Questa pagina fornisce istruzioni per identificare e rispondere a combinazioni tossiche e chokepoint utilizzando le seguenti pagine:
- Problemi, disponibili nei livelli di servizio Premium ed Enterprise.
- Richieste, disponibili nel livello di servizio Enterprise.
- Risultati, disponibili nei livelli di servizio Enterprise e Premium.
Prima di iniziare
Per garantire che il rilevamento di combinazioni tossiche e chokepoint sia accurato, verifica che il software del componente Security Operations sia aggiornato, che il set di risorse di alto valore sia designato con precisione e di disporre delle autorizzazioni IAM appropriate.
(Facoltativo) Raccogli dati da altri cloud
Risk Engine supporta l'esecuzione di simulazioni sui dati di Amazon Web Services (AWS) (anteprima) e Microsoft Azure (anteprima) per identificare combinazioni tossiche e punti di strozzatura.
Configura la connessione da Security Command Center a questi fornitori di servizi cloud per raccogliere dati su risorse e configurazione. Per informazioni sulla configurazione delle connessioni, vedi quanto segue:
- Connettiti ad AWS per la raccolta di dati di configurazione e risorse
- Connettersi a Microsoft Azure per la configurazione e la raccolta dei dati delle risorse
Per l'elenco delle risorse supportate, consulta Supporto delle funzionalità del motore di valutazione del rischio.
Ottenere le autorizzazioni richieste
Per lavorare con combinazioni tossiche e colli di bottiglia, devi disporre di autorizzazioni che concedano l'accesso a Security Command Center e alle funzionalità di Google SecOps.
Ruoli IAM di Security Command Center
Per ottenere le autorizzazioni necessarie per lavorare in Security Command Center, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione:
-
Visualizza i percorsi di attacco:
-
Security Center Admin Viewer (
roles/securitycenter.adminViewer) -
Security Center Attack Paths Reader (
roles/securitycenter.attackPathsViewer) -
Visualizzatore risultati Centro sicurezza (
roles/securitycenter.findingsViewer)
-
Security Center Admin Viewer (
-
Visualizza i risultati del percorso di attacco:
-
Security Center Admin Viewer (
roles/securitycenter.adminViewer) -
Security Center Attack Paths Reader (
roles/securitycenter.attackPathsViewer) -
Visualizzatore risultati Centro sicurezza (
roles/securitycenter.findingsViewer)
-
Security Center Admin Viewer (
-
Visualizza risultati:
-
Security Center Admin Viewer (
roles/securitycenter.adminViewer) -
Visualizzatore risultati Centro sicurezza (
roles/securitycenter.findingsViewer)
-
Security Center Admin Viewer (
-
Disattiva risultati:
-
Security Center Admin Viewer (
roles/securitycenter.adminViewer) -
Editor risultati Centro sicurezza (
roles/securitycenter.findingsEditor) -
Security Center Findings Mute Setter (
roles/securitycenter.findingsMuteSetter)
-
Security Center Admin Viewer (
-
Visualizza risorse:
-
Security Center Admin Viewer (
roles/securitycenter.adminViewer) -
Security Center Findings Mute Setter (
roles/securitycenter.findingsMuteSetter)
-
Security Center Admin Viewer (
-
Modifica risultati:
-
Security Center Admin Viewer (
roles/securitycenter.adminViewer) -
Editor risultati Centro sicurezza (
roles/securitycenter.findingsEditor) -
Visualizzatore risultati Centro sicurezza (
roles/securitycenter.findingsViewer)
-
Security Center Admin Viewer (
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Per saperne di più sui ruoli e sulle autorizzazioni di Security Command Center, consulta IAM per le attivazioni a livello di organizzazione.
Ruoli IAM Google SecOps
Per lavorare con combinazioni e casi tossici, devi disporre di uno dei seguenti ruoli:
- Chronicle SOAR Vulnerability Manager
(
roles/chronicle.soarVulnerabilityManager) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - Amministratore Chronicle SOAR (
roles/chronicle.soarAdmin)
Per informazioni sulla concessione del ruolo a un utente, vedi Mappare e autorizzare gli utenti utilizzando IAM.
Installa l'ultimo caso d'uso per le operazioni di sicurezza
La funzionalità di combinazione tossica richiede la release del 25 giugno 2024 o successive del caso d'uso SCC Enterprise - Cloud Orchestration and Remediation.
Per informazioni sull'installazione del caso d'uso, consulta Aggiornamento del caso d'uso Enterprise, giugno 2024.
Specifica il set di risorse di alto valore
Non è necessario abilitare il rilevamento di combinazioni tossiche e chokepoint, perché è sempre attivo. Risk Engine rileva automaticamente le combinazioni tossiche e i chokepoint che espongono un set di risorse di alto valore predefinito.
È improbabile che i risultati relativi a combinazioni tossiche e chokepoint generati in base al set di risorse di alto valore predefinito riflettano con precisione le tue priorità di sicurezza. Per specificare quali risorse fanno parte del set di risorse di alto valore, crea configurazioni di valori delle risorse nella console Google Cloud . Per istruzioni, vedi Definisci e gestisci il set di risorse di alto valore.
Correggere combinazioni dannose e chokepoint
Le combinazioni tossiche e i chokepoint possono esporre molte risorse di alto valore a potenziali utenti malintenzionati. Devi risolverli prima di altri rischi nei tuoi ambienti cloud.
Puoi dare la priorità all'ordine in cui correggere le combinazioni dannose e i chokepoint in base al loro punteggio di esposizione agli attacchi. La procedura varia a seconda di dove visualizzi le combinazioni dannose e i chokepoint.
Problemi
Puoi accedere alle combinazioni tossiche e ai punti critici a rischio più elevato (visualizzati come problemi) nelle seguenti pagine:
- Livello di servizio Security Command Center Enterprise: pagina Panoramica > dei rischi
- Livello di servizio Security Command Center Premium: Security Command Center > Panoramica dei rischi
Tutte le combinazioni dannose e i chokepoint possono essere visualizzati nella pagina Rischio > Problemi�.
Per risolvere un problema, completa le seguenti istruzioni:
Premium
- Per visualizzare tutti i problemi, vai alla pagina Problemi di Security Command Center.
- Per impostazione predefinita, i problemi raggruppati sono classificati in base alla gravità. All'interno del gruppo, i problemi sono classificati in base al punteggio di esposizione agli attacchi. Per ordinare tutti i problemi in base al punteggio di esposizione agli attacchi, disattiva Raggruppa per rilevamenti.
- Seleziona un problema.
- Esamina la descrizione del problema e le prove.
- Se sono presenti risultati correlati, visualizzane i dettagli.
- Se vengono rilevati più problemi critici in una risorsa principale in
una combinazione tossica o in un chokepoint, viene visualizzato un messaggio dopo
il diagramma Prove. Per ottimizzare i tuoi sforzi di correzione, fai clic su
Filtra i problemi per questa risorsa principale in questo messaggio per concentrarti sulla
risoluzione dei problemi per quella risorsa specifica. Fai clic sulla freccia
indietro accanto ad
Aggiungi filtro quando vuoi rimuovere il filtro. - Fai clic su Esplora percorsi di attacco completi nel diagramma Prove per comprendere in modo approfondito il problema e come i percorsi di attacco espongono risorse di alto valore.
- Fai clic su Come risolvere il problema e segui le indicazioni per contribuire a mitigare il rischio.
Aziende
- Per visualizzare tutti i problemi, vai alla pagina Rischi > Problemi di Security Command Center.
- Per impostazione predefinita, i problemi raggruppati sono classificati in base alla gravità. All'interno del gruppo, i problemi sono classificati in base al punteggio di esposizione agli attacchi. Per ordinare tutti i problemi in base al punteggio di esposizione agli attacchi, disattiva Raggruppa per rilevamenti.
- Seleziona un problema.
- Esamina la descrizione del problema e le prove.
- Se sono presenti risultati correlati, visualizzane i dettagli.
- Se vengono rilevati più problemi critici in una risorsa principale in
una combinazione tossica o in un chokepoint, viene visualizzato un messaggio dopo
il diagramma Prove. Per ottimizzare i tuoi sforzi di correzione, fai clic su
Filtra i problemi per questa risorsa principale in questo messaggio per concentrarti sulla
risoluzione dei problemi per quella risorsa specifica. Fai clic sulla freccia
indietro accanto ad
Aggiungi filtro quando vuoi rimuovere il filtro.
- Fai clic su Esplora percorsi di attacco completi nel diagramma Prove per comprendere in modo approfondito il problema e come i percorsi di attacco espongono risorse di alto valore.
- Fai clic su Come risolvere il problema e segui le indicazioni per contribuire a mitigare il rischio.
Richieste
Puoi visualizzare tutte le richieste relative alla combinazione tossica andando alla pagina Richieste. I punti di strozzatura non generano automaticamente una richiesta e devono essere visualizzati nella pagina Problemi.Per trovare combinazioni tossiche nelle richieste, completa le seguenti istruzioni:
- Nella console Google Cloud , vai a Rischio > Richieste. Viene visualizzata la pagina della console Casi di Security Operations.
- Nell'elenco delle richieste, fai clic su
Filtro richieste per aprire il riquadro dei filtri. Si apre il riquadro Filtro coda di richieste.
- Nel Filtro coda richieste, specifica quanto segue: 1. Nel campo Intervallo di tempo, specifica il periodo di tempo in cui la richiesta è attiva. 1. Imposta Operatore logico su AND. 1. Nella casella dell'elenco delle chiavi di filtro, seleziona Tag. 1. Imposta l'operatore di uguaglianza su è. 1. Nella casella dell'elenco dei valori del filtro, seleziona Combinazione tossica. 1. Fai clic su Applica. Le richieste nella coda vengono aggiornate in modo da mostrare solo quelle che corrispondono al filtro specificato.
- Fai clic su Ordina accanto a
Filtro casi e seleziona Ordina per esposizione agli attacchi (dal più alto al più basso).
- Nella coda delle richieste, fai clic sulla richiesta che vuoi visualizzare. Se stai visualizzando le richieste nella visualizzazione elenco, fai clic sull'case IDa. Vengono visualizzate le informazioni sulla richiesta.
- Fai clic su
Panoramica della richiesta. - Nella sezione Riepilogo della richiesta, segui le indicazioni riportate nella sezione Passaggi successivi.
Esaminare i risultati correlati nelle richieste di combinazione tossica
In genere, una combinazione tossica include uno o più risultati di una vulnerabilità del software o di un errore di configurazione. Per ciascuno di questi risultati, Security Command Center apre automaticamente un caso separato ed esegue i playbook associati. Puoi esaminare i casi relativi a questi risultati e chiedere ai proprietari dei ticket di dare la priorità alla correzione per risolvere la combinazione tossica.
Per esaminare i risultati correlati in una combinazione tossica:
- Nella scheda
Panoramica del caso di un caso, vai alla sezione Risultati.
Nella sezione Risultati, esamina i risultati elencati.
- Fai clic sull'case ID del risultato per aprire la richiesta e visualizzarne lo stato, il proprietario assegnato e altre informazioni.
- Fai clic sul punteggio di esposizione agli attacchi per esaminare il percorso di attacco per il risultato.
- Se il risultato ha un ID ticket, fai clic per aprirlo.
In alternativa, puoi visualizzare i risultati correlati nelle rispettive schede degli avvisi nel caso.
Risultati
Un risultato di combinazione tossica o punto di strozzatura è il record iniziale che Risk Engine genera quando rileva una combinazione tossica o un punto di strozzatura nel tuo ambiente cloud.
Vai alla pagina Risultati.
Seleziona la tua Google Cloud organizzazione.
Nella sezione Ricerca della classe del riquadro Filtri rapidi, seleziona Combinazione tossica o Punto di strozzatura. Il riquadro Risultati della query sui risultati viene aggiornato per mostrare solo i risultati relativi a combinazioni tossiche o chokepoint.
Per ordinare i risultati in base alla gravità, fai clic sull'intestazione della colonna Punteggio di esposizione agli attacchi finché i punteggi non sono in ordine decrescente.
Fai clic su una categoria di risultati per aprire il riquadro dei dettagli. Vai alla sezione Passaggi successivi e segui le indicazioni per risolvere il problema di sicurezza.
Chiudi le richieste relative alle combinazioni tossiche
Puoi chiudere un caso per una combinazione tossica correggendo la combinazione tossica sottostante o disattivando il risultato correlato nella consoleGoogle Cloud .
Chiudere una richiesta correggendo una combinazione tossica
Dopo aver risolto i problemi di sicurezza che compongono una combinazione tossica e non espongono più risorse nel set di risorse di alto valore, Risk Engine chiude automaticamente il caso durante la successiva simulazione del percorso di attacco, che viene eseguita circa ogni sei ore.
Chiudere un problema disattivando il risultato
Se il rischio rappresentato dalla combinazione tossica è accettabile per la tua attività o non puoi risolvere il problema, puoi chiudere la richiesta disattivando la notifica correlata.
Per disattivare un risultato di combinazione tossica:
- Nella console Google Cloud , vai a Rischio > Richieste.
- Individua e apri la richiesta di combinazione tossica.
- Fai clic sulla scheda dell'avviso correlato.
- Nel widget Riepilogo dei risultati, fai clic su Esplora i risultati in SCC. Si apre il risultato correlato.
- Utilizza le opzioni di disattivazione nella pagina dei dettagli del risultato per disattivarlo.
Puoi anche disattivare gli avvisi nella console Google Cloud . Per ulteriori informazioni, vedi Disattivare una singola scoperta.
Visualizzare le richieste relative alla combinazione tossica chiuse
Quando una richiesta viene chiusa, Security Command Center la rimuove dalla pagina Richieste.
Per visualizzare una richiesta relativa alla combinazione tossica chiusa:
- Nella console Google Cloud , vai a Indagine > Ricerca SOAR. Si apre la pagina della console SOAR Search di Security Operations.
- Espandi la sezione Stato, poi seleziona Chiusa.
- Espandi la sezione Tag, quindi seleziona Combinazione tossica.
- Fai clic su Applica. Le richieste di combinazione tossica chiuse vengono visualizzate nei risultati di ricerca.