Auf dieser Seite wird beschrieben, wie Sie in derGoogle Cloud -Konsole mit Ergebnissen für Sicherheitsprobleme im Zusammenhang mit Identität und Zugriff (Ergebnisse zu Identität und Zugriff) arbeiten, um potenzielle Fehlkonfigurationen zu untersuchen und zu identifizieren.
Im Rahmen der CIEM-Funktionen (Cloud Infrastructure Entitlement Management), die mit der Enterprise-Version angeboten werden, generiert Security Command Center Ergebnisse zu Identität und Zugriff und macht sie auf der Seite Risikoübersicht von Security Command Center leicht zugänglich. Diese Ergebnisse werden im Bereich Ergebnisse zu Identität und Zugriff zusammengestellt und kategorisiert.
Hinweise
Führen Sie die folgenden Aufgaben aus, bevor Sie fortfahren:
- Weitere Informationen zu den CIEM-Funktionen von Security Command Center
- Berechtigungen für CIEM einrichten
- CIEM-Erkennungsdienst für Ihre Cloud aktivieren
Ergebnisse zu Identität und Zugriff auf der Seite „Ergebnisse“ ansehen
In der Ansicht Identität auf der Seite Ergebnisse von Security Command Center werden Ergebnisse zu Identität und Zugriff in Ihren Cloud-Umgebungen wie Google Cloud und Amazon Web Services (AWS) angezeigt.
Wählen Sie in der Google Cloud -Konsole im Navigationsbereich die Option Ergebnisse aus.
Wählen Sie die Ansicht Identität aus.
In der Ansicht Identität wird eine Filterbedingung hinzugefügt, damit nur Ergebnisse angezeigt werden, bei denen das Feld domains.category den Wert IDENTITY_AND_ACCESS enthält.
Wenn Sie nur Ergebnisse einer bestimmten Cloud-Plattform anzeigen möchten, verwenden Sie die Schaltflächen AWS und Google.
Verwenden Sie den Bereich Aggregationen und den Abfrageeditor, um die Ergebnisse weiter zu filtern. Wenn Sie nur Ergebnisse sehen möchten, die von einem bestimmten Dienst erkannt wurden, wählen Sie diesen Dienst im Bereich Zusammenfassungen in der Kategorie Quellen-Anzeigename aus. Wenn Sie beispielsweise nur Ergebnisse sehen möchten, die vom CIEM-Erkennungsdienst erkannt wurden, wählen Sie CIEM aus. Weitere Beispiele:
- Kategorie: Mit Filtern werden die Ergebnisse nach bestimmten Kategorien von Ergebnissen gefiltert, über die Sie mehr erfahren möchten.
- Projekt-ID: Mit Filtern werden die Ergebnisse nach Funden gefiltert, die sich auf ein bestimmtes Projekt beziehen.
- Ressourcentyp: Filtert die Abfrageergebnisse nach Befunden, die sich auf einen bestimmten Ressourcentyp beziehen.
- Schweregrad: Filter zum Abfragen der Ergebnisse nach Befunden mit einem bestimmten Schweregrad.
- Anzeigename der Quelle: Filter zum Abfragen der Ergebnisse für Ergebnisse, die von einem bestimmten Dienst erkannt wurden, der die Fehlkonfiguration erkannt hat.
Der Bereich Ergebnisse der Ergebnisabfrage besteht aus mehreren Spalten mit Details zum Ergebnis. Für CIEM sind die folgenden Spalten von Interesse:
- Schweregrad: Hier wird der Schweregrad eines bestimmten Ergebnisses angezeigt, damit Sie die Behebung priorisieren können.
- Anzeigename der Ressource: Hier wird die Ressource angezeigt, in der das Ergebnis erkannt wurde.
- Anzeigename der Quelle: Hier wird der Dienst angezeigt, der das Ergebnis erkannt hat. Quellen, die identitätsbezogene Ergebnisse liefern, sind CIEM, IAM Recommender, Security Health Analytics und Event Threat Detection.
- Cloud-Anbieter: Hier wird die Cloud-Umgebung angezeigt, in der das Ergebnis erkannt wurde, z. B. Google Cloud, AWS und Microsoft Azure.
- Verletzende Zugriffsgewährungen: Hier wird ein Link angezeigt, über den Sie die Hauptkonten aufrufen können, denen möglicherweise unangemessene Rollen zugewiesen wurden.
- Fall-ID: Zeigt die ID-Nummer des Falls an, der sich auf den Befund bezieht.
Weitere Informationen zum Arbeiten mit Ergebnissen finden Sie unter Ergebnisse prüfen und verwalten.
Ergebnisse zu Identität und Zugriff für verschiedene Cloud-Plattformen untersuchen
Mit Security Command Center können Sie Ergebnisse zu Fehlkonfigurationen von Identitäten und Zugriffen für Ihre AWS-, Microsoft Azure- und Google Cloud -Umgebungen auf der Seite Ergebnisse von Security Command Center untersuchen.
Viele verschiedene Security Command Center-Erkennungsdienste wie CIEM, IAM Recommender, Security Health Analytics und Event Threat Detection generieren CIEM-spezifische Ergebniskategorien, mit denen potenzielle Sicherheitsrisiken für Identitäten und Zugriffe für Ihre Cloud-Plattformen erkannt werden.
Der CIEM-Erkennungsdienst von Security Command Center generiert spezifische Ergebnisse für Ihre AWS- und Microsoft Azure-Umgebungen. Die Erkennungsdienste IAM Recommender, Security Health Analytics und Event Threat Detection generieren spezifische Ergebnisse für Ihre Google Cloud-Umgebung.
Wenn Sie nur Ergebnisse sehen möchten, die von einem bestimmten Dienst erkannt wurden, wählen Sie diesen Dienst in der Schnellfilterkategorie Anzeigename der Quelle aus. Wenn Sie beispielsweise nur Ergebnisse sehen möchten, die vom CIEM-Erkennungsdienst erkannt wurden, wählen Sie CIEM aus.
In der folgenden Tabelle werden alle Ergebnisse beschrieben, die als Teil der CIEM-Funktionen von Security Command Center gelten.
| Cloud-Plattform | Ergebniskategorie | Beschreibung | Quelle |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Übernommene IAM-Rollen, die in Ihrer AWS-Umgebung mit sehr permissiven Richtlinien erkannt wurden. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | AWS IAM- oder AWS IAM Identity Center-Gruppen, die in Ihrer AWS-Umgebung mit sehr permissiven Richtlinien erkannt wurden. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | AWS IAM- oder AWS IAM Identity Center-Nutzer mit sehr permissiven Richtlinien in Ihrer AWS-Umgebung erkannt. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| AWS | User is inactive
(INACTIVE_USER) | In Ihrer AWS-Umgebung werden inaktive AWS IAM- oder AWS IAM Identity Center-Nutzer erkannt. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| AWS | Group is inactive
(INACTIVE_GROUP) | In Ihrer AWS-Umgebung erkannte AWS IAM- oder AWS IAM Identity Center-Gruppen sind nicht aktiv. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| AWS | Assumed identity is inactive
(INACTIVE_ASSUMED_IDENTITY) | In Ihrer AWS-Umgebung erkannte übernommene IAM-Rollen sind inaktiv. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity
(OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | Die Vertrauensrichtlinie, die für eine angenommene IAM-Rolle erzwungen wird, ist sehr großzügig. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| AWS | Assumed identity has lateral movement risk
(ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | Eine oder mehrere Identitäten können sich durch die Übernahme von Rollen lateral in Ihrer AWS-Umgebung bewegen. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| Microsoft Azure | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) |
Dienstkonten oder verwaltete Identitäten, die in Ihrer Azure-Umgebung mit sehr permissiven Rollenzuweisungen erkannt wurden. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| Microsoft Azure | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) |
Gruppen, die in Ihrer Azure-Umgebung mit sehr permissiven Rollenzuweisungen erkannt wurden. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| Microsoft Azure | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) |
Nutzer in Ihrer Azure-Umgebung mit sehr permissiven Rollenzuweisungen. Weitere Informationen finden Sie unter CIEM-Ergebnisse. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden. Weitere Informationen finden Sie unter Ergebnisse zur Multi-Faktor-Authentifizierung. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an benutzerdefinierten Rollen konfiguriert. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken im Blick behalten. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Cloud Key Management Service-Rollen hat: CryptoKey-Verschlüsseler/Entschlüsseler, Verschlüsseler oder Entschlüsseler. Weitere Informationen finden Sie unter IAM-Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Ein Nutzer hat eine der folgenden einfachen Rollen: Inhaber (roles/owner), Bearbeiter (roles/editor) oder Betrachter (roles/viewer). Weitere Informationen finden Sie unter IAM-Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Eine Redis-IAM-Rolle wird auf Organisations- oder Ordnerebene zugewiesen. Weitere Informationen finden Sie unter IAM-Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Einem Nutzer wurden die Rollen Dienstkontoadministrator und Dienstkontonutzer zugewiesen. Dies verstößt gegen das Prinzip der „Aufgabentrennung“. Weitere Informationen finden Sie unter IAM-Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS Google Cloud Foundations 1.0 lösen nur Identitäten mit @gmail.com-E‑Mail-Adressen diesen Detektor aus. Weitere Informationen finden Sie unter IAM-Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Ein Google Groups-Konto, das ohne Genehmigung verknüpft werden kann, wird als Hauptkonto auf einer IAM-Zulassungsrichtlinie verwendet. Weitere Informationen finden Sie unter IAM-Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | Der IAM-Recommender hat ein Nutzerkonto mit einer IAM-Rolle erkannt, die in den letzten 90 Tagen nicht verwendet wurde. Weitere Informationen finden Sie unter Ergebnisse des IAM-Recommenders. | IAM Recommender |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | IAM Recommender hat ein Dienstkonto erkannt, das eine oder mehrere IAM-Rollen hat, die dem Nutzerkonto nicht erforderliche Berechtigungen gewähren. Weitere Informationen finden Sie unter Ergebnisse des IAM-Recommenders. | IAM Recommender |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
Der IAM-Recommender hat erkannt, dass die ursprüngliche IAM-Standardrolle, die einem Dienst-Agent gewährt wurde, durch eine der einfachen IAM-Rollen ersetzt wurde: Inhaber, Bearbeiter oder Betrachter. Einfache Rollen sind übermäßig permissive Legacy-Rollen und sollten Dienst-Agents nicht zugewiesen werden. Weitere Informationen finden Sie unter IAM-Recommender-Ergebnisse. | IAM Recommender |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | Der IAM-Recommender hat erkannt, dass einem Dienst-Agent eine der einfachen IAM-Rollen Inhaber, Bearbeiter oder Betrachter gewährt wurde. Einfache Rollen sind übermäßig permissive Legacy-Rollen und sollten Dienst-Agents nicht zugewiesen werden. Weitere Informationen finden Sie unter IAM-Recommender-Ergebnisse. | IAM Recommender |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Ein Dienstkonto hat die Berechtigung Administrator, Inhaber oder Bearbeiter. Diese Rollen sollten nicht von Nutzern erstellten Dienstkonten zugewiesen werden. Weitere Informationen finden Sie unter IAM-Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Eine Instanz ist für die Verwendung des Standarddienstkontos konfiguriert. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken bei Compute-Instanzen. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Ein Dienstkonto hat in einem Cluster übermäßigen Projektzugriff. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Ein Nutzer hat die Rolle Dienstkontonutzer oder Ersteller von Dienstkonto-Tokens auf Projektebene, statt für ein bestimmtes Dienstkonto. Weitere Informationen finden Sie unter IAM-Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in IAM. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Ein Knotendienstkonto hat übermäßige Zugriffsbereiche. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich. Weitere Informationen finden Sie unter KMS-Sicherheitslücken-Ergebnisse. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Ein Cloud Storage-Bucket ist öffentlich zugänglich. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken im Speicher. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Ein als Logsenke verwendeter Storage-Bucket ist öffentlich zugänglich. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken im Speicher. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Ein Nutzer verwaltet einen Dienstkontoschlüssel. Weitere Informationen finden Sie unter IAM-Ergebnisse zu Sicherheitslücken. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Es gibt mehr als drei Nutzer kryptografischer Schlüssel. Weitere Informationen finden Sie unter KMS-Sicherheitslücken-Ergebnisse. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Ein Nutzer hat Inhaber-Berechtigungen für ein Projekt mit kryptografischen Schlüsseln. Weitere Informationen finden Sie unter KMS-Sicherheitslücken-Ergebnisse. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken im Blick behalten. | Security Health Analytics |
Ergebnisse zu Identität und Zugriff nach Cloud-Plattform filtern
Im Bereich Ergebnisse der Abfrage zu Ergebnissen können Sie anhand der Spalten Cloud-Anbieter, Anzeigename der Ressource oder Ressourcentyp erkennen, welches Ergebnis sich auf eine bestimmte Cloud-Plattform bezieht.
In den Suchergebnissen werden standardmäßig Identitäts- und Zugriffs-Ergebnisse fürGoogle Cloud-, AWS- und Microsoft Azure-Umgebungen angezeigt. Wenn Sie die Standardergebnisse der Suche nach Ergebnissen bearbeiten möchten, um nur Ergebnisse für eine bestimmte Cloud-Plattform anzuzeigen, wählen Sie in der Schnellfilterkategorie Cloud-Anbieter die Option Amazon Web Services oder Google Cloud Platform aus.
Ergebnisse zu Identität und Zugriff im Detail prüfen
Wenn Sie mehr über ein Ergebnis zu Identität und Zugriff erfahren möchten, öffnen Sie die Detailansicht des Ergebnisses, indem Sie im Bereich Ergebnisse in der Spalte Kategorie auf den Namen des Ergebnisses klicken. Weitere Informationen zur Detailansicht für Ergebnisse finden Sie unter Details zu einem Ergebnis ansehen.
Die folgenden Abschnitte auf dem Tab Zusammenfassung der Detailansicht sind hilfreich, wenn Sie Ergebnisse zu Identität und Zugriff untersuchen.
Verstoßende Zugriffserteilungen
Auf dem Tab Zusammenfassung im Detailbereich eines Ergebnisses können Sie in der Zeile Verletzende Zugriffsberechtigungen schnell Principals, einschließlich verbundener Identitäten, und deren Zugriff auf Ihre Ressourcen prüfen. Diese Informationen werden nur für Ergebnisse angezeigt, wenn der IAM Recommender Hauptkonten für Google Cloud -Ressourcen mit sehr permissiven, einfachen und nicht verwendeten Rollen erkennt.
Klicken Sie auf Verstoßende Zugriffserteilungen überprüfen, um den Bereich Verstoßende Zugriffserteilungen überprüfen zu öffnen. Dieser enthält die folgenden Informationen:
- Der Name des Auftraggebers. Die in dieser Spalte angezeigten Hauptkonten können eine Mischung aus Google Cloud Nutzerkonten, Gruppen, föderierten Identitäten und Dienstkonten sein.
- Der Name der Rolle, die dem Hauptkonto zugewiesen wurde.
- Die empfohlene Maßnahme, die Sie ergreifen können, um den betreffenden Zugriff zu beheben.
Informationen zum Fall
Auf dem Tab Zusammenfassung der Detailseite eines Ergebnisses wird der Abschnitt Fallinformationen angezeigt, wenn ein Fall oder Ticket mit einem bestimmten Ergebnis übereinstimmt.
Im Abschnitt Informationen zu Fällen können Sie die Maßnahmen zur Behebung eines bestimmten Ergebnisses nachverfolgen. Sie enthält Details zum entsprechenden Fall, z. B. Links zu allen entsprechenden Fällen und Tickets im Ticketsystem (Jira oder ServiceNow), den zugewiesenen Mitarbeiter, den Fallstatus und die Fallpriorität.
Wenn Sie auf die Fall-ID-Nummer in der Zeile Fall-ID klicken, können Sie auf den Fall zugreifen, der dem Ergebnis entspricht.
Wenn Sie auf das Jira- oder ServiceNow-Ticket zugreifen möchten, das dem Ergebnis entspricht, klicken Sie in der Zeile Ticket-ID auf die Ticket-ID-Nummer.
Informationen zum Verbinden Ihrer Ticketsysteme mit Security Command Center Enterprise finden Sie unter Security Command Center Enterprise in Ticketsysteme einbinden.
Weitere Informationen zum Prüfen entsprechender Fälle finden Sie unter Fälle für Identitäts- und Zugriffsbefunde prüfen.
Nächste Schritte
Auf dem Tab Zusammenfassung der Detailseite eines Ergebnisses finden Sie im Bereich Nächste Schritte eine Schritt-für-Schritt-Anleitung dazu, wie Sie das erkannte Problem sofort beheben können. Diese Empfehlungen sind auf das jeweilige Ergebnis abgestimmt, das Sie sich ansehen.
Nächste Schritte
- Informationen zum Überprüfen und Verwalten von Ergebnissen
- Informationen zum Prüfen von Fällen mit Ergebnissen zu Identität und Zugriff
- CIEM-Detektoren, die AWS- und Microsoft Azure-Ergebnisse generieren