans SCC. Le résultat associé s'ouvre.
- Utilisez les options Ignorer sur la page d'informations sur le résultat pour l'ignorer.
Vous pouvez également désactiver les résultats dans la console Google Cloud . Pour en savoir plus, consultez Ignorer un résultat individuel.
Afficher les cas de combinaison toxique clôturés
Lorsqu'une demande est clôturée, Security Command Center la supprime de la page Demandes.
Pour afficher une demande fermée concernant une combinaison toxique, procédez comme suit :
- Dans la console Google Cloud , accédez à Investigation > Recherche SOAR. La page Recherche SOAR de la console Security Operations s'ouvre.
- Développez la section État, puis sélectionnez Fermé.
- Développez la section Tags, puis sélectionnez Combinaison toxique.
- Cliquez sur Appliquer. Les cas de combinaison toxique clôturés s'affichent dans les résultats de recherche.