Esta página fornece instruções para identificar e responder a combinações tóxicas e pontos críticos através das seguintes páginas:
- Problemas disponíveis no nível de serviço Enterprise.
- Registos disponíveis no nível de serviço Enterprise.
- Resultados, disponíveis nos níveis de serviço Enterprise e Premium.
Antes de começar
Para garantir que a deteção de combinações tóxicas e pontos de estrangulamento é precisa, verifique se o software do componente de operações de segurança está atualizado, se o seu conjunto de recursos de elevado valor está designado com precisão e se tem as autorizações de IAM adequadas.
Opcional: recolha dados de outras nuvens
O motor de risco suporta a execução de simulações em dados da Amazon Web Services (AWS) (pré-visualização) e do Microsoft Azure (pré-visualização) para identificar combinações tóxicas e pontos críticos.
Configure a ligação do Security Command Center a estes fornecedores de nuvem para recolher dados de recursos e de configuração. Para informações sobre a configuração das associações, consulte o seguinte:
- Estabeleça ligação à AWS para a configuração e a recolha de dados de recursos
- Estabeleça ligação ao Microsoft Azure para a configuração e a recolha de dados de recursos
Para ver a lista de recursos suportados, consulte o artigo Suporte de funcionalidades do motor de risco.
Obtenha as autorizações necessárias
Para trabalhar com a combinação tóxica e os pontos de estrangulamento, precisa de autorizações que concedam acesso ao Security Command Center e às funcionalidades do Google SecOps.
Funções IAM do Security Command Center
Make sure that you have the following role or roles on the organization:
-
Security Center Admin Viewer
(
roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center. -
Security Center Assets Viewer
(
roles/securitycenter.assetsViewer), to view only resources. -
Security Center Attack Paths Reader
(
roles/securitycenter.attackPathsViewer), to view only attack paths. -
Security Center Findings Editor
(
roles/securitycenter.findingsEditor), to view, mute, and edit findings. -
Security Center Findings Mute Setter
(
roles/securitycenter.findingsMuteSetter), to mute findings only. -
Security Center Findings Viewer
(
roles/securitycenter.findingsViewer), to view only findings.
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Aceder ao IAM - Selecione a organização.
- Clique em Conceder acesso.
-
No campo Novos responsáveis, introduza o identificador do utilizador. Normalmente, este é o endereço de email de uma Conta Google.
- Na lista Selecionar uma função, selecione uma função.
- Para conceder funções adicionais, clique em Adicionar outra função e adicione cada função adicional.
- Clique em Guardar.
- Chronicle SOAR Vulnerability Manager
(
roles/chronicle.soarVulnerabilityManager) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - Administrador do Chronicle SOAR (
roles/chronicle.soarAdmin) - Para ver todos os problemas, aceda a Risco > Problemas.
- Por predefinição, os problemas agrupados são classificados por gravidade. No grupo, os problemas são classificados pela pontuação de exposição a ataques. Para ordenar todos os problemas por pontuação de exposição a ataques, desative a opção Agrupar por deteções.
- Selecione um problema.
- Reveja a descrição e as provas do problema.
- Se existirem conclusões relacionadas, veja os respetivos detalhes.
- Se forem encontrados vários problemas críticos num recurso principal numa combinação tóxica ou num ponto de estrangulamento, é apresentada uma mensagem após o diagrama Provas. Para otimizar os seus esforços de remediação, clique em Filtrar problemas deste recurso principal nesta mensagem para se concentrar na resolução de problemas desse recurso específico. Clique na seta para trás junto a
Adicionar filtro quando quiser remover o filtro. - Clique em Explorar caminhos de ataque completos no diagrama de Provas para uma compreensão detalhada do problema e de como os caminhos de ataque expõem recursos de elevado valor.
- Clique em Como corrigir e siga as orientações para ajudar a mitigar o risco.
- Na Google Cloud consola, aceda a Risco > Registos. É apresentada a página da consola de operações de segurança Casos.
- Na lista de registos, clique em
Filtro de registos para abrir o painel de filtros. O painel Filtro de fila de registos é aberto.
- No Filtro da fila de registos, especifique o seguinte: 1. No campo Período, especifique o período em que o registo está ativo. 1. Defina o operador lógico como E. 1. Na caixa de lista de chaves de filtro, selecione Etiquetas. 1. Defina o operador de igualdade como is. 1. Na caixa de lista de valores de filtro, selecione Combinação tóxica. 1. Clique em Aplicar. Os registos na fila de registos são atualizados para mostrar apenas os registos que correspondem ao filtro especificado.
- Clique em Ordenar junto a
Filtro de casos e selecione Ordenar por exposição a ataques (de elevada a baixa).
- Na fila de registos, clique no registo que quer ver. Se estiver a ver registos na vista de lista, clique no ID do registo. As informações do registo são apresentadas.
- Clique em
Vista geral do registo. - Na secção Resumo do registo, siga as orientações em Passos seguintes.
- No separador
Vista geral do registo de um registo, aceda à secção Conclusões.
Na secção Resultados, reveja os resultados apresentados.
- Clique no ID do registo da descoberta para abrir o registo e ver o respetivo estado, proprietário atribuído e outras informações do registo.
- Clique na pontuação de exposição a ataques para rever o caminho de ataque da descoberta.
- Se a descoberta tiver um ID do pedido, clique nele para abrir o pedido.
Aceda à página Resultados.
Selecione a sua Google Cloud organização.
Na secção Classe de deteção do painel Filtros rápidos, selecione Combinação tóxica ou Ponto de estrangulamento. O painel Resultados da consulta de conclusões é atualizado para mostrar apenas conclusões de combinação tóxica ou de gargalo.
Para ordenar as conclusões por gravidade, clique no cabeçalho da coluna Attack Exposure Score até que as pontuações estejam por ordem descendente.
Clique numa categoria de constatação para abrir o painel de detalhes da constatação. Aceda à secção Próximos passos e siga as respetivas orientações para ajudar a corrigir o problema de segurança.
- Na Google Cloud consola, aceda a Risco > Registos.
- Procure e abra a caixa de combinação tóxica.
- Clique no separador de alertas relacionados.
- No widget Resumo da pesquisa, clique em Explorar resultados no SCC. É aberta a descoberta relacionada.
- Use as Opções de desativação do som na página de detalhes da deteção para desativar o som da deteção.
- Na Google Cloud consola, aceda a Investigação > Pesquisa SOAR. É apresentada a página da consola de operações de segurança da Pesquisa SOAR.
- Expanda a secção Estado e, de seguida, selecione Fechado.
- Expanda a secção Etiquetas e, de seguida, selecione Combinação tóxica.
- Clique em Aplicar. Os casos de combinação tóxica fechados são apresentados nos resultados da pesquisa.
Para mais informações sobre as funções e as autorizações do Security Command Center, consulte o artigo IAM para ativações ao nível da organização.
Funções de IAM do Google SecOps
Para trabalhar com combinações e casos tóxicos, precisa de uma das seguintes funções:
Para obter informações sobre como conceder a função a um utilizador, consulte o artigo Mapeie e autorize utilizadores com o IAM.
Instale o exemplo de utilização das operações de segurança mais recente
A funcionalidade de combinação tóxica requer o lançamento de 25 de junho de 2024 ou posterior do exemplo de utilização SCC Enterprise – Cloud Orchestration and Remediation.
Para ver informações sobre a instalação do exemplo de utilização, consulte o artigo Atualização do exemplo de utilização empresarial, junho de 2024.
Especifique o seu conjunto de recursos de elevado valor
Não precisa de ativar a deteção de combinações tóxicas e pontos de estrangulamento. Esta funcionalidade está sempre ativada. O motor de risco deteta automaticamente combinações tóxicas e pontos críticos que expõem um conjunto de recursos predefinidos de elevado valor.
É improvável que as conclusões de combinação tóxica e ponto de estrangulamento geradas com base no conjunto de recursos de valor elevado predefinido reflitam com precisão as suas prioridades de segurança. Para especificar que recursos fazem parte do seu conjunto de recursos de elevado valor, crie configurações de valor de recursos na Google Cloud consola. Para ver instruções, consulte o artigo Defina e faça a gestão do seu conjunto de recursos de alto valor.
Corrija combinações tóxicas e pontos de estrangulamento
As combinações tóxicas e os pontos de estrangulamento podem expor muitos recursos de elevado valor a potenciais atacantes. Deve corrigi-los antes de outros riscos nos seus ambientes de nuvem.
Pode dar prioridade à ordem pela qual corrige combinações tóxicas e pontos críticos com base na respetiva pontuação de exposição a ataques. A forma como o faz muda consoante o local onde vê as combinações tóxicas e os pontos críticos.
Problemas
Pode aceder às combinações tóxicas de risco mais elevado e aos pontos críticos (apresentados como problemas) na página Risco > Vista geral.Pode ver todas as combinações tóxicas e os pontos de estrangulamento na página Risco > Problemas.
Para corrigir um problema, conclua as seguintes instruções:
Casos
Pode ver todos os casos de combinações tóxicas acedendo à página Casos. Os pontos de estrangulamento não geram automaticamente um registo e devem ser vistos na página Problemas.Para encontrar combinações tóxicas em registos, siga estas instruções:
Reveja as conclusões relacionadas em casos de combinação tóxica
Normalmente, uma combinação tóxica inclui uma ou mais deteções de uma vulnerabilidade de software ou uma configuração incorreta. Para cada uma destas conclusões, o Security Command Center abre automaticamente um registo separado e executa os manuais de procedimentos associados. Pode rever os registos relativos a estas conclusões e pedir aos proprietários dos registos que deem prioridade à respetiva correção para ajudar a resolver a combinação tóxica.
Para rever as conclusões relacionadas numa combinação tóxica, siga estes passos:
Em alternativa, pode ver as conclusões relacionadas nos respetivos separadores de alertas no registo.
Conclusões
Um registo de combinação tóxica ou de ponto de estrangulamento é o registo inicial que o motor de risco gera quando deteta uma combinação tóxica ou um ponto de estrangulamento no seu ambiente de nuvem.
Feche registos de combinações tóxicas
Pode fechar um caso de combinação tóxica corrigindo a combinação tóxica subjacente ou desativando o alerta relacionado na consolaGoogle Cloud .
Feche um registo corrigindo uma combinação tóxica
Depois de corrigir os problemas de segurança que constituem uma combinação tóxica e estes deixarem de expor recursos no seu conjunto de recursos de elevado valor, o motor de risco fecha o registo automaticamente durante a próxima simulação do caminho de ataque, que é executada aproximadamente a cada seis horas.
Feche um registo desativando o som da descoberta
Se o risco apresentado pela combinação tóxica for aceitável para a sua empresa ou não conseguir corrigir a combinação tóxica, pode fechar o registo desativando o som da descoberta relacionada.
Para ignorar uma descoberta de combinação tóxica, siga estes passos:
Também pode desativar o som das descobertas na Google Cloud consola. Para mais informações, consulte o artigo Desative o som de um resultado individual.
Veja casos de combinação tóxica fechados
Quando um registo é fechado, o Security Command Center remove-o da página Registos.
Para ver um registo de combinação tóxica fechado, siga estes passos: