Cette page explique comment utiliser les résultats des problèmes de sécurité liés à l'identité et à l'accès (résultats liés à l'identité et à l'accès) dans la consoleGoogle Cloud pour examiner et identifier les éventuelles erreurs de configuration.
Dans le cadre des fonctionnalités de gestion des droits d'accès à l'infrastructure cloud (CIEM) proposées avec le niveau Enterprise, Security Command Center génère des résultats sur l'identité et les accès, et les rend facilement accessibles sur la page Présentation des risques de Security Command Center. Ces résultats sont organisés et classés dans le volet Résultats concernant l'identité et les accès.
Avant de commencer
Avant de continuer, assurez-vous d'avoir effectué les tâches suivantes :
- En savoir plus sur les fonctionnalités CIEM de Security Command Center
- Configurez les autorisations pour CIEM.
- Activez le service de détection CIEM pour votre cloud.
Afficher les résultats concernant l'identité et les accès sur la page "Résultats"
La vue Identité de la page Résultats de Security Command Center affiche les résultats liés à l'identité et à l'accès dans vos environnements cloud, tels que Google Cloud et Amazon Web Services (AWS).
Dans la console Google Cloud , sélectionnez Résultats dans le panneau de navigation.
Sélectionnez la vue Identité.
La vue Identité ajoute une condition de filtre pour n'afficher que les résultats où le champ domains.category contient la valeur IDENTITY_AND_ACCESS.
Pour n'afficher que les résultats d'une plate-forme cloud spécifique, utilisez les boutons AWS et Google.
Utilisez le panneau Agrégations et l'éditeur de requête pour filtrer davantage les résultats. Pour afficher uniquement les résultats détectés par un service spécifique, sélectionnez ce service dans la catégorie Nom à afficher pour la source du panneau Agrégations. Par exemple, si vous souhaitez afficher uniquement les résultats détectés par le service de détection CIEM, sélectionnez CIEM. Voici d'autres exemples :
- Catégorie : filtre les résultats de la requête pour afficher des catégories de résultats spécifiques que vous souhaitez en savoir plus.
- ID du projet : les filtres interrogent les résultats pour trouver les conclusions liées à un projet spécifique.
- Type de ressource : filtre permettant d'interroger les résultats pour les conclusions liées à un type de ressource spécifique.
- Gravité : filtres permettant d'interroger les résultats pour trouver les problèmes d'un niveau de gravité spécifique.
- Nom à afficher de la source : filtres permettant d'interroger les résultats des conclusions détectées par un service spécifique ayant détecté la configuration incorrecte.
Le panneau Résultats de la requête de résultats se compose de plusieurs colonnes qui fournissent des informations sur le résultat. Parmi elles, les colonnes suivantes présentent un intérêt pour le CIEM :
- Gravité : affiche la gravité d'un résultat donné pour vous aider à hiérarchiser les mesures correctives.
- Nom à afficher de la ressource : affiche la ressource dans laquelle le problème a été détecté.
- Nom à afficher de la source : affiche le service qui a détecté le résultat. Les sources qui produisent des résultats liés à l'identité incluent CIEM, IAM recommender, Security Health Analytics et Event Threat Detection.
- Fournisseur cloud : affiche l'environnement cloud dans lequel le problème a été détecté, par exemple Google Cloud, AWS et Microsoft Azure.
- Autorisations d'accès non conformes : affiche un lien permettant d'examiner les comptes principaux auxquels des rôles inappropriés ont potentiellement été attribués.
- Numéro de demande : affiche le numéro de demande associé au problème.
Pour en savoir plus sur l'utilisation des résultats, consultez Examiner et gérer les résultats.
Examiner les résultats concernant l'identité et les accès pour différentes plates-formes cloud
Security Command Center vous permet d'examiner les résultats de configuration incorrecte de l'identité et des accès pour vos environnements AWS, Microsoft Azure et Google Cloud sur la page Résultats de Security Command Center.
De nombreux services de détection Security Command Center différents, tels que CIEM, le service de recommandation IAM, Security Health Analytics et Event Threat Detection, génèrent des catégories de résultats spécifiques à CIEM qui détectent les problèmes potentiels de sécurité liés à l'identité et aux accès pour vos plates-formes cloud.
Le service de détection CIEM de Security Command Center génère des résultats spécifiques pour vos environnements AWS et Microsoft Azure. Les services de détection IAM recommender, Security Health Analytics et Event Threat Detection génèrent des résultats spécifiques pour votre environnement Google Cloud.
Pour n'afficher que les résultats détectés par un service spécifique, sélectionnez ce service dans la catégorie de filtres rapides Nom à afficher pour la source. Par exemple, si vous souhaitez afficher uniquement les résultats détectés par le service de détection CIEM, sélectionnez CIEM.
Le tableau suivant décrit tous les résultats considérés comme faisant partie des fonctionnalités CIEM de Security Command Center.
| Cloud Platform | Catégorie de résultats | Description | Source |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Rôles IAM assumés détectés dans votre environnement AWS avec des stratégies très permissives. Pour en savoir plus, consultez la section Résultats CIEM. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Groupes AWS IAM ou AWS IAM Identity Center détectés dans votre environnement AWS avec des stratégies très permissives. Pour en savoir plus, consultez Résultats CIEM. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Des utilisateurs AWS IAM ou AWS IAM Identity Center ont été détectés dans votre environnement AWS avec des stratégies très permissives. Pour en savoir plus, consultez Résultats CIEM. | CIEM |
| AWS | User is inactive
(INACTIVE_USER) | Des utilisateurs AWS IAM ou AWS IAM Identity Center inactifs ont été détectés dans votre environnement AWS. Pour en savoir plus, consultez la section Résultats CIEM. | CIEM |
| AWS | Group is inactive
(INACTIVE_GROUP) | Les groupes AWS IAM ou AWS IAM Identity Center détectés dans votre environnement AWS ne sont pas actifs. Pour en savoir plus, consultez la section Résultats CIEM. | CIEM |
| AWS | Assumed identity is inactive
(INACTIVE_ASSUMED_IDENTITY) | Les rôles IAM assumés détectés dans votre environnement AWS sont inactifs. Pour en savoir plus, consultez la section Résultats CIEM. | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity
(OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | La stratégie d'approbation appliquée à un rôle IAM assumé est très permissive. Pour en savoir plus, consultez la section Résultats CIEM. | CIEM |
| AWS | Assumed identity has lateral movement risk
(ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | Une ou plusieurs identités peuvent se déplacer latéralement dans votre environnement AWS par usurpation de rôle. Pour en savoir plus, consultez la section Résultats CIEM. | CIEM |
| Microsoft Azure | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) |
Comptes principaux de service ou identités gérées détectés dans votre environnement Azure avec des attributions de rôles très permissives. Pour en savoir plus, consultez la section Résultats CIEM. | CIEM |
| Microsoft Azure | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) |
Groupes détectés dans votre environnement Azure avec des attributions de rôles très permissives. Pour en savoir plus, consultez Résultats CIEM. | CIEM |
| Microsoft Azure | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) |
Utilisateurs détectés dans votre environnement Azure avec des attributions de rôles très permissives. Pour en savoir plus, consultez Résultats CIEM. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Certains utilisateurs n'utilisent pas la validation en deux étapes. Pour en savoir plus, consultez Résultats de l'authentification multifacteur. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au rôle personnalisé. Pour en savoir plus, consultez Surveiller les résultats des failles. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | La séparation des tâches n'est pas appliquée et il existe un utilisateur disposant simultanément de l'un des rôles Cloud Key Management Service suivants : Chiffreur/Déchiffreur de clés cryptographiques, Chiffreur ou Déchiffreur. Pour en savoir plus, consultez Résultats des failles IAM. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Un utilisateur possède l'un des rôles de base suivants : Propriétaire (roles/owner), Éditeur (roles/editor) ou Lecteur (roles/viewer). Pour en savoir plus, consultez Résultats de l'analyse des failles IAM. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Un rôle IAM Redis est attribué au niveau de l'organisation ou du dossier. Pour en savoir plus, consultez Résultats des failles IAM. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Un utilisateur a été affecté aux rôles Administrateur de compte de service et Utilisateur de compte de service. Cela enfreint le principe de "séparation des tâches". Pour en savoir plus, consultez Résultats des failles IAM. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Un utilisateur n'utilise pas d'identifiants d'organisation. Conformément aux règles CIS Google Cloud Foundations 1.0, seules les identités disposant d'adresses e-mail @gmail.com déclenchent ce détecteur. Pour en savoir plus, consultez Résultats des failles IAM. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Un compte Google Groupes pouvant être associé sans approbation est utilisé comme compte principal de stratégie d'autorisation IAM. Pour en savoir plus, consultez Résultats des failles IAM. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | L'outil de recommandation IAM a détecté un compte utilisateur disposant d'un rôle IAM qui n'a pas été utilisé au cours des 90 derniers jours. Pour en savoir plus, consultez Résultats de l'outil de recommandation IAM. | Outil de recommandation IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | Le moteur de recommandation IAM a détecté un compte de service qui possède un ou plusieurs rôles IAM accordant des autorisations excessives au compte d'utilisateur. Pour en savoir plus, consultez Résultats de l'outil de recommandation IAM. | Outil de recommandation IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
L'outil de recommandation IAM a détecté que le rôle IAM par défaut d'origine attribué à un agent de service a été remplacé par l'un des rôles IAM de base : Propriétaire, Éditeur ou Lecteur. Les rôles de base sont des rôles anciens excessivement permissifs. Ils ne doivent pas être attribués aux agents de service. Pour en savoir plus, consultez Résultats de l'outil de recommandation IAM. | Outil de recommandation IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | L'outil de recommandation IAM a détecté qu'un rôle IAM de base (propriétaire, éditeur ou lecteur) avait été attribué à un agent de service. Les rôles de base sont des rôles anciens excessivement permissifs. Ils ne doivent pas être attribués aux agents de service. Pour en savoir plus, consultez Résultats de l'outil de recommandation IAM. | Outil de recommandation IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Un compte de service dispose des droits d'administrateur, de propriétaire ou d'éditeur. Ces rôles ne doivent pas être attribués à des comptes de service créés par l'utilisateur. Pour en savoir plus, consultez Résultats des failles IAM. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Une instance est configurée pour utiliser le compte de service par défaut. Pour en savoir plus, consultez Résultats de failles d'instance Compute. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Un compte de service possède un accès trop étendu au projet d'un cluster. Pour en savoir plus, consultez Résultats concernant les failles des conteneurs. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Un utilisateur dispose du rôle Utilisateur du compte de service ou Créateur de jetons du compte de service au niveau du projet, et non pour un compte de service spécifique. Pour en savoir plus, consultez Résultats des failles IAM. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | La clé d'un compte de service n'a pas subi de rotation depuis plus de 90 jours. Pour en savoir plus, consultez Résultats des failles IAM. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Un compte de service de nœud possède des niveaux d'accès étendus. Pour en savoir plus, consultez Résultats concernant les failles des conteneurs. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Une clé cryptographique Cloud KMS est accessible au public. Pour en savoir plus, consultez Résultats de failles KMS. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Un bucket Cloud Storage est accessible au public. Pour en savoir plus, consultez Résultats des failles de stockage. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Un bucket de stockage utilisé comme récepteur de journaux est accessible au public. Pour en savoir plus, consultez Résultats des failles de stockage. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Un utilisateur gère une clé de compte de service. Pour en savoir plus, consultez Résultats des failles IAM. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Il existe plus de trois utilisateurs de clés cryptographiques. Pour en savoir plus, consultez Résultats de failles KMS. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Un utilisateur dispose des autorisations Propriétaire sur un projet disposant de clés cryptographiques. Pour en savoir plus, consultez Résultats de failles KMS. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Les métriques et les alertes de journal ne sont pas configurées pour surveiller les attributions ou les modifications de propriétaire de projet. Pour en savoir plus, consultez Surveiller les résultats des failles. | Security Health Analytics |
Filtrer les résultats concernant l'identité et les accès par plate-forme cloud
Dans le volet Résultats de la requête sur les résultats, vous pouvez déterminer à quelle plate-forme cloud un résultat est associé en examinant le contenu des colonnes Fournisseur de cloud, Nom à afficher de la ressource ou Type de ressource.
La section Résultats de requête "Recherche de résultats" affiche les résultats d'identité et d'accès pour les environnementsGoogle Cloud, AWS et Microsoft Azure par défaut. Pour modifier les résultats de la requête de recherche de résultats par défaut afin d'afficher uniquement les résultats pour une plate-forme cloud spécifique, sélectionnez Amazon Web Services ou Google Cloud Platform dans la catégorie de filtres rapides Fournisseur de services cloud.
Examiner en détail les résultats concernant l'identité et les accès
Pour en savoir plus sur un résultat lié à l'identité et à l'accès, ouvrez la vue détaillée du résultat en cliquant sur son nom dans la colonne Catégorie du panneau Résultats. Pour en savoir plus sur la vue détaillée des résultats, consultez Afficher les détails d'un résultat.
Les sections suivantes de l'onglet Résumé de la vue détaillée sont utiles pour examiner les résultats liés à l'identité et à l'accès.
Autorisations d'accès incriminées
Dans l'onglet Résumé du volet d'informations d'un résultat, la ligne Autorisations d'accès concernées permet d'inspecter rapidement les principaux, y compris les identités fédérées, et leur accès à vos ressources. Ces informations ne s'affichent que pour les résultats lorsque l'outil de recommandation IAM détecte des comptes principaux sur des ressources Google Cloud avec des rôles de base, inutilisés et très permissifs.
Cliquez sur Examiner les droits d'accès non conformes pour ouvrir le panneau Examiner les droits d'accès non conformes, qui contient les informations suivantes :
- Nom du principal. Les comptes principaux affichés dans cette colonne peuvent être un mélange de comptes utilisateur, de groupes, d'identités fédérées et de comptes de service. Google Cloud
- Nom du rôle attribué au compte principal.
- Action recommandée que vous pouvez effectuer pour corriger l'accès non autorisé.
Informations sur la demande
Dans l'onglet Récapitulatif de la page de détails d'un résultat, la section Informations sur la demande s'affiche lorsqu'une demande ou un ticket correspondent à un résultat spécifique.
La section Informations sur les cas permet de suivre les efforts de correction pour un résultat spécifique. Il fournit des informations sur la demande correspondante, comme des liens vers la demande et le ticket du système de gestion des demandes (Jira ou ServiceNow) correspondants, la personne responsable, l'état et la priorité de la demande.
Pour accéder à la demande correspondant au problème, cliquez sur le numéro de demande dans la ligne Numéro de demande.
Pour accéder à la demande Jira ou ServiceNow correspondant au résultat, cliquez sur le numéro d'ID de la demande dans la ligne ID de la demande.
Pour connecter vos systèmes de suivi des demandes à Security Command Center Enterprise, consultez Intégrer Security Command Center Enterprise à des systèmes de suivi des demandes.
Pour en savoir plus sur l'examen des cas correspondants, consultez Examiner les cas de résultats liés à l'identité et à l'accès.
Étapes suivantes
Dans l'onglet Résumé de la page de détails d'un résultat, la section Étapes suivantes fournit des instructions détaillées sur la façon de résoudre immédiatement le problème détecté. Ces recommandations sont adaptées au problème spécifique que vous consultez.
Étapes suivantes
- Découvrez comment examiner et gérer les résultats.
- Découvrez comment examiner les cas de résultats liés à l'identité et à l'accès.
- Découvrez les détecteurs CIEM qui génèrent des résultats AWS et Microsoft Azure.