En esta página, se explica cómo trabajar con los resultados de problemas de seguridad relacionados con la identidad y el acceso (resultados de identidad y acceso) en la consola deGoogle Cloud para investigar e identificar posibles errores de configuración.
Como parte de las capacidades de Cloud Infrastructure Entitlement Management (CIEM) que se ofrecen con el nivel Enterprise, Security Command Center genera resultados de identidad y acceso, y los pone a disposición en la página Resumen de riesgos de Security Command Center. Estos hallazgos se organizan y clasifican en el panel Hallazgos sobre identidad y acceso.
Antes de comenzar
Antes de continuar, asegúrate de haber completado las siguientes tareas:
- Obtén más información sobre las capacidades de CIEM de Security Command Center.
- Configura permisos para CIEM.
- Habilita el servicio de detección de CIEM para tu nube.
Cómo ver los hallazgos de identidad y acceso en la página Hallazgos
La vista Identidad de la página Resultados de Security Command Center muestra los resultados relacionados con la identidad y el acceso en tus entornos de nube, como Google Cloud y Amazon Web Services (AWS).
En la consola de Google Cloud , selecciona Hallazgos en la navegación.
Selecciona la vista Identity.
La vista Identidad agrega una condición de filtro para mostrar solo los hallazgos en los que el campo domains.category contiene el valor IDENTITY_AND_ACCESS.
Para mostrar solo los resultados de una plataforma en la nube específica, usa los botones AWS y Google.
Usa el panel Agregaciones y el Editor de consultas para filtrar aún más los resultados. Para ver solo los resultados detectados por un servicio específico, selecciona ese servicio en la categoría Nombre visible de la fuente del panel Agregaciones. Por ejemplo, si solo quieres ver los hallazgos detectados por el servicio de detección de CIEM, selecciona CIEM. Estos son otros ejemplos:
- Categoría: Los filtros consultan los resultados para obtener categorías de hallazgos específicos sobre los que deseas obtener más información.
- ID del proyecto: Los filtros consultan los resultados para detectar hallazgos relacionados con un proyecto específico.
- Tipo de recurso: Filtros para consultar los resultados de los hallazgos relacionados con un tipo de recurso específico.
- Gravedad: Filtros para consultar los resultados de los hallazgos de una gravedad específica.
- Nombre visible de la fuente: Filtros para consultar los resultados de los hallazgos detectados por un servicio específico que detectó la configuración incorrecta.
El panel Resultados de la búsqueda consta de varias columnas que proporcionan detalles sobre el hallazgo. Entre ellas, las siguientes columnas son de interés para los fines del CIEM:
- Gravedad: Muestra la gravedad de un hallazgo determinado para ayudarte a priorizar la corrección.
- Nombre visible del recurso: Muestra el recurso en el que se detectó el hallazgo.
- Nombre visible de la fuente: Muestra el servicio que detectó el hallazgo. Las fuentes que producen resultados relacionados con la identidad incluyen CIEM, IAM recommender, Security Health Analytics y Event Threat Detection.
- Proveedor de servicios en la nube: Muestra el entorno de nube en el que se detectó el hallazgo, como Google Cloud, AWS y Microsoft Azure.
- Offending access grants: Muestra un vínculo para revisar las principales a las que se les otorgaron roles potencialmente inapropiados.
- ID del caso: Muestra el número de ID del caso relacionado con el hallazgo.
Para obtener más información sobre cómo trabajar con los hallazgos, consulta Revisa y administra los hallazgos.
Investiga los hallazgos sobre identidad y acceso para diferentes plataformas en la nube
Security Command Center te permite investigar los resultados de la configuración incorrecta de la identidad y el acceso para tus entornos de AWS, Microsoft Azure y Google Cloud en la página Resultados de Security Command Center.
Muchos servicios de detección de Security Command Center diferentes, como CIEM, IAM recommender, Security Health Analytics y Event Threat Detection, generan categorías de hallazgos específicos de CIEM que detectan posibles problemas de seguridad de identidad y acceso para tus plataformas en la nube.
El servicio de detección de CIEM de Security Command Center genera hallazgos específicos para tus entornos de AWS y Microsoft Azure, y los servicios de detección de IAM recommender, Security Health Analytics y Event Threat Detection generan hallazgos específicos para tu entorno de Google Cloud.
Para ver solo los resultados detectados por un servicio específico, selecciona ese servicio en la categoría de filtros rápidos Nombre visible de la fuente. Por ejemplo, si solo quieres ver los resultados detectados por el servicio de detección de CIEM, selecciona CIEM.
En la siguiente tabla, se describen todos los hallazgos que se consideran parte de las capacidades de CIEM de Security Command Center.
| Plataforma de la nube | Categoría | Descripción | Fuente |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Se detectaron roles de IAM asumidos en tu entorno de AWS con políticas altamente permisivas. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Grupos de AWS IAM o AWS IAM Identity Center detectados en tu entorno de AWS con políticas muy permisivas. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Se detectaron usuarios de AWS IAM o AWS IAM Identity Center en tu entorno de AWS con políticas muy permisivas. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| AWS | User is inactive
(INACTIVE_USER) | Se detectaron usuarios inactivos de AWS IAM o AWS IAM Identity Center en tu entorno de AWS. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| AWS | Group is inactive
(INACTIVE_GROUP) | Los grupos de AWS IAM o AWS IAM Identity Center detectados en tu entorno de AWS no están activos. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| AWS | Assumed identity is inactive
(INACTIVE_ASSUMED_IDENTITY) | Los roles de IAM asumidos que se detectaron en tu entorno de AWS están inactivos. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity
(OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | La política de confianza que se aplica en un rol de IAM asumido es muy permisiva. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| AWS | Assumed identity has lateral movement risk
(ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | Una o más identidades pueden moverse lateralmente en tu entorno de AWS a través de la suplantación de roles. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| Microsoft Azure | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) |
Se detectaron identidades administradas o principales de servicio en tu entorno de Azure con asignaciones de roles muy permisivas. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| Microsoft Azure | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) |
Se detectaron grupos en tu entorno de Azure con asignaciones de roles muy permisivas. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| Microsoft Azure | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) |
Usuarios detectados en tu entorno de Azure con asignaciones de roles muy permisivas. Para obtener más información, consulta Resultados de CIEM. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Hay usuarios que no usan la verificación en 2 pasos. Para obtener más información, consulta Resultados de la autenticación de varios factores. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Las métricas y las alertas de registros no están configuradas para supervisar los cambios de roles personalizados. Para obtener más información, consulta Supervisión de los hallazgos de vulnerabilidades. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | No se aplica la separación de obligaciones, y existe un usuario que tiene cualquiera de las siguientes funciones de Cloud Key Management Service al mismo tiempo: Encriptador/Desencriptador de CryptoKey, Encriptador o Desencriptador. Para obtener más información, consulta Resultados de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Un usuario tiene uno de los siguientes roles básicos: Propietario (roles/owner), Editor (roles/editor) o Visualizador (roles/viewer). Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Se asigna un rol de IAM de Redis a nivel de la organización o la carpeta. Para obtener más información, consulta Resultados de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Se asignaron a un usuario las funciones de administrador de cuentas de servicio y usuario de cuentas de servicio. Esto incumple el principio de “Separación de obligaciones”. Para obtener más información, consulta Resultados de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Hay un usuario que no usa credenciales de organización. Según CIS Google Cloud Foundations 1.0, solo las identidades con direcciones de correo electrónico @gmail.com activan este detector. Para obtener más información, consulta Resultados de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Se usa una cuenta de Grupos de Google a la que se puede unir sin aprobación como principal de la política de permisos de IAM. Para obtener más información, consulta Resultados de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | El recomendador de IAM detectó una cuenta de usuario que tiene un rol de IAM que no se usó en los últimos 90 días. Para obtener más información, consulta Resultados del recomendador de IAM. | Recomendador de IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | El Recomendador de IAM detectó una cuenta de servicio que tiene uno o más roles de IAM que otorgan permisos excesivos a la cuenta de usuario. Para obtener más información, consulta Resultados del recomendador de IAM. | Recomendador de IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
El recomendador de IAM detectó que el rol de IAM predeterminado original otorgado a un agente de servicio se reemplazó por uno de los roles básicos de IAM: propietario, editor o visualizador. Los roles básicos son roles heredados excesivamente permisivos y no se deben otorgar a los agentes de servicio. Para obtener más información, consulta Resultados del recomendador de IAM. | Recomendador de IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | El recomendador de IAM detectó que a un agente de servicio se le otorgó uno de los roles básicos de IAM: Propietario, Editor o Visualizador. Los roles básicos son roles heredados excesivamente permisivos y no se deben otorgar a los agentes de servicio. Para obtener más información, consulta Resultados del recomendador de IAM. | Recomendador de IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Una cuenta de servicio tiene privilegios de administrador, propietario o editor. Estas funciones no se deben asignar a las cuentas de servicio creadas por el usuario. Para obtener más información, consulta Resultados de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Una instancia está configurada para usar la cuenta de servicio predeterminada. Para obtener más información, consulta Resultados de las vulnerabilidades de las instancias de Compute. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Una cuenta de servicio tiene acceso a proyectos demasiado amplio en un clúster. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Un usuario tiene el rol de Usuario de cuenta de servicio o Creador de tokens de cuenta de servicio a nivel del proyecto, en lugar de una cuenta de servicio específica. Para obtener más información, consulta Resultados de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | La clave de una cuenta de servicio no se rotó durante más de 90 días. Para obtener más información, consulta los resultados de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Una cuenta de servicio de nodo tiene permisos de acceso amplios. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Una clave criptográfica de Cloud KMS es de acceso público. Para obtener más información, consulta Hallazgos de vulnerabilidades de KMS. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Un bucket de Cloud Storage es de acceso público. Para obtener más información, consulta Resultados de vulnerabilidades de almacenamiento. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Un bucket de almacenamiento que se usa como receptor de registros es de acceso público. Para obtener más información, consulta Resultados de vulnerabilidades de almacenamiento. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Un usuario administra una clave de cuenta de servicio. Para obtener más información, consulta Resultados de vulnerabilidades de IAM. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Hay más de tres usuarios de claves criptográficas. Para obtener más información, consulta Hallazgos de vulnerabilidades de KMS. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Un usuario tiene permisos de Propietario en un proyecto que tiene claves criptográficas. Para obtener más información, consulta Hallazgos de vulnerabilidades de KMS. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Las métricas y las alertas de registros no están configuradas para supervisar los cambios o las asignaciones de propiedad del proyecto. Para obtener más información, consulta Supervisa los hallazgos de vulnerabilidades. | Security Health Analytics |
Filtra los hallazgos sobre identidad y acceso por plataforma en la nube
En el panel Resultados de la consulta de hallazgos, puedes saber qué hallazgo se relaciona con una plataforma de nube determinada. Para ello, inspecciona el contenido de las columnas Proveedor de la nube, Nombre visible del recurso o Tipo de recurso.
De forma predeterminada, los resultados de la consulta de hallazgos muestran los hallazgos de identidad y acceso para los entornos deGoogle Cloud, AWS y Microsoft Azure. Para editar los resultados de la búsqueda de hallazgos predeterminados y mostrar solo los hallazgos de una plataforma en la nube en particular, selecciona Amazon Web Services o Google Cloud Platform en la categoría de filtros rápidos Proveedor de servicios en la nube.
Inspecciona los hallazgos de identidad y acceso en detalle
Para obtener más información sobre un resultado de identidad y acceso, abre la vista detallada del resultado haciendo clic en su nombre en la columna Categoría del panel Resultados. Para obtener más información sobre la vista de detalles del hallazgo, consulta Cómo ver los detalles de un hallazgo.
Las siguientes secciones de la pestaña Resumen de la vista de detalles son útiles cuando se investigan los resultados de identidad y acceso.
Otorgamientos de acceso infractores
En la pestaña Resumen del panel de detalles de un hallazgo, la fila Otorgamientos de acceso infractores proporciona una forma de inspeccionar rápidamente a los principales, incluidas las identidades federadas, y su acceso a tus recursos. Esta información solo aparece para los hallazgos cuando el Recomendador de IAM detecta principales en recursos de Google Cloud con roles básicos, no utilizados y altamente permisivos.
Haz clic en Revisa los otorgamientos de acceso infractores para abrir el panel Revisa los otorgamientos de acceso infractores, que contiene la siguiente información:
- Es el nombre del principal. Los principales que se muestran en esta columna pueden ser una combinación de Google Cloud cuentas de usuario, grupos, identidades federadas y cuentas de servicio.
- Nombre del rol otorgado al principal.
- Es la acción recomendada que puedes realizar para corregir el acceso infractor.
Información del caso
En la pestaña Resumen de la página de detalles de un hallazgo, se muestra la sección Información del caso cuando hay un caso o un ticket que corresponde a un hallazgo en particular.
La sección Información de los casos proporciona una forma de hacer un seguimiento de las medidas de corrección para un hallazgo en particular. Proporciona detalles sobre el caso correspondiente, como vínculos a cualquier caso correspondiente y al ticket del sistema de tickets (Jira o ServiceNow), el asignado, el estado y la prioridad del caso.
Para acceder al caso correspondiente al hallazgo, haz clic en el número de ID del caso en la fila Case ID.
Para acceder al ticket de Jira o ServiceNow correspondiente al hallazgo, haz clic en el número de ID del ticket en la fila ID del ticket.
Para conectar tus sistemas de emisión de tickets con Security Command Center Enterprise, consulta Cómo integrar Security Command Center Enterprise con sistemas de emisión de tickets.
Para obtener más información sobre cómo revisar los casos correspondientes, consulta Revisa los casos de hallazgos de identidad y acceso.
Próximos pasos
En la pestaña Resumen de la página de detalles de un hallazgo, la sección Próximos pasos proporciona orientación paso a paso para corregir de inmediato el problema detectado. Estas recomendaciones se adaptan al hallazgo específico que estás viendo.
¿Qué sigue?
- Obtén más información para revisar y administrar los resultados.
- Obtén más información para revisar los casos de hallazgos de identidad y acceso.
- Obtén información sobre los detectores de CIEM que generan resultados de AWS y Microsoft Azure.