Nesta página, explicamos como trabalhar com descobertas de problemas de segurança relacionados a identidade e acesso (descobertas de identidade e acesso) no consoleGoogle Cloud para investigar e identificar possíveis configurações incorretas.
Como parte dos recursos de gerenciamento de direitos de infraestrutura de nuvem (CIEM) oferecidos com o nível Enterprise, o Security Command Center gera descobertas de identidade e acesso e as disponibiliza na página Visão geral de risco do Security Command Center. Essas descobertas são selecionadas e categorizadas no painel Descobertas de identidade e acesso.
Antes de começar
Antes de continuar, verifique se você concluiu as seguintes tarefas:
- Saiba mais sobre as capacidades de CIEM do Security Command Center.
- Configure as permissões para a CIEM.
- Ative o serviço de detecção de CIEM para sua nuvem.
Conferir descobertas de identidade e acesso na página "Descobertas"
A visualização Identidade na página Descobertas do Security Command Center mostra descobertas de identidade e acesso em seus ambientes de nuvem, como Google Cloud e Amazon Web Services (AWS).
No console do Google Cloud , selecione Descobertas na navegação.
Selecione a visualização Identidade.
A visualização Identidade adiciona uma condição de filtro para mostrar apenas descobertas em que o campo domains.category contém o valor IDENTITY_AND_ACCESS.
Para mostrar apenas resultados de uma plataforma de nuvem específica, use os botões AWS e Google.
Use o painel Agregações e o Editor de consultas para filtrar ainda mais os resultados. Para ver apenas as descobertas detectadas por um serviço específico, selecione esse serviço na categoria Nome de exibição da origem no painel Agregações. Por exemplo, se você quiser ver apenas as descobertas detectadas pelo serviço de detecção de CIEM, selecione CIEM. Outros exemplos:
- Categoria: filtra os resultados da consulta para categorias específicas de descobertas sobre as quais você quer saber mais.
- ID do projeto: os filtros consultam os resultados de descobertas relacionadas a um projeto específico.
- Tipo de recurso: filtra para consultar os resultados de descobertas relacionadas a um tipo de recurso específico.
- Gravidade: filtros para consultar os resultados de descobertas de uma gravidade específica.
- Nome de exibição da origem: filtra para consultar os resultados de descobertas detectadas por um serviço específico que detectou a configuração incorreta.
O painel Resultados da consulta de descobertas consiste em várias colunas que fornecem detalhes sobre a descoberta. Entre elas, as seguintes colunas são de interesse para fins de CIEM:
- Gravidade: mostra a gravidade de uma determinada descoberta para ajudar você a priorizar a correção.
- Nome de exibição do recurso: mostra o recurso em que a descoberta foi detectada.
- Nome de exibição da origem: mostra o serviço que detectou a descoberta. As fontes que produzem descobertas relacionadas à identidade incluem CIEM, recomendador do IAM, Security Health Analytics e Event Threat Detection.
- Provedor de nuvem: mostra o ambiente de nuvem em que a descoberta foi detectada, como Google Cloud, AWS e Microsoft Azure.
- Concessões de acesso inadequado: mostra um link para revisar os principais que podem ter recebido papéis inadequados.
- ID do caso: mostra o número de ID do caso relacionado à descoberta.
Para mais informações sobre como trabalhar com descobertas, consulte Analisar e gerenciar descobertas.
Investigar descobertas de identidade e acesso para diferentes plataformas de nuvem
O Security Command Center permite investigar descobertas de erros de configuração de identidade e acesso nos ambientes do AWS, Microsoft Azure e Google Cloud na página Descobertas do Security Command Center.
Muitos serviços de detecção do Security Command Center, como CIEM, recomendador de IAM, análise de integridade de segurança e detecção de ameaças a eventos, geram categorias de descobertas específicas do CIEM que detectam possíveis problemas de segurança de identidade e acesso nas plataformas de nuvem.
O serviço de detecção de CIEM do Security Command Center gera descobertas específicas para seus ambientes da AWS e do Microsoft Azure. Já os serviços de detecção do recomendador do IAM, do Security Health Analytics e do Event Threat Detection geram descobertas específicas para seu ambiente do Google Cloud.
Para ver apenas as descobertas detectadas por um serviço específico, selecione esse serviço na categoria de filtros rápidos Nome de exibição da origem. Por exemplo, se você quiser ver apenas as descobertas detectadas pelo serviço de detecção de CIEM, selecione CIEM.
A tabela a seguir descreve todas as descobertas consideradas parte dos recursos de CIEM do Security Command Center.
| Plataforma da nuvem | Categoria da descoberta | Descrição | Origem |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Funções do IAM assumidas detectadas no seu ambiente da AWS com políticas altamente permissivas. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Grupos do AWS IAM ou da Central de identificação do AWS IAM detectados no seu ambiente da AWS com políticas altamente permissivas. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Usuários da Central de identificação do AWS IAM ou do AWS IAM detectados no seu ambiente da AWS com políticas altamente permissivas. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| AWS | User is inactive
(INACTIVE_USER) | Usuários inativos do AWS IAM ou da Central de identificação do AWS IAM são detectados no seu ambiente da AWS. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| AWS | Group is inactive
(INACTIVE_GROUP) | Os grupos do AWS IAM ou da Central de identificação do AWS IAM detectados no seu ambiente da AWS não estão ativos. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| AWS | Assumed identity is inactive
(INACTIVE_ASSUMED_IDENTITY) | As funções do IAM assumidas detectadas no seu ambiente da AWS estão inativas. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity
(OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | A política de confiança aplicada a um papel do IAM assumido é altamente permissiva. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| AWS | Assumed identity has lateral movement risk
(ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | Uma ou mais identidades podem se mover lateralmente no seu ambiente da AWS por representação de função. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| Microsoft Azure | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) |
Principais de serviço ou identidades gerenciadas detectadas no ambiente do Azure com atribuições de papéis altamente permissivas. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| Microsoft Azure | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) |
Grupos detectados no seu ambiente do Azure com atribuições de papéis altamente permissivas. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| Microsoft Azure | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) |
Usuários detectados no seu ambiente do Azure com atribuições de papéis altamente permissivas. Para mais informações, consulte Descobertas da CIEM. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Há usuários que não estão usando a verificação em duas etapas. Para mais informações, consulte Descobertas da autenticação multifator. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | As métricas e os alertas de registro não estão configurados para monitorar as mudanças de papéis personalizados. Para mais informações, consulte Monitorar descobertas de vulnerabilidade. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | A separação de tarefas não é aplicada e existe um usuário que tem um dos seguintes papéis do Cloud Key Management Service ao mesmo tempo: Criptografador/Descriptografador de CryptoKey, Criptografador ou Descriptografador. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Um usuário tem um dos seguintes papéis básicos: Proprietário (roles/owner), Editor (roles/editor) ou Leitor (roles/viewer). Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Um papel do Redis IAM é atribuído no nível da organização ou da pasta. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Um usuário recebeu os papéis de Administrador da conta de serviço e Usuário da conta de serviço. Isso viola o princípio de "Separação de tarefas". Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Há um usuário que não está usando credenciais organizacionais. De acordo com o CIS Google Cloud Foundations 1.0, apenas identidades com endereços de e-mail @gmail.com acionam esse detector. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Uma conta dos Grupos do Google que pode ser mesclada sem aprovação é usada como principal da política de permissão do IAM. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | O recomendador do IAM detectou uma conta de usuário com um papel do IAM que não foi usado nos últimos 90 dias. Para mais informações, consulte Resultados do recomendador do IAM. | Recomendador IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | O recomendador do IAM detectou uma conta de serviço com um ou mais papéis do IAM que concedem permissões excessivas à conta de usuário. Para mais informações, consulte Resultados do recomendador do IAM. | Recomendador IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
O recomendador do IAM detectou que o papel do IAM padrão original concedido a um agente de serviço foi substituído por um dos papéis básicos do IAM: Proprietário, Editor ou Leitor. Papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço. Para mais informações, consulte Descobertas do recomendador do IAM. | Recomendador IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | O recomendador do IAM detectou que um agente de serviço recebeu um dos papéis básicos do IAM: Proprietário, Editor ou Leitor. Papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço. Para mais informações, consulte Descobertas do recomendador do IAM. | Recomendador IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Uma conta de serviço tem privilégios de Administrador, Proprietário ou Editor. Esses papéis não devem ser atribuídos a contas de serviço criadas pelo usuário. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Uma instância está configurada para usar a conta de serviço padrão. Para mais informações, consulte Descobertas de vulnerabilidade da instância do Compute. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Um usuário tem o papel Usuário da conta de serviço ou Criador de token da conta de serviço no nível do projeto, e não para uma conta de serviço específica. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Uma chave de conta de serviço não é rotacionada há mais de 90 dias. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Uma conta de serviço do nó tem escopos de acesso amplos. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Uma chave criptográfica do Cloud KMS é acessível publicamente. Para mais informações, consulte Descobertas de vulnerabilidades do KMS. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Um bucket do Cloud Storage é acessível publicamente. Para mais informações, consulte Descobertas de vulnerabilidade de armazenamento. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Um bucket de armazenamento usado como coletor de registros é acessível publicamente. Para mais informações, consulte Descobertas de vulnerabilidade de armazenamento. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Um usuário gerencia uma chave de conta de serviço. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Há mais de três usuários de chaves criptográficas. Para mais informações, consulte Descobertas de vulnerabilidades do KMS. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Um usuário tem permissões de Proprietário em um projeto com chaves criptográficas. Para mais informações, consulte Descobertas de vulnerabilidades do KMS. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | As métricas e os alertas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto. Para mais informações, consulte Monitorar descobertas de vulnerabilidade. | Security Health Analytics |
Filtrar descobertas de identidade e acesso por plataforma de nuvem
No painel Resultados da consulta de descobertas, é possível saber qual descoberta está relacionada a uma determinada plataforma de nuvem inspecionando o conteúdo das colunas Provedor de nuvem, Nome de exibição do recurso ou Tipo de recurso.
Os resultados da consulta de descobertas mostram descobertas de identidade e acesso para ambientes Google Cloud, AWS e Microsoft Azure por padrão. Para editar os resultados da consulta de descoberta padrão e mostrar apenas descobertas de uma plataforma de nuvem específica, selecione Amazon Web Services ou Plataforma Google Cloud na categoria de filtros rápidos Provedor de nuvem.
Inspecionar descobertas de identidade e acesso em detalhes
Para saber mais sobre uma descoberta de identidade e acesso, abra a visualização detalhada dela clicando no nome na coluna Categoria do painel Descobertas. Para mais informações sobre a visualização de detalhes da descoberta, consulte Ver os detalhes de uma descoberta.
As seções a seguir na guia Resumo da visualização detalhada são úteis ao investigar descobertas de identidade e acesso.
Concessões de acesso ofensivo
Na guia Resumo do painel de detalhes de uma descoberta, a linha Concessões de acesso ofensivas oferece uma maneira de inspecionar rapidamente os principais, incluindo identidades federadas, e o acesso deles aos seus recursos. Essas informações só aparecem para descobertas quando o recomendador do IAM detecta principais em recursos do Google Cloud com papéis básicos, não usados e altamente permissivos.
Clique em Analisar concessões de acesso ofensivas para abrir o painel Analisar concessões de acesso ofensivas, que contém as seguintes informações:
- O nome do principal. Os principais mostrados nessa coluna podem ser uma mistura de contas de usuário, grupos, identidades federadas e contas de serviço. Google Cloud
- O nome do papel concedido ao principal.
- A ação recomendada que você pode realizar para corrigir o acesso ofensivo.
Informações do caso
Na guia Resumo da página de detalhes de uma descoberta, a seção Informações do caso aparece quando há um caso ou tíquete correspondente a uma descoberta específica.
A seção Informações sobre casos oferece uma maneira de acompanhar os esforços de correção de uma descoberta específica. Ele fornece detalhes sobre o caso correspondente, como links para qualquer caso e tíquete do sistema de emissão de tíquetes (Jira ou ServiceNow) correspondentes, o destinatário, o status e a prioridade do caso.
Para acessar o caso correspondente à descoberta, clique no número do ID do caso na linha ID do caso.
Para acessar o tíquete do Jira ou do ServiceNow correspondente à descoberta, clique no número do ID do tíquete na linha ID do tíquete.
Para conectar seus sistemas de tíquetes ao Security Command Center Enterprise, consulte Integrar o Security Command Center Enterprise a sistemas de tíquetes.
Para mais informações sobre como analisar casos correspondentes, consulte Analisar casos de descoberta de identidade e acesso.
Próximas etapas
Na guia Resumo da página de detalhes de uma descoberta, a seção Próximas etapas fornece orientações detalhadas sobre como corrigir imediatamente o problema detectado. Essas recomendações são adaptadas à descoberta específica que você está visualizando.
A seguir
- Saiba como analisar e gerenciar descobertas.
- Saiba como analisar casos de descoberta de identidade e acesso.
- Saiba mais sobre os detectores de CIEM que geram descobertas da AWS e do Microsoft Azure.