Esta página foi traduzida pela API Cloud Translation.

Faça a gestão de combinações tóxicas e pontos de estrangulamento

Esta página fornece instruções para identificar e responder a combinações tóxicas e pontos críticos através das seguintes páginas:

Problemas, disponíveis nos níveis de serviço Premium e Enterprise.
Capas disponíveis no nível de serviço Enterprise.
Resultados, disponíveis nos níveis de serviço Enterprise e Premium.

Antes de começar

Para garantir que a deteção de combinações tóxicas e pontos de estrangulamento é precisa, verifique se o software do componente de operações de segurança está atualizado, se o seu conjunto de recursos de elevado valor está designado com precisão e se tem as autorizações de IAM adequadas.

Opcional: recolha dados de outras nuvens

O motor de risco suporta a execução de simulações em dados da Amazon Web Services (AWS) (pré-visualização) e do Microsoft Azure (pré-visualização) para identificar combinações tóxicas e pontos de estrangulamento.

Configure a ligação do Security Command Center a estes fornecedores de nuvem para recolher dados de recursos e de configuração. Para informações sobre a configuração das associações, consulte o seguinte:

Para ver a lista de recursos suportados, consulte o artigo Suporte de funcionalidades do motor de risco.

Obtenha as autorizações necessárias

Para trabalhar com combinações tóxicas e pontos de estrangulamento, precisa de autorizações que concedam acesso ao Security Command Center e às funcionalidades do Google SecOps.

Funções IAM do Security Command Center

Para receber as autorizações de que precisa para trabalhar no Security Command Center, peça ao seu administrador que lhe conceda as seguintes funções da IAM na sua organização:

Ver caminhos de ataque:
- Visualizador de administrador do centro de segurança (roles/securitycenter.adminViewer)
- Leitor de caminhos de ataque do Centro de segurança (roles/securitycenter.attackPathsViewer)
- Visualizador de resultados do Centro de segurança (roles/securitycenter.findingsViewer)
Ver resultados do caminho de ataque:
- Visualizador de administrador do centro de segurança (roles/securitycenter.adminViewer)
- Leitor de caminhos de ataque do Centro de segurança (roles/securitycenter.attackPathsViewer)
- Visualizador de resultados do Centro de segurança (roles/securitycenter.findingsViewer)
Ver conclusões:
- Visualizador de administrador do centro de segurança (roles/securitycenter.adminViewer)
- Visualizador de resultados do Centro de segurança (roles/securitycenter.findingsViewer)
Desativar som de resultados:
- Visualizador de administrador do centro de segurança (roles/securitycenter.adminViewer)
- Editor de resultados do Centro de segurança (roles/securitycenter.findingsEditor)
- Definição de desativação de som de resultados do Centro de segurança (roles/securitycenter.findingsMuteSetter)
Ver recursos:
- Visualizador de administrador do centro de segurança (roles/securitycenter.adminViewer)
- Definição de desativação de som de resultados do Centro de segurança (roles/securitycenter.findingsMuteSetter)
Editar resultados:
- Visualizador de administrador do centro de segurança (roles/securitycenter.adminViewer)
- Editor de resultados do Centro de segurança (roles/securitycenter.findingsEditor)
- Visualizador de resultados do Centro de segurança (roles/securitycenter.findingsViewer)

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Para mais informações sobre as funções e as autorizações do Security Command Center, consulte o artigo IAM para ativações ao nível da organização.

Funções de IAM do Google SecOps

Para trabalhar com combinações e casos tóxicos, precisa de uma das seguintes funções:

Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)
Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
Administrador do Chronicle SOAR (roles/chronicle.soarAdmin)

Para obter informações sobre como conceder a função a um utilizador, consulte o artigo Mapeie e autorize utilizadores com o IAM.

Instale o exemplo de utilização das operações de segurança mais recente

A funcionalidade de combinação tóxica requer o lançamento de 25 de junho de 2024 ou posterior do exemplo de utilização SCC Enterprise – Cloud Orchestration and Remediation.

Para ver informações sobre a instalação do exemplo de utilização, consulte o artigo Atualização do exemplo de utilização empresarial, junho de 2024.

Especifique o seu conjunto de recursos de elevado valor

Não precisa de ativar a deteção de combinações tóxicas e pontos de estrangulamento. Esta funcionalidade está sempre ativada. O motor de risco deteta automaticamente combinações tóxicas e pontos críticos que expõem um conjunto de recursos predefinido de elevado valor.

É improvável que as conclusões de combinação tóxica e ponto de estrangulamento geradas com base no conjunto de recursos de valor elevado predefinido reflitam com precisão as suas prioridades de segurança. Para especificar que recursos fazem parte do seu conjunto de recursos de elevado valor, crie configurações de valor de recursos na Google Cloud consola. Para ver instruções, consulte o artigo Defina e faça a gestão do seu conjunto de recursos de elevado valor.

Corrija combinações tóxicas e pontos de estrangulamento

As combinações tóxicas e os pontos de estrangulamento podem expor muitos recursos de elevado valor a potenciais atacantes. Deve corrigi-los antes de outros riscos nos seus ambientes de nuvem.

Pode dar prioridade à ordem pela qual corrige combinações tóxicas e pontos críticos com base na respetiva pontuação de exposição a ataques. A forma como o faz varia consoante o local onde vê as combinações tóxicas e os pontos de estrangulamento.

Problemas

Pode aceder às combinações tóxicas de risco mais elevado e aos pontos críticos (apresentados como problemas) nas seguintes páginas:

Nível de serviço Enterprise do Security Command Center: página Risco > Vista geral
Nível de serviço do Security Command Center Premium: Security Command Center > Vista geral de riscos

Pode ver todas as combinações tóxicas e os pontos de estrangulamento na página Risco > Problemas.

Para corrigir um problema, conclua as seguintes instruções:

Premium

Para ver todos os problemas, aceda à página Problemas do Security Command Center.
Aceda a Problemas
Por predefinição, os problemas agrupados são classificados por gravidade. No grupo, os problemas são classificados pela pontuação de exposição a ataques. Para ordenar todos os problemas por pontuação de exposição a ataques, desative a opção Agrupar por deteções.
Selecione um problema.
Reveja a descrição e as provas do problema.
Se existirem conclusões relacionadas, veja os respetivos detalhes.
Se forem encontrados vários problemas críticos num recurso principal numa combinação tóxica ou num ponto de estrangulamento, é apresentada uma mensagem após o diagrama Provas. Para otimizar os seus esforços de remediação, clique em Filtrar problemas deste recurso principal nesta mensagem para se concentrar na resolução de problemas desse recurso específico. Clique na seta para trás junto a Adicionar filtro quando quiser remover o filtro.
Clique em Explorar caminhos de ataque completos no diagrama de Provas para uma compreensão detalhada do problema e de como os caminhos de ataque expõem recursos de elevado valor.
Clique em Como corrigir e siga as orientações para ajudar a mitigar o risco.

Empresarial

Para ver todos os problemas, aceda à página Risco > Problemas do Security Command Center.
Aceda a Problemas
Por predefinição, os problemas agrupados são classificados por gravidade. No grupo, os problemas são classificados pela pontuação de exposição a ataques. Para ordenar todos os problemas por pontuação de exposição a ataques, desative a opção Agrupar por deteções.
Selecione um problema.
Reveja a descrição e as provas do problema.
Se existirem conclusões relacionadas, veja os respetivos detalhes.
Se forem encontrados vários problemas críticos num recurso principal numa combinação tóxica ou num ponto de estrangulamento, é apresentada uma mensagem após o diagrama Provas. Para otimizar os seus esforços de remediação, clique em Filtrar problemas deste recurso principal nesta mensagem para se concentrar na resolução de problemas desse recurso específico. Clique na seta para trás junto a Adicionar filtro quando quiser remover o filtro.
Clique em Explorar caminhos de ataque completos no diagrama de Provas para uma compreensão detalhada do problema e de como os caminhos de ataque expõem recursos de elevado valor.
Clique em Como corrigir e siga as orientações para ajudar a mitigar o risco.

Casos

Pode ver todos os casos de combinações tóxicas acedendo à página Casos. Os pontos de estrangulamento não geram automaticamente um registo e devem ser vistos na página Problemas.

Para encontrar combinações tóxicas em registos, siga estas instruções:

Na Google Cloud consola, aceda a Risco > Registos. É apresentada a página da consola de operações de segurança Casos.
Na lista de registos, clique em Filtro de registos para abrir o painel de filtros. O painel Filtro de fila de registos é aberto.
No Filtro da fila de registos, especifique o seguinte: 1. No campo Período, especifique o período em que o registo está ativo. 1. Defina o operador lógico como E. 1. Na caixa de lista de chaves de filtro, selecione Etiquetas. 1. Defina o operador de igualdade como is. 1. Na caixa de lista de valores de filtro, selecione Combinação tóxica. 1. Clique em Aplicar. Os registos na fila de registos são atualizados para mostrar apenas os registos que correspondem ao filtro especificado.
Clique em Ordenar junto a Filtro de casos e selecione Ordenar por exposição a ataques (de elevada a baixa).
Na fila de registos, clique no registo que quer ver. Se estiver a ver registos na vista de lista, clique no ID do registo. As informações do registo são apresentadas.
Clique em Vista geral do registo.
Na secção Resumo do registo, siga as orientações em Passos seguintes.

Reveja as conclusões relacionadas em casos de combinação tóxica

Normalmente, uma combinação tóxica inclui uma ou mais deteções de uma vulnerabilidade de software ou uma configuração incorreta. Para cada uma destas conclusões, o Security Command Center abre automaticamente um registo separado e executa os manuais de soluções associados. Pode rever os registos relativos a estas conclusões e pedir aos proprietários dos registos que deem prioridade à respetiva correção para ajudar a resolver a combinação tóxica.

Para rever as conclusões relacionadas numa combinação tóxica, siga estes passos:

No separador Vista geral do registo de um registo, aceda à secção Conclusões.
Na secção Resultados, reveja os resultados apresentados.
- Clique no ID do registo da descoberta para abrir o registo e ver o respetivo estado, proprietário atribuído e outras informações do registo.
- Clique na pontuação de exposição a ataques para rever o caminho de ataque da descoberta.
- Se a descoberta tiver um ID do pedido, clique nele para abrir o pedido.

Em alternativa, pode ver as conclusões relacionadas nos respetivos separadores de alertas no registo.

Descobertas

Um registo de combinação tóxica ou de ponto de estrangulamento é o registo inicial que o motor de risco gera quando deteta uma combinação tóxica ou um ponto de estrangulamento no seu ambiente de nuvem.

Aceda à página Resultados.

Aceder a Conclusões
Selecione a sua Google Cloud organização.
Na secção Classe de deteção do painel Filtros rápidos, selecione Combinação tóxica ou Ponto de estrangulamento. O painel Resultados da consulta de conclusões é atualizado para mostrar apenas conclusões de combinação tóxica ou de gargalo.
Para ordenar as conclusões por gravidade, clique no cabeçalho da coluna Attack Exposure Score até que as pontuações estejam por ordem descendente.
Clique numa categoria de constatação para abrir o painel de detalhes da constatação. Aceda à secção Passos seguintes e siga as respetivas orientações para ajudar a corrigir o problema de segurança.

Feche registos de combinações tóxicas

Pode fechar um registo de uma combinação tóxica corrigindo a combinação tóxica subjacente ou desativando o alerta relacionado na consolaGoogle Cloud .

Feche um registo corrigindo uma combinação tóxica

Depois de corrigir os problemas de segurança que constituem uma combinação tóxica e estes deixarem de expor recursos no seu conjunto de recursos de elevado valor, o motor de risco fecha o registo automaticamente durante a próxima simulação do caminho de ataque, que é executada aproximadamente a cada seis horas.

Feche um registo desativando o som da descoberta

Se o risco apresentado pela combinação tóxica for aceitável para a sua empresa ou não conseguir corrigir a combinação tóxica, pode fechar o registo desativando o som da descoberta relacionada.

Para ignorar uma descoberta de combinação tóxica, siga estes passos:

Na Google Cloud consola, aceda a Risco > Registos.
Procure e abra o registo de combinação tóxica.
Clique no separador de alertas relacionados.
No widget Resumo da pesquisa, clique em Explorar resultados no SCC. É aberta a descoberta relacionada.
Use as Opções de desativação do som na página de detalhes da descoberta para desativar o som da descoberta.

Também pode desativar o som das descobertas na Google Cloud consola. Para mais informações, consulte o artigo Desativar o som de um resultado individual.

Veja registos de combinações tóxicas fechados

Quando um registo é fechado, o Security Command Center remove-o da página Registos.

Para ver um registo de combinação tóxica fechado, siga estes passos:

Na Google Cloud consola, aceda a Investigação > Pesquisa SOAR. É apresentada a página da consola de operações de segurança da Pesquisa SOAR.
Expanda a secção Estado e, de seguida, selecione Fechado.
Expanda a secção Etiquetas e, de seguida, selecione Combinação tóxica.
Clique em Aplicar. Os casos de combinação tóxica fechados são apresentados nos resultados da pesquisa.