Esta página se ha traducido con Cloud Translation API.

Gestionar combinaciones tóxicas y puntos de bloqueo

En esta página se proporcionan instrucciones para identificar y responder a combinaciones tóxicas y cuellos de botella mediante las siguientes páginas:

Problemas disponibles en los niveles de servicio Premium y Enterprise.
Casos, disponibles en el nivel de servicio Enterprise.
Resultados, disponibles en los niveles de servicio Enterprise y Premium.

Antes de empezar

Para asegurarte de que la detección de combinaciones tóxicas y cuellos de botella sea precisa, comprueba que el software del componente de operaciones de seguridad esté actualizado, que el conjunto de recursos de alto valor esté designado correctamente y que tengas los permisos de gestión de identidades y accesos adecuados.

Opcional: Recoger datos de otras nubes

Risk Engine permite ejecutar simulaciones en datos de Amazon Web Services (AWS) (vista previa) y Microsoft Azure (vista previa) para identificar combinaciones tóxicas y cuellos de botella.

Configura la conexión de Security Command Center a estos proveedores de servicios en la nube para recoger datos de recursos y de configuración. Para obtener información sobre cómo configurar las conexiones, consulta lo siguiente:

Para ver la lista de recursos admitidos, consulta Compatibilidad con funciones de Risk Engine.

Obtener los permisos necesarios

Para trabajar con combinaciones tóxicas y cuellos de botella, necesitas permisos que te den acceso a las funciones de Security Command Center y Google SecOps.

Roles de gestión de identidades y accesos de Security Command Center

Para obtener los permisos que necesitas para trabajar en Security Command Center, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu organización:

Para ver las rutas de ataque, sigue estos pasos:
- Lector de administración del centro de seguridad (roles/securitycenter.adminViewer)
- Lector de rutas de ataque del Centro de Seguridad (roles/securitycenter.attackPathsViewer)
- Lector de resultados del centro de seguridad (roles/securitycenter.findingsViewer)
Para ver los resultados de la ruta de ataque, sigue estos pasos:
- Lector de administración del centro de seguridad (roles/securitycenter.adminViewer)
- Lector de rutas de ataque del Centro de Seguridad (roles/securitycenter.attackPathsViewer)
- Lector de resultados del centro de seguridad (roles/securitycenter.findingsViewer)
Ver resultados:
- Lector de administración del centro de seguridad (roles/securitycenter.adminViewer)
- Lector de resultados del centro de seguridad (roles/securitycenter.findingsViewer)
Silenciar hallazgos:
- Lector de administración del centro de seguridad (roles/securitycenter.adminViewer)
- Editor de resultados del centro de seguridad (roles/securitycenter.findingsEditor)
- Configurador de silencio de los resultados del centro de seguridad (roles/securitycenter.findingsMuteSetter)
Ver recursos:
- Lector de administración del centro de seguridad (roles/securitycenter.adminViewer)
- Configurador de silencio de los resultados del centro de seguridad (roles/securitycenter.findingsMuteSetter)
Editar resultados:
- Lector de administración del centro de seguridad (roles/securitycenter.adminViewer)
- Editor de resultados del centro de seguridad (roles/securitycenter.findingsEditor)
- Lector de resultados del centro de seguridad (roles/securitycenter.findingsViewer)

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Para obtener más información sobre los roles y permisos de Security Command Center, consulta el artículo sobre la gestión de identidades y accesos para activaciones a nivel de organización.

Roles de gestión de identidades y accesos de Google SecOps

Para trabajar con combinaciones y casos tóxicos, necesitas uno de los siguientes roles:

Gestor de vulnerabilidades de Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)
Gestor de amenazas de Chronicle SOAR (roles/chronicle.soarThreatManager)
Administrador de Chronicle SOAR (roles/chronicle.soarAdmin)

Para obtener información sobre cómo asignar el rol a un usuario, consulta Asignar y autorizar usuarios con IAM.

Instalar el caso práctico de operaciones de seguridad más reciente

Para usar la función de combinación tóxica, debes tener la versión del 25 de junio del 2024 o una posterior del caso de uso SCC Enterprise – Cloud Orchestration and Remediation.

Para obtener información sobre cómo instalar el caso práctico, consulta Actualizar el caso práctico Enterprise, junio del 2024.

Especificar el conjunto de recursos de alto valor

No es necesario que habilites la detección de combinaciones tóxicas y cuellos de botella, ya que está activada de forma predeterminada. Risk Engine detecta automáticamente combinaciones tóxicas y puntos de estrangulamiento que exponen un conjunto de recursos de alto valor predeterminado.

Es poco probable que las detecciones de combinaciones tóxicas y cuellos de botella generadas a partir del conjunto de recursos de alto valor predeterminado reflejen con precisión sus prioridades de seguridad. Para especificar qué recursos forman parte de tu conjunto de recursos de alto valor, crea configuraciones de valor de recursos en la consola de Google Cloud . Para obtener instrucciones, consulta Definir y gestionar tu conjunto de recursos de alto valor.

Corregir combinaciones tóxicas y cuellos de botella

Las combinaciones tóxicas y los puntos de estrangulamiento pueden exponer muchos recursos de alto valor a posibles atacantes. Deberías corregirlos antes que otros riesgos de tus entornos de nube.

Puedes priorizar el orden en el que corriges las combinaciones tóxicas y los cuellos de botella en función de su puntuación de exposición a ataques. La forma de hacerlo cambia en función de dónde veas las combinaciones tóxicas y los cuellos de botella.

Problemas

Puede acceder a las combinaciones tóxicas y los puntos de bloqueo de mayor riesgo (que se muestran como problemas) en las siguientes páginas:

Nivel de servicio Enterprise de Security Command Center: página Riesgo > Resumen
Nivel de servicio Premium de Security Command Center: Security Command Center > Resumen de riesgos

Todas las combinaciones tóxicas y los puntos de bloqueo se pueden ver en la página Riesgo > Problemas.

Para solucionar un problema, sigue estas instrucciones:

Premium

Para ver todos los problemas, vaya a la página Problemas de Security Command Center.
Ir a Problemas
De forma predeterminada, los problemas agrupados se clasifican por gravedad. Dentro del grupo, los problemas se clasifican según la puntuación de exposición a ataques. Para ordenar todos los problemas por puntuación de exposición a ataques, inhabilita Agrupar por detecciones.
Selecciona un problema.
Revisa la descripción del problema y las pruebas.
Si hay hallazgos relacionados, consulta sus detalles.
Si se detectan varios problemas críticos en un recurso principal de una combinación tóxica o un cuello de botella, se mostrará un mensaje después del diagrama Pruebas. Para optimizar tus esfuerzos de corrección, haz clic en Filtrar los problemas de este recurso principal en este mensaje para centrarte en resolver los problemas de ese recurso concreto. Haz clic en la flecha hacia atrás situada junto a Añadir filtro cuando quieras quitar el filtro.
En el diagrama Pruebas, haz clic en Explorar rutas de ataque completas para obtener información detallada sobre el problema y sobre cómo las rutas de ataque exponen los recursos de alto valor.
Haga clic en Cómo solucionarlo y siga las instrucciones para mitigar el riesgo.

Empresa

Para ver todos los problemas, vaya a la página Riesgo > Problemas de Security Command Center.
Ir a Problemas
De forma predeterminada, los problemas agrupados se clasifican por gravedad. Dentro del grupo, los problemas se clasifican según la puntuación de exposición a ataques. Para ordenar todos los problemas por puntuación de exposición a ataques, inhabilita Agrupar por detecciones.
Selecciona un problema.
Revisa la descripción del problema y las pruebas.
Si hay hallazgos relacionados, consulta sus detalles.
Si se detectan varios problemas críticos en un recurso principal de una combinación tóxica o un cuello de botella, se mostrará un mensaje después del diagrama Pruebas. Para optimizar tus esfuerzos de corrección, haz clic en Filtrar los problemas de este recurso principal en este mensaje para centrarte en resolver los problemas de ese recurso concreto. Haz clic en la flecha hacia atrás situada junto a Añadir filtro cuando quieras quitar el filtro.
En el diagrama Pruebas, haz clic en Explorar rutas de ataque completas para obtener información detallada sobre el problema y sobre cómo las rutas de ataque exponen los recursos de alto valor.
Haga clic en Cómo solucionarlo y siga las instrucciones para mitigar el riesgo.

Casos

Para ver todos los casos de combinaciones tóxicas, ve a la página Casos. Los puntos de bloqueo no generan casos automáticamente y deben consultarse en la página Problemas.

Para encontrar combinaciones tóxicas en casos, sigue estas instrucciones:

En la Google Cloud consola, ve a Riesgo > Casos. Se abrirá la página Casos de la consola de operaciones de seguridad.
En la lista de casos, haz clic en Filtro de casos para abrir el panel de filtros. Se abre el panel Filtro de la cola de casos.
En Filtro de cola de casos, especifique lo siguiente: 1. En el campo Periodo, especifica el periodo durante el cual el caso está activo. 1. Define Operador lógico como Y. 1. En el cuadro de lista de claves de filtro, seleccione Etiquetas. 1. Define el operador de igualdad como es. 1. En el cuadro de lista de valores del filtro, selecciona Combinación tóxica. 1. Haz clic en Aplicar. Los casos de la cola se actualizan para mostrar solo los que coinciden con el filtro que has especificado.
Haz clic en Ordenar junto a Filtro de casos y selecciona Ordenar por exposición a ataques (de mayor a menor).
En la cola de casos, haz clic en el caso que quieras ver. Si estás viendo los casos en la vista de lista, haz clic en el ID del caso. Se muestra la información del caso.
Haz clic en Resumen del caso.
En la sección Resumen del caso, sigue las indicaciones de Pasos siguientes.

Revisar los hallazgos relacionados en los casos de combinaciones tóxicas

Por lo general, una combinación tóxica incluye uno o varios hallazgos de una vulnerabilidad de software o de un error de configuración. Por cada uno de estos resultados, Security Command Center abre automáticamente un caso independiente y ejecuta los cuadernos de estrategias asociados. Puedes revisar los casos de estos resultados y pedir a los propietarios de las incidencias que prioricen su corrección para ayudar a resolver la combinación tóxica.

Para revisar las conclusiones relacionadas de una combinación tóxica, sigue estos pasos:

En la pestaña Resumen del caso de un caso, vaya a la sección Resultados.
En la sección Resultados, revise los resultados que se muestran.
- Haga clic en el ID del caso de la detección para abrirlo y ver su estado, el propietario asignado y otra información del caso.
- Haga clic en la puntuación de exposición a ataques para revisar la ruta de ataque del hallazgo.
- Si el resultado tiene un ID de incidencia, haz clic en él para abrir la incidencia.

También puedes ver los hallazgos relacionados en sus propias pestañas de alertas en el caso.

Resultados

Un hallazgo de combinación tóxica o de cuello de botella es el registro inicial que genera Risk Engine cuando detecta una combinación tóxica o un cuello de botella en tu entorno de nube.

Ve a la página Resultados.

Ir a Resultados
Selecciona tu Google Cloud organización.
En la sección Búsqueda de clases del panel Filtros rápidos, selecciona Combinación tóxica o Cuello de botella. El panel Resultados de la consulta de hallazgos se actualiza para mostrar solo los hallazgos de combinación tóxica o de punto crítico.
Para ordenar los resultados por gravedad, haz clic en el encabezado de la columna Puntuación de exposición a ataques hasta que las puntuaciones estén en orden descendente.
Haz clic en una categoría de resultados para abrir el panel de detalles de los resultados. Ve a la sección Pasos siguientes y sigue las instrucciones para solucionar el problema de seguridad.

Cerrar casos de combinaciones tóxicas

Para cerrar un caso de combinación tóxica, puedes corregir la combinación tóxica subyacente o silenciar el hallazgo relacionado en la consolaGoogle Cloud .

Cerrar un caso corrigiendo una combinación tóxica

Una vez que hayas corregido los problemas de seguridad que forman una combinación tóxica y ya no expongan ningún recurso de tu conjunto de recursos de alto valor, Risk Engine cerrará el caso automáticamente durante la siguiente simulación de ruta de ataque, que se ejecuta aproximadamente cada seis horas.

Cerrar un caso silenciando el resultado

Si el riesgo que supone la combinación tóxica es aceptable para tu empresa o no puedes corregirla, puedes cerrar el caso silenciando el hallazgo relacionado.

Para silenciar un resultado de combinación tóxica, sigue estos pasos:

En la Google Cloud consola, ve a Riesgo > Casos.
Busca y abre el caso de combinación tóxica.
Haz clic en la pestaña de la alerta relacionada.
En el widget Resumen de las detecciones, haga clic en Explorar las detecciones en SCC. Se abrirá el hallazgo relacionado.
Usa las opciones de silenciar de la página de detalles del resultado para silenciarlo.

También puedes silenciar resultados en la Google Cloud consola. Para obtener más información, consulta Silenciar un resultado individual.

Ver casos de combinaciones tóxicas cerrados

Cuando se cierra un caso, Security Command Center lo quita de la página Casos.

Para ver un caso de combinación tóxica cerrado, sigue estos pasos:

En la Google Cloud consola, ve a Investigación > Búsqueda de SOAR. Se abre la página de la consola Búsqueda de SOAR de Operaciones de seguridad.
Despliega la sección Estado y selecciona Cerrado.
Despliega la sección Etiquetas y, a continuación, selecciona Combinación tóxica.
Haz clic en Aplicar. Los casos de combinaciones tóxicas cerrados se muestran en los resultados de búsqueda.