Esta página fornece instruções para identificar e responder a combinações tóxicas e pontos de estrangulamento usando as seguintes páginas:
- Problemas, disponíveis nos níveis de serviço Premium e Enterprise.
- Casos, disponíveis no nível de serviço Enterprise.
- Descobertas, disponíveis nos níveis de serviço Premium e Enterprise.
Antes de começar
Para garantir que a detecção de combinações tóxicas e pontos de estrangulamento seja precisa, verifique se o software do componente de operações de segurança está atualizado, se o conjunto de recursos de alto valor está designado com precisão e se você tem as permissões do IAM adequadas.
Opcional: coletar dados de outras nuvens
O Risk Engine oferece suporte à execução de simulações em dados da Amazon Web Services (AWS) (visualização) e do Microsoft Azure (visualização) para identificar combinações tóxicas e pontos de estrangulamento.
Configure a conexão do Security Command Center com esses provedores de nuvem para coletar dados de recursos e configuração. Para informações sobre como configurar as conexões, consulte o seguinte:
- Conectar-se à AWS para coleta de dados de configuração e recursos
- Conectar-se ao Microsoft Azure para coleta de dados de configuração e recursos
Para conferir a lista de recursos compatíveis, consulte Suporte a recursos do Risk Engine.
Receber as permissões necessárias
Para trabalhar com combinações tóxicas e pontos de estrangulamento, você precisa de permissões que concedam acesso aos recursos do Security Command Center e do Google SecOps.
Papéis do IAM do Security Command Center
Para receber as permissões necessárias para trabalhar com combinações tóxicas e pontos de estrangulamento, peça ao administrador que conceda a você os seguintes papéis do IAM na sua organização:
-
Mostrar caminhos de ataque:
- Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) - Leitor de caminhos de ataque da Central de segurança (
roles/securitycenter.attackPathsViewer) - Leitor de descobertas da Central de segurança (
roles/securitycenter.findingsViewer)
- Leitor administrador da Central de segurança (
-
Mostrar descobertas de caminhos de ataque:
- Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) - Leitor de caminhos de ataque da Central de segurança (
roles/securitycenter.attackPathsViewer) - Leitor de descobertas da Central de segurança (
roles/securitycenter.findingsViewer)
- Leitor administrador da Central de segurança (
-
Mostrar descobertas:
- Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) - Leitor de descobertas da Central de segurança (
roles/securitycenter.findingsViewer)
- Leitor administrador da Central de segurança (
-
Silenciar descobertas:
- Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) - Editor de descobertas da Central de segurança (
roles/securitycenter.findingsEditor) - Setter de desativação de som de descobertas da Central de segurança (
roles/securitycenter.findingsMuteSetter)
- Leitor administrador da Central de segurança (
-
Mostrar recursos:
- Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) - Setter de desativação de som de descobertas da Central de segurança (
roles/securitycenter.findingsMuteSetter)
- Leitor administrador da Central de segurança (
-
Editar descobertas:
- Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) - Editor de descobertas da Central de segurança (
roles/securitycenter.findingsEditor) - Leitor de descobertas da Central de segurança (
roles/securitycenter.findingsViewer)
- Leitor administrador da Central de segurança (
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.
Para mais informações sobre os papéis e permissões do Security Command Center, consulte IAM para ativações no nível da organização.
Papéis do IAM do Google SecOps
Para o nível de serviço Enterprise, para trabalhar com combinações tóxicas e casos, você precisa de um dos seguintes papéis:
- Gerenciador de vulnerabilidades do Chronicle SOAR (
roles/chronicle.soarVulnerabilityManager) - Gerenciador de ameaças do Chronicle SOAR (
roles/chronicle.soarThreatManager) - Administrador do Chronicle SOAR (
roles/chronicle.soarAdmin)
Para informações sobre como conceder o papel a um usuário, consulte Mapear e autorizar usuários usando o IAM.
Instalar o caso de uso de operações de segurança mais recente
O recurso de combinação tóxica exige a versão de 25 de junho de 2024 ou mais recente do caso de uso SCC Enterprise – Cloud Orchestration and Remediation.
Para informações sobre como instalar o caso de uso, consulte Atualizar o caso de uso do Enterprise, junho de 2024.
Especificar seu conjunto de recursos de alto valor
Não é necessário ativar a detecção de combinações tóxicas e pontos de estrangulamento. Ela está sempre ativada. O Risk Engine detecta automaticamente combinações tóxicas e pontos de estrangulamento que expõem um conjunto de recursos de alto valor padrão.
É improvável que as descobertas de combinações tóxicas e pontos de estrangulamento geradas com base no conjunto de recursos de alto valor padrão reflitam com precisão suas prioridades de segurança. Para especificar quais recursos fazem parte do seu conjunto de recursos de alto valor, crie configurações de valor de recursos no Google Cloud console. Para instruções, consulte Definir e gerenciar seu conjunto de recursos de alto valor set.
Corrigir combinações tóxicas e pontos de estrangulamento
Combinações tóxicas e pontos de estrangulamento podem expor muitos recursos de alto valor a possíveis invasores. É recomendável corrigi-los antes de outros riscos nos seus ambientes de nuvem.
É possível priorizar a ordem em que você corrige combinações tóxicas e pontos de estrangulamento com base na pontuação de exposição a ataques. A maneira de fazer isso muda dependendo de onde você visualiza combinações tóxicas e pontos de estrangulamento.
Problemas
Para os níveis de serviço Premium e Enterprise, é possível acessar as combinações tóxicas e os pontos de estrangulamento de maior risco (mostrados como problemas) nas seguintes páginas:
- Nível de serviço Enterprise: Risco > Visão geral página
- Nível de serviço Premium: Security Command Center > Visão geral de riscos
Todas as combinações tóxicas e pontos de estrangulamento podem ser visualizados na página Risco > Problemas.
Para corrigir um problema, siga estas instruções:
Premium
Mostrar todos os problemas
- Para conferir todos os problemas, acesse a página Problemas do Security Command Center.
- Selecione sua Google Cloud organização.
Classificar por pontuação de exposição a ataques
- Por padrão, os problemas agrupados são classificados por gravidade. Dentro do grupo, os problemas são classificados por pontuação de exposição a ataques. Para ordenar todos os problemas por pontuação de exposição a ataques, desative Agrupar por detecções.
- Selecione um problema.
- Revise a descrição e as evidências do problema.
Acessar mais informações
- Se houver descobertas relacionadas, confira os detalhes delas.
- Se vários problemas críticos forem encontrados em um recurso principal em
uma combinação tóxica ou ponto de estrangulamento, uma mensagem vai aparecer após
o diagrama Evidência. Para otimizar seus esforços de correção, clique em
Filtrar problemas neste recurso principal na mensagem e concentre-se em
resolver problemas desse recurso específico. Clique na seta para trás ao lado de
Adicionar filtro quando quiser remover o filtro. - Clique em Analise caminhos de ataque completos no diagrama Evidências para entender melhor o problema e como os caminhos de ataque expõem recursos de alto valor.
- Clique em Como corrigir e siga as orientações para reduzir o risco.
Enterprise
Mostrar todos os problemas
- Para conferir todos os problemas, acesse a página Risco > Problemas do Security Command Center.
- Selecione sua Google Cloud organização.
Classificar por pontuação de exposição a ataques
- Por padrão, os problemas agrupados são classificados por gravidade. Dentro do grupo, os problemas são classificados por pontuação de exposição a ataques. Para ordenar todos os problemas por pontuação de exposição a ataques, desative Agrupar por detecções.
- Selecione um problema.
- Revise a descrição e as evidências do problema.
Acessar mais informações
- Se houver descobertas relacionadas, confira os detalhes delas.
- Se vários problemas críticos forem encontrados em um recurso principal em
uma combinação tóxica ou ponto de estrangulamento, uma mensagem vai aparecer após
o diagrama Evidência. Para otimizar seus esforços de correção, clique em
Filtrar problemas neste recurso principal na mensagem e concentre-se em
resolver problemas desse recurso específico. Clique na seta para trás ao lado de
Adicionar filtro quando quiser remover o filtro.
- Clique em Analise caminhos de ataque completos no diagrama Evidências para entender melhor o problema e como os caminhos de ataque expõem recursos de alto valor.
- Clique em Como corrigir e siga as orientações para reduzir o risco.
Casos
Para o nível de serviço Enterprise, é possível conferir todos os casos de combinações tóxicas acessando a página Casos. Os pontos de estrangulamento não geram um caso automaticamente e precisam ser visualizados na página Problemas.
Para encontrar combinações tóxicas em casos, siga estas instruções:
- No Google Cloud console, acesse Risco > Casos. A página do console Casos do Security Operations será aberta.
- Na lista de casos, clique em
Filtro de casos para abrir o painel de filtros. O painel Filtro da fila de casos será aberto.
- No Filtro da fila de casos, especifique o seguinte: 1. No campo Período, especifique o período em que o caso está ativo. 1. Defina o Operador lógico como AND. 1. Na caixa de listagem de chaves de filtro, selecione Tags. 1. Defina o operador de igualdade como is. 1. Na caixa de listagem de valores de filtro, selecione Combinação tóxica. 1. Clique em Aplicar. Os casos na fila de casos são atualizados para mostrar apenas os casos que correspondem ao filtro especificado.
- Clique em Classificar ao lado de
Filtro de casos e selecione Classificar por exposição a ataques (de alta a baixa).
- Na fila de casos, clique no caso que você quer conferir. Se você estiver visualizando casos na Visualização de lista, clique no ID do caso. As informações do caso serão mostradas.
- Clique em
Visão geral do caso. - Na seção Resumo do caso, siga as orientações de Próximas etapas.
Analisar descobertas relacionadas em casos de combinações tóxicas
Normalmente, uma combinação tóxica inclui uma ou mais descobertas de uma vulnerabilidade de software ou uma configuração incorreta. Para cada uma dessas descobertas, o Security Command Center abre automaticamente um caso separado e executa os playbooks associados. É possível analisar os casos dessas descobertas e pedir aos proprietários dos tíquetes que priorizem a correção para ajudar a resolver a combinação tóxica.
Para analisar as descobertas relacionadas em uma combinação tóxica, siga estas etapas:
- Na guia
Visão geral do caso, acesse a seção Descobertas.
Na seção Descobertas, analise as descobertas listadas.
- Clique no ID do caso da descoberta para abrir o caso e conferir o status, o proprietário atribuído e outras informações do caso.
- Clique na pontuação de exposição a ataques para analisar o caminho de ataque da descoberta.
- Se a descoberta tiver um ID de tíquete, clique nele para abrir o tíquete.
Como alternativa, é possível conferir as descobertas relacionadas nas próprias guias de alerta no caso.
Descobertas
Uma descoberta de combinação tóxica ou ponto de estrangulamento é o registro inicial que o Risk Engine gera quando detecta uma combinação tóxica ou um ponto de estrangulamento no seu ambiente de nuvem.
Acesse a página Descobertas.
Selecione sua Google Cloud organização.
Na seção Classe de descoberta do painel Filtros rápidos , selecione Combinação tóxica ou Ponto de estrangulamento. O painel Resultados da consulta de descobertas é atualizado para mostrar apenas descobertas de combinações tóxicas ou pontos de estrangulamento.
Para classificar as descobertas por gravidade, clique no cabeçalho da coluna Pontuação de exposição a ataques até que as pontuações estejam em ordem decrescente.
Clique em uma categoria de descoberta para abrir o painel de detalhes da descoberta. Acesse a seção Próximas etapas e siga as orientações para ajudar a corrigir o problema de segurança.
Fechar casos de combinações tóxicas
É possível fechar um caso de combinação tóxica corrigindo a combinação tóxica subjacente ou silenciando a descoberta relacionada no Google Cloud console.
Fechar um caso corrigindo uma combinação tóxica
Depois de corrigir os problemas de segurança que compõem uma combinação tóxica e eles não expõem mais nenhum recurso no seu conjunto de recursos de alto valor, o Risk Engine fecha o caso automaticamente durante a próxima simulação de caminho de ataque, que é executada aproximadamente a cada seis horas.
Fechar um caso silenciando a descoberta
Se o risco representado pela combinação tóxica for aceitável para sua empresa ou não for possível corrigir a combinação tóxica, você poderá fechar o caso silenciando a descoberta relacionada.
Para silenciar uma descoberta de combinação tóxica, siga estas etapas:
- No Google Cloud console, acesse Risco > Casos.
- Localize e abra o caso de combinação tóxica.
- Clique na guia de alerta relacionada.
- No widget Resumo da descoberta, clique em Analisar descobertas no SCC. A descoberta relacionada será aberta.
- Use as Opções de silenciar na página de detalhes da descoberta para silenciar a descoberta.
Também é possível silenciar descobertas no Google Cloud console. Para mais informações, consulte Silenciar uma descoberta individual finding.
Mostrar casos de combinações tóxicas fechados
Quando um caso é fechado, o Security Command Center o remove da página Casos.
Para conferir um caso de combinação tóxica fechado, siga estas etapas:
- No Google Cloud console, acesse a página Casos. O console do Security Operations será aberto.
- Expanda a seção Status e selecione Fechado.
- Expanda a seção Tags e selecione Combinação tóxica.
- Clique em Aplicar. Os casos de combinações tóxicas fechados são mostrados nos resultados da pesquisa.