Cette page explique comment utiliser les résultats des problèmes de sécurité liés à l'identité et aux accès (résultats liés à l'identité et aux accès) dans la console Google Cloud pour examiner et identifier les mauvaises configurations potentielles.
Dans le cadre des fonctionnalités de gestion des droits d'accès à l'infrastructure cloud (CIEM) proposées avec le niveau Enterprise, Security Command Center génère des résultats sur l'identité et les droits d'accès, et les rend facilement accessibles sur la page Vue d'ensemble des risques de Security Command Center. Ces résultats sont organisés et catégorisés dans le volet Résultats concernant l'identité et les accès.
Avant de commencer
Avant de continuer, assurez-vous d'avoir effectué les tâches suivantes:
- Découvrez les fonctionnalités CIEM de Security Command Center.
- Configurez les autorisations pour le CIEM.
- Activez le service de détection CIEM pour AWS.
Afficher un récapitulatif des résultats concernant l'identité et les accès
Le volet Résultats liés à l'identité et aux accès de la page Vue d'ensemble des risques de Security Command Center fournit un aperçu des principaux résultats liés à l'identité et aux accès dans vos environnements cloud, tels que Google Cloud et Amazon Web Services (AWS). Le volet se compose d'un tableau qui organise les résultats en trois colonnes:
- Gravité : la gravité de la non-conformité est un indicateur général de l'importance de corriger la catégorie de non-conformité, qui peut être classée comme suit :
Critical
,High
,Medium
ouLow
. - Catégorie de résultat: type d'erreur de configuration concernant l'identité et les accès détectée.
- Fournisseur de services cloud: environnement cloud dans lequel les erreurs de configuration ont été détectées.
- Nombre total de résultats: nombre total de configurations incorrectes d'identité et d'accès détectées dans une catégorie pour un niveau de gravité donné.
Pour parcourir les résultats dans le volet, vous pouvez les trier par gravité, catégorie de résultats ou nombre total de résultats en cliquant sur l'en-tête correspondant. Vous pouvez également modifier le nombre de lignes affichées dans le volet (jusqu'à 200) et naviguer entre les pages à l'aide des flèches de navigation en bas du tableau.
Vous pouvez cliquer sur le titre d'une catégorie ou sur le nombre total de résultats correspondant pour examiner plus en détail des résultats spécifiques sur la page Résultats de Security Command Center. Pour en savoir plus, consultez la section Inspecter en détail les résultats liés à l'identité et aux accès.
Les composants suivants situés sous le tableau des résultats vous aident à fournir un contexte supplémentaire pour les résultats concernant votre identité et vos accès:
- Le libellé Sources indique la source à partir de laquelle Security Command Center ingère des données pour générer les résultats. Les résultats liés à l'identité et aux accès peuvent s'appliquer aux environnements Google Cloud et AWS, et peuvent provenir de différents détecteurs tels que CIEM, le recommender IAM et Security Health Analytics. Security Command Center n'affiche les résultats d'identité et d'accès pour AWS que si vous avez connecté une instance AWS et configuré l'ingestion des journaux AWS pour le CIEM.
- Le lien Afficher tous les résultats liés à l'identité et aux accès vous permet d'accéder à la page Résultats de Security Command Center pour afficher toutes les erreurs de configuration liées à l'identité et aux accès détectées, quelle que soit leur catégorie ou leur gravité.
- Le lien Examiner les accès avec Policy Analyzer pour Google Cloud vous permet d'accéder rapidement à l'outil Policy Analyzer, qui vous permet de voir qui a accès à quelles ressources Google Cloud en fonction de vos stratégies d'autorisation IAM.
Afficher les résultats concernant l'identité et les accès sur la page "Résultats"
Le volet Résultats liés à l'identité et aux accès propose plusieurs points d'entrée vers la page Résultats de Security Command Center pour inspecter les résultats liés à l'identité et aux accès en détail:
- Cliquez sur le nom d'un résultat sous Catégorie de résultats ou sur le nombre total de résultats sous Nombre total de résultats pour effectuer automatiquement une requête pour cette catégorie de résultats et cette gravité.
- Cliquez sur Afficher tous les résultats concernant l'identité et les accès pour interroger tous les résultats sans ordre particulier.
Security Command Center présélectionne certains filtres rapides qui créent une requête de résultats spécifiquement pour les erreurs de configuration liées à l'identité et aux accès. Les options de filtre rapide changent selon que vous interrogez un ou tous les résultats d'identité et d'accès. Vous pouvez modifier ces requêtes si nécessaire. Les catégories et options de filtres rapides spécifiques qui sont intéressantes à des fins de CIEM incluent les suivantes:
- Catégorie: filtres permettant d'interroger les résultats pour des catégories de résultats spécifiques sur lesquelles vous souhaitez en savoir plus. Les options de filtre rapide listées dans cette catégorie changent selon que vous interrogez un ou tous les résultats d'identité et d'accès.
- ID du projet: filtres permettant de rechercher dans les résultats les résultats qui concernent un projet spécifique.
- Type de ressource: filtres permettant d'interroger les résultats pour trouver des résultats liés à un type de ressource spécifique.
- Gravité: filtres permettant d'interroger les résultats pour rechercher des résultats d'une gravité spécifique.
- Nom à afficher de la source: filtres permettant d'interroger les résultats pour les résultats détectés par un service spécifique qui a détecté la mauvaise configuration.
- Fournisseur cloud: filtres permettant de rechercher les résultats provenant d'une plate-forme cloud spécifique.
Le panneau Résultats de la requête de résultats se compose de plusieurs colonnes qui fournissent des informations sur le résultat. Parmi elles, les colonnes suivantes sont intéressantes à des fins de CIEM:
- Gravité: indique la gravité d'un résultat donné pour vous aider à hiérarchiser la résolution.
- Nom à afficher de la ressource: affiche la ressource dans laquelle l'anomalie a été détectée.
- Nom à afficher de la source: indique le service qui a détecté le résultat. Les sources qui produisent des résultats liés à l'identité incluent le CIEM, l'outil de recommandation IAM et Security Health Analytics.
- Fournisseur cloud: affiche l'environnement cloud dans lequel l'anomalie a été détectée, par exemple Google Cloud et AWS.
- Accès non conformes: affiche un lien permettant d'examiner les comptes principaux auxquels des rôles inappropriés ont été attribués.
- Numéro de demande: affiche le numéro de demande associé à la non-conformité.
Pour en savoir plus sur l'utilisation des résultats, consultez la section Examiner et gérer les résultats.
Examiner les résultats concernant l'identité et les accès pour différentes plates-formes cloud
Security Command Center vous permet d'examiner les résultats de mauvaise configuration des identités et des accès pour vos environnements AWS et Google Cloud sur la page Résultats de Security Command Center.
De nombreux services de détection Security Command Center, tels que le CIEM, le recommender IAM et Security Health Analytics, génèrent des catégories de résultats spécifiques au CIEM qui détectent les problèmes potentiels de sécurité de l'identité et des accès pour vos plates-formes cloud.
Le service de détection CIEM de Security Command Center génère des résultats spécifiques pour votre environnement AWS, tandis que le recommender IAM et les services de détection Security Health Analytics génèrent des résultats spécifiques pour votre environnement Google Cloud.
Pour n'afficher que les résultats détectés par un service spécifique, sélectionnez ce service dans la catégorie de filtres rapides Nom à afficher pour la source. Par exemple, si vous souhaitez afficher uniquement les résultats détectés par le service de détection CIEM, sélectionnez CIEM.
Le tableau suivant décrit tous les résultats considérés comme faisant partie des fonctionnalités de CIEM de Security Command Center.
Cloud Platform | Catégorie de résultats | Description | Source |
---|---|---|---|
AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS ) | Rôles IAM supposés détectés dans votre environnement AWS avec des stratégies très permissives. Pour en savoir plus, consultez les résultats de l'analyse CIEM. | CIEM |
AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS ) | Groupes IAM détectés dans votre environnement AWS avec des stratégies très permissives. Pour en savoir plus, consultez les résultats de l'analyse CIEM. | CIEM |
AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS ) | Utilisateurs IAM détectés dans votre environnement AWS avec des stratégies très permissives. Pour en savoir plus, consultez les résultats de l'analyse CIEM. | CIEM |
AWS | User is inactive
(INACTIVE_USER ) | Des utilisateurs IAM inactifs sont détectés dans votre environnement AWS. Pour en savoir plus, consultez les résultats de l'analyse CIEM. | CIEM |
AWS | Group is inactive
(INACTIVE_GROUP ) | Les groupes IAM détectés dans votre environnement AWS ne sont pas actifs. Pour en savoir plus, consultez les résultats de l'analyse CIEM. | CIEM |
AWS | Assumed identity is inactive
(INACTIVE_ASSUMED_IDENTITY ) | Les rôles IAM supposés détectés dans votre environnement AWS sont inactifs. Pour en savoir plus, consultez les résultats de l'analyse CIEM. | CIEM |
AWS | Overly permissive trust policy enforced on assumed identity
(OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY ) | La stratégie de confiance appliquée à un rôle IAM assumé est très permissive. Pour en savoir plus, consultez les résultats de l'analyse CIEM. | CIEM |
AWS | Assumed identity has lateral movement risk
(ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK ) | Une ou plusieurs identités peuvent se déplacer latéralement dans votre environnement AWS via l'impersonation de rôle. Pour en savoir plus, consultez les résultats de l'analyse CIEM. | CIEM |
Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED ) | Certains utilisateurs n'utilisent pas la validation en deux étapes. Pour en savoir plus, consultez la section Résultats de l'authentification multifacteur. | Security Health Analytics |
Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED ) | Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au rôle personnalisé. Pour en savoir plus, consultez la page Surveillance des résultats des failles. | Security Health Analytics |
Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION ) | La séparation des tâches n'est pas appliquée et il existe un utilisateur disposant simultanément de l'un des rôles Cloud Key Management Service suivants: Chiffreur/Déchiffreur de clés cryptographiques, Chiffreur ou Déchiffreur. Pour en savoir plus, consultez la page Résultats des failles liées à IAM. | Security Health Analytics |
Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED ) | Un utilisateur possède l'un des rôles de base suivants: Propriétaire (roles/owner ), Éditeur (roles/editor ) ou Lecteur (roles/viewer ). Pour en savoir plus, consultez les résultats des failles IAM. | Security Health Analytics |
Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG ) | Un rôle IAM Redis est attribué au niveau de l'organisation ou du dossier. Pour en savoir plus, consultez la page Résultats des failles liées à IAM. | Security Health Analytics |
Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION ) | Un utilisateur a été affecté aux rôles Administrateur de compte de service et Utilisateur du compte de service. Cela enfreint le principe de "séparation des tâches". Pour en savoir plus, consultez la page Résultats des failles liées à IAM. | Security Health Analytics |
Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER ) | Un utilisateur n'utilise pas d'identifiants d'organisation. Conformément aux règles CIS Google Cloud Foundations 1.0, seules les identités disposant d'adresses e-mail @gmail.com déclenchent ce détecteur. Pour en savoir plus, consultez la page Résultats des failles liées à IAM. | Security Health Analytics |
Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER ) | Un compte Google Groupes pouvant être associé sans approbation est utilisé comme compte principal de stratégie d'autorisation IAM. Pour en savoir plus, consultez la page Résultats des failles liées à IAM. | Security Health Analytics |
Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE ) | L'outil de recommandation IAM a détecté un compte utilisateur dont le rôle IAM n'a pas été utilisé au cours des 90 derniers jours. Pour en savoir plus, consultez les résultats de l'outil de recommandation IAM. | Outil de recommandation IAM |
Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS ) | Le recommender IAM a détecté un compte de service qui possède un ou plusieurs rôles IAM qui accordent des autorisations excessives au compte utilisateur. Pour en savoir plus, consultez les résultats de l'outil de recommandation IAM. | Outil de recommandation IAM |
Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE ) |
L'outil de recommandation IAM a détecté que le rôle IAM par défaut d'origine attribué à un agent de service a été remplacé par l'un des rôles IAM de base : Propriétaire, Éditeur ou Lecteur. Les rôles de base sont des anciens rôles excessivement permissifs et ne doivent pas être accordés aux agents de service. Pour en savoir plus, consultez les résultats de l'outil de recommandation IAM. | Outil de recommandation IAM |
Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE ) | L'outil de recommandation IAM a détecté qu'un agent de service avait reçu l'un des rôles IAM de base : Propriétaire, Éditeur ou Lecteur. Les rôles de base sont des anciens rôles excessivement permissifs et ne doivent pas être accordés aux agents de service. Pour en savoir plus, consultez les résultats de l'outil de recommandation IAM. | Outil de recommandation IAM |
Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT ) | Un compte de service dispose des droits d'administrateur, de propriétaire ou d'éditeur. Ces rôles ne doivent pas être attribués à des comptes de service créés par l'utilisateur. Pour en savoir plus, consultez la page Résultats des failles liées à IAM. | Security Health Analytics |
Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED ) | Une instance est configurée pour utiliser le compte de service par défaut. Pour en savoir plus, consultez la page Résultats de failles d'instance Compute. | Security Health Analytics |
Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT ) | Un compte de service bénéficie d'un accès aux projets trop étendu dans un cluster. Pour en savoir plus, consultez la page Résultats des failles liées aux conteneurs. | Security Health Analytics |
Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER ) | Un utilisateur dispose du rôle Utilisateur du compte de service ou Créateur de jetons du compte de service au niveau du projet, plutôt que pour un compte de service spécifique. Pour en savoir plus, consultez la page Résultats des failles liées à IAM. | Security Health Analytics |
Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED ) | La clé d'un compte de service n'a pas subi de rotation depuis plus de 90 jours. Pour en savoir plus, consultez la page Résultats des failles liées à IAM. | Security Health Analytics |
Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES ) | Un compte de service de nœud possède des champs d'application d'accès étendus. Pour en savoir plus, consultez la page Résultats des failles liées aux conteneurs. | Security Health Analytics |
Google Cloud | KMS public key
(KMS_PUBLIC_KEY ) | Une clé cryptographique Cloud KMS est accessible au public. Pour en savoir plus, consultez la page Résultats des failles liées à KMS. | Security Health Analytics |
Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL ) | Un bucket Cloud Storage est accessible au public. Pour en savoir plus, consultez la page Résultats des failles liées au stockage. | Security Health Analytics |
Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET ) | Un bucket de stockage utilisé comme récepteur de journaux est accessible au public. Pour en savoir plus, consultez la page Résultats des failles liées au stockage. | Security Health Analytics |
Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY ) | Un utilisateur gère une clé de compte de service. Pour en savoir plus, consultez la page Résultats des failles liées à IAM. | Security Health Analytics |
Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS ) | Il existe plus de trois utilisateurs de clés cryptographiques. Pour en savoir plus, consultez la page Résultats des failles liées à KMS. | Security Health Analytics |
Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER ) | Un utilisateur dispose des autorisations Propriétaire sur un projet disposant de clés cryptographiques. Pour en savoir plus, consultez la page Résultats des failles liées à KMS. | Security Health Analytics |
Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED ) | Les métriques et les alertes de journal ne sont pas configurées pour surveiller les attributions ou les modifications de propriétaire de projet. Pour en savoir plus, consultez la page Surveillance des résultats des failles. | Security Health Analytics |
Filtrer les résultats concernant l'identité et les accès par plate-forme cloud
Dans le volet Résultats de la requête des résultats, vous pouvez déterminer quelle conclusion concerne une plate-forme cloud donnée en inspectant le contenu des colonnes Fournisseur cloud, Nom à afficher de la ressource ou Type de ressource.
Les résultats de la requête de recherche affichent les résultats d'identité et d'accès pour les environnements Google Cloud et AWS par défaut. Pour modifier les résultats de requête de résultats par défaut afin d'afficher uniquement les résultats d'une plate-forme cloud spécifique, sélectionnez Amazon Web Services ou Google Cloud Platform dans la catégorie de filtres rapides Fournisseur de services cloud.
Examiner en détail les résultats concernant l'identité et les accès
Pour en savoir plus sur un résultat d'identité et d'accès, ouvrez la vue détaillée en cliquant sur le nom du résultat dans la colonne Catégorie du panneau Résultats de la requête de résultats. Pour en savoir plus sur la vue d'informations sur les résultats, consultez la section Afficher les détails d'un résultat.
Les sections suivantes de l'onglet Récapitulatif de la vue détaillée sont utiles pour examiner les résultats liés à l'identité et aux accès.
Autorisations d'accès incriminées
Dans l'onglet Récapitulatif du volet d'informations d'un résultat, la ligne Accès non autorisé permet d'inspecter rapidement les principaux, y compris les identités fédérées, et leur accès à vos ressources. Ces informations ne s'affichent que pour les résultats lorsque l'outil de recommandation IAM détecte des principaux sur des ressources Google Cloud avec des rôles très permissifs, de base et inutilisés.
Cliquez sur Examiner les autorisations d'accès incriminées pour ouvrir le panneau Examiner les autorisations d'accès incriminées, qui contient les informations suivantes:
- Nom du principal. Les principaux affichés dans cette colonne peuvent être un mélange de comptes utilisateur Google Cloud, de groupes, d'identités fédérées et de comptes de service.
- Nom du rôle attribué au compte principal.
- Action recommandée à effectuer pour corriger l'accès non autorisé.
Informations sur la demande
Dans l'onglet Récapitulatif de la page d'informations d'un résultat, la section Informations sur la demande s'affiche lorsqu'une demande ou un ticket correspond à un résultat particulier. Des demandes et des tickets sont automatiquement créés pour les résultats dont la gravité est classée Critical
ou High
.
La section Informations sur les demandes permet de suivre les efforts de remédiation pour un résultat spécifique. Il fournit des informations sur la demande correspondante, telles que des liens vers la demande et la demande du système de gestion des tickets (Jira ou ServiceNow), l'agent responsable, l'état de la demande et sa priorité.
Pour accéder à la demande correspondant à la non-conformité, cliquez sur le numéro de demande dans la ligne Numéro de demande.
Pour accéder à la demande Jira ou ServiceNow correspondant à la découverte, cliquez sur l'ID de demande dans la ligne ID de demande.
Pour connecter vos systèmes de gestion des demandes d'assistance à Security Command Center Enterprise, consultez Intégrer Security Command Center Enterprise aux systèmes de gestion des demandes d'assistance.
Pour en savoir plus sur l'examen des cas correspondants, consultez la section Examiner les cas de résultats d'identification et d'accès.
Étapes suivantes
Dans l'onglet Récapitulatif de la page d'informations d'un résultat, la section Étapes suivantes fournit des instructions détaillées pour résoudre immédiatement le problème détecté. Ces recommandations sont adaptées au résultat spécifique que vous consultez.
Étape suivante
- Découvrez comment examiner et gérer les résultats.
- Découvrez comment examiner les cas de détection d'identité et d'accès.
- Découvrez les détecteurs CIEM qui génèrent des résultats AWS.