Questa pagina spiega come utilizzare i risultati per i problemi di sicurezza relativi all'identità e all'accesso (risultati relativi all'identità e all'accesso) nella consoleGoogle Cloud per esaminare e identificare potenziali errori di configurazione.
Nell'ambito delle funzionalità di gestione dei diritti dell'infrastruttura cloud (CIEM) offerte con il livello Enterprise, Security Command Center genera risultati relativi a identità e accesso e li rende facilmente accessibili nella pagina Panoramica dei rischi di Security Command Center. Questi risultati sono curati e classificati nel riquadro Risultati relativi a identità e accesso.
Prima di iniziare
Prima di continuare, assicurati di aver completato le seguenti attività:
- Scopri di più sulle funzionalità CIEM di Security Command Center.
- Configura le autorizzazioni per CIEM.
- Attiva il servizio di rilevamento CIEM per il tuo cloud.
Visualizzare i risultati relativi a identità e accesso nella pagina Risultati
La visualizzazione Identità nella pagina Risultati di Security Command Center mostra i risultati relativi a identità e accesso nei tuoi ambienti cloud, come Google Cloud e Amazon Web Services (AWS).
Nella console Google Cloud , seleziona Risultati nel riquadro di navigazione.
Seleziona la visualizzazione Identità.
La visualizzazione Identità aggiunge una condizione di filtro per mostrare solo i risultati in cui
il campo domains.category contiene il valore IDENTITY_AND_ACCESS.
Per visualizzare solo i risultati di una piattaforma cloud specifica, utilizza i pulsanti AWS e Google.
Utilizza il riquadro Aggregazioni e l'editor di query per filtrare ulteriormente i risultati. Per visualizzare solo i risultati rilevati da un servizio specifico, seleziona il servizio dalla categoria Nome visualizzato origine nel riquadro Aggregazioni. Ad esempio, se vuoi visualizzare solo i risultati rilevati dal servizio di rilevamento CIEM, seleziona CIEM. Altri esempi includono:
- Categoria: i filtri eseguono query sui risultati per categorie di risultati specifiche su cui vuoi saperne di più.
- ID progetto: filtra i risultati della query per trovare i risultati correlati a un progetto specifico.
- Tipo di risorsa: filtra per eseguire query sui risultati per i risultati che riguardano un tipo di risorsa specifico.
- Gravità: filtri per eseguire query sui risultati per i risultati di una gravità specifica.
- Nome visualizzato dell'origine: filtra per eseguire query sui risultati per i risultati rilevati da un servizio specifico che ha rilevato la configurazione errata.
Il riquadro Risultati della query sui risultati è composto da diverse colonne che forniscono dettagli sul risultato. Tra queste, le seguenti colonne sono di interesse per gli scopi di CIEM:
- Gravità: mostra la gravità di un determinato risultato per aiutarti a dare la priorità alla correzione.
- Nome visualizzato risorsa: mostra la risorsa in cui è stata rilevata la scoperta.
- Nome visualizzato dell'origine: mostra il servizio che ha rilevato il risultato. Le origini che producono risultati correlati all'identità includono CIEM, IAM Recommender, Security Health Analytics ed Event Threat Detection.
- Provider cloud: mostra l'ambiente cloud in cui è stato rilevato il risultato, ad esempio Google Cloud, AWS e Microsoft Azure.
- Concessioni di accesso illecite: mostra un link per esaminare le entità a cui sono stati potenzialmente concessi ruoli inappropriati.
- ID richiesta: mostra il numero ID della richiesta correlata al risultato.
Per saperne di più sull'utilizzo dei risultati, consulta Esaminare e gestire i risultati.
Esaminare i risultati relativi all'identità e all'accesso per diverse piattaforme cloud
Security Command Center ti consente di esaminare i risultati della configurazione errata di identità e accesso per i tuoi ambienti AWS, Microsoft Azure e Google Cloud nella pagina Risultati di Security Command Center.
Molti servizi di rilevamento di Security Command Center, come CIEM, IAM Recommender, Security Health Analytics ed Event Threat Detection, generano categorie di risultati specifiche per CIEM che rilevano potenziali problemi di sicurezza di identità e accesso per le tue piattaforme cloud.
Il servizio di rilevamento CIEM di Security Command Center genera risultati specifici per gli ambienti AWS e Microsoft Azure, mentre i servizi di rilevamento IAM Recommender, Security Health Analytics e Event Threat Detection generano risultati specifici per l'ambiente Google Cloud.
Per visualizzare solo i risultati rilevati da un servizio specifico, seleziona il servizio dalla categoria di filtri rapidi Nome visualizzato origine. Ad esempio, se vuoi visualizzare solo i risultati rilevati dal servizio di rilevamento CIEM, seleziona CIEM.
La seguente tabella descrive tutti i risultati considerati parte delle funzionalità CIEM di Security Command Center.
| Piattaforma cloud | Categoria risultati | Descrizione | Origine |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Ruoli IAM assunti rilevati nel tuo ambiente AWS con criteri altamente permissivi. Per saperne di più, consulta Risultati CIEM. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Gruppi AWS IAM o AWS IAM Identity Center rilevati nel tuo ambiente AWS con criteri altamente permissivi. Per ulteriori informazioni, consulta Risultati CIEM. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Utenti AWS IAM o AWS IAM Identity Center rilevati nel tuo ambiente AWS con criteri altamente permissivi. Per ulteriori informazioni, consulta Risultati CIEM. | CIEM |
| AWS | User is inactive
(INACTIVE_USER) | Nel tuo ambiente AWS vengono rilevati utenti AWS IAM o AWS IAM Identity Center inattivi. Per saperne di più, consulta Risultati CIEM. | CIEM |
| AWS | Group is inactive
(INACTIVE_GROUP) | I gruppi AWS IAM o AWS IAM Identity Center rilevati nel tuo ambiente AWS non sono attivi. Per saperne di più, consulta Risultati CIEM. | CIEM |
| AWS | Assumed identity is inactive
(INACTIVE_ASSUMED_IDENTITY) | I ruoli IAM assunti rilevati nel tuo ambiente AWS sono inattivi. Per saperne di più, consulta Risultati CIEM. | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity
(OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | Il criterio di attendibilità applicato a un ruolo IAM assunto è molto permissivo. Per saperne di più, consulta Risultati CIEM. | CIEM |
| AWS | Assumed identity has lateral movement risk
(ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | Una o più identità possono spostarsi lateralmente nel tuo ambiente AWS tramite la rappresentazione di ruolo. Per saperne di più, consulta Risultati CIEM. | CIEM |
| Microsoft Azure | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) |
Service principal o identità gestite rilevati nel tuo ambiente Azure con assegnazioni di ruolo molto permissive. Per saperne di più, consulta Risultati CIEM. | CIEM |
| Microsoft Azure | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) |
Gruppi rilevati nel tuo ambiente Azure con assegnazioni di ruoli altamente permissive. Per ulteriori informazioni, consulta Risultati CIEM. | CIEM |
| Microsoft Azure | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) |
Utenti rilevati nel tuo ambiente Azure con assegnazioni di ruoli altamente permissive. Per ulteriori informazioni, consulta Risultati CIEM. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Alcuni utenti non utilizzano la verifica in due passaggi. Per ulteriori informazioni, consulta Risultati dell'autenticazione a più fattori. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche ai ruoli personalizzati. Per ulteriori informazioni, consulta Monitoraggio dei risultati delle vulnerabilità. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | La separazione dei compiti non viene applicata ed esiste un utente che dispone contemporaneamente di uno dei seguenti ruoli Cloud Key Management Service: Autore crittografia/decrittografia CryptoKey, Autore crittografia o Autore decrittografia. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di IAM. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Un utente ha uno dei seguenti ruoli di base: Proprietario (roles/owner), Editor (roles/editor) o Visualizzatore (roles/viewer). Per saperne di più, consulta Risultati delle vulnerabilità IAM. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Un ruolo IAM Redis è assegnato a livello di organizzazione o cartella. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di IAM. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | A un utente sono stati assegnati i ruoli Amministratore service account e Utente service account. Ciò viola il principio di "separazione dei compiti". Per ulteriori informazioni, consulta Risultati delle vulnerabilità di IAM. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Esiste un utente che non utilizza le credenziali dell'organizzazione. Per CIS Google Cloud Foundations 1.0, solo le identità con indirizzi email @gmail.com attivano questo rilevatore. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di IAM. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Un account Google Gruppi a cui è possibile iscriversi senza approvazione viene utilizzato come entità dei criteri IAM. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di IAM. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | IAM Recommender ha rilevato un account utente con un ruolo IAM che non è stato utilizzato negli ultimi 90 giorni. Per saperne di più, consulta Risultati del motore per suggerimenti IAM. | Motore per suggerimenti IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | IAM Recommender ha rilevato un account di servizio con uno o più ruoli IAM che concedono autorizzazioni eccessive all'account utente. Per saperne di più, consulta Risultati del motore per suggerimenti IAM. | Motore per suggerimenti IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
IAM Recommender ha rilevato che il ruolo IAM predefinito originale concesso a un service agent è stato sostituito con uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi agli agenti di servizio. Per saperne di più, consulta Risultati del motore per suggerimenti IAM. | Motore per suggerimenti IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | Motore per suggerimenti IAM ha rilevato che a un service agent è stato concesso uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi agli agenti di servizio. Per saperne di più, consulta Risultati del motore per suggerimenti IAM. | Motore per suggerimenti IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Un account di servizio ha privilegi di Amministratore, Proprietario o Editor. Questi ruoli non devono essere assegnati a service account creati dall'utente. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di IAM. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Un'istanza è configurata per utilizzare ilaccount di serviziot predefinito. Per saperne di più, consulta Risultati delle vulnerabilità delle istanze di Compute. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Un account di servizio ha un accesso al progetto eccessivamente ampio in un cluster. Per saperne di più, consulta Risultati delle vulnerabilità dei container. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Un utente ha il ruolo Utente service account o Creatore di token service account a livello di progetto, anziché per un account di servizio specifico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di IAM. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Una chiave del account di servizio non è stata ruotata per più di 90 giorni. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di IAM. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Un account di servizio del nodo ha ambiti di accesso ampi. Per saperne di più, consulta Risultati delle vulnerabilità dei container. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Una chiave di crittografia Cloud KMS è accessibile pubblicamente. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di KMS. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Un bucket Cloud Storage è accessibile pubblicamente. Per maggiori informazioni, consulta Risultati delle vulnerabilità di archiviazione. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Un bucket di archiviazione utilizzato come sink di log è accessibile pubblicamente. Per maggiori informazioni, consulta Risultati delle vulnerabilità di archiviazione. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Un utente gestisce una chiave delaccount di serviziot. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di IAM. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Esistono più di tre utenti di chiavi di crittografia. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di KMS. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Un utente dispone delle autorizzazioni di Proprietario per un progetto protetto da chiavi di crittografia. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di KMS. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Le metriche di log e gli avvisi non sono configurati per monitorare le assegnazioni o le modifiche alla proprietà del progetto. Per ulteriori informazioni, consulta Monitoraggio dei risultati delle vulnerabilità. | Security Health Analytics |
Filtrare i risultati relativi all'identità e all'accesso per piattaforma cloud
Nel riquadro Risultati della query sui risultati, puoi capire a quale piattaforma cloud si riferisce un risultato esaminando i contenuti delle colonne Provider cloud, Nome visualizzato risorsa o Tipo di risorsa.
La sezione Risultati query di ricerca mostra i risultati di identità e accesso per gli ambientiGoogle Cloud, AWS e Microsoft Azure per impostazione predefinita. Per modificare i risultati della query di ricerca predefinita in modo che vengano visualizzati solo i risultati per una determinata piattaforma cloud, seleziona Amazon Web Services o Google Cloud Platform dalla categoria di filtri rapidi Provider di servizi cloud.
Esaminare in dettaglio i risultati relativi a identità e accesso
Per saperne di più su un risultato di identità e accesso, apri la visualizzazione dettagliata del risultato facendo clic sul nome del risultato nella colonna Categoria del riquadro Risultati. Per saperne di più sulla visualizzazione dei dettagli del risultato, vedi Visualizzare i dettagli di un risultato.
Le seguenti sezioni della scheda Riepilogo della visualizzazione dettagli sono utili per esaminare i risultati relativi a identità e accesso.
Concessioni di accesso illecite
Nella scheda Riepilogo del riquadro dei dettagli di un risultato, la riga Concessioni di accesso illecite consente di esaminare rapidamente i principal, incluse le identità federate, e il loro accesso alle tue risorse. Queste informazioni vengono visualizzate solo per i risultati quando il motore per suggerimenti IAM rileva entità sulle risorse Google Cloud con ruoli di base, inutilizzati e altamente permissivi.
Fai clic su Esamina le concessioni di accesso illecite per aprire il riquadro Esamina le concessioni di accesso illecite, che contiene le seguenti informazioni:
- Il nome del mandante. Le entità visualizzate in questa colonna possono essere un mix di Google Cloud account utente, gruppi, identità federate e service account.
- Il nome del ruolo concesso all'entità.
- L'azione consigliata che puoi intraprendere per correggere l'accesso illecito.
Informazioni sulla richiesta
Nella scheda Riepilogo della pagina dei dettagli di un risultato, la sezione Informazioni sul caso viene visualizzata quando esiste una richiesta o un ticket corrispondente a un determinato risultato.
La sezione Informazioni sui casi consente di monitorare gli interventi correttivi per un determinato risultato. Fornisce dettagli sul caso corrispondente, ad esempio link a eventuali casi e ticket del sistema di gestione dei ticket (Jira o ServiceNow) corrispondenti, l'assegnatario, lo stato e la priorità del caso.
Per accedere alla richiesta corrispondente al risultato, fai clic sul numerocase IDa nella riga ID richiesta.
Per accedere al ticket Jira o ServiceNow corrispondente al risultato, fai clic sul numero ID ticket nella riga ID ticket.
Per connettere i tuoi sistemi di gestione dei ticket a Security Command Center Enterprise, consulta Integrare Security Command Center Enterprise con i sistemi di gestione dei ticket.
Per saperne di più sull'esame dei casi corrispondenti, vedi Esaminare i casi relativi ai risultati di identità e accesso.
Passaggi successivi
Nella scheda Riepilogo della pagina dei dettagli di un risultato, la sezione Passaggi successivi fornisce indicazioni passo passo su come risolvere immediatamente il problema rilevato. Questi consigli sono personalizzati per il risultato specifico che stai visualizzando.
Passaggi successivi
- Scopri come esaminare e gestire i risultati.
- Scopri come esaminare i casi di risultati di identità e accesso.
- Scopri di più sui detector CIEM che generano risultati AWS e Microsoft Azure.