Rôles requis
Pour obtenir les autorisations nécessaires pour résoudre les problèmes, demandez à votre administrateur de vous accorder les rôles IAM suivants sur l'organisation:
-
Pour afficher les problèmes, vous devez disposer de l'un des rôles suivants :
-
Lecteur de données du centre de sécurité (
roles/securitycenter.findingsViewer) -
Lecteur des problèmes du centre de sécurité (
roles/securitycenter.issuesViewer)
-
Lecteur de données du centre de sécurité (
-
Pour afficher, mettre en sourdine et réactiver des problèmes :
Éditeur de problèmes du centre de sécurité (
roles/securitycenter.issuesEditor)
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour gérer les problèmes. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour gérer les problèmes:
-
Pour afficher les problèmes :
-
securitycenter.issues.get -
securitycenter.issues.list -
securitycenter.issues.group -
securitycenter.issues.listFilterValues
-
-
Pour résoudre les problèmes de désactivation et de réactivation du son :
securitycenter.issues.mute
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Afficher les problèmes
Vous pouvez trouver des problèmes à deux endroits dans la console Security Operations:
- Page Risque > Vue d'ensemble. Cette page présente un aperçu des principaux risques détectés dans vos environnements cloud, y compris les problèmes.
- La page Risque > Problèmes, qui répertorie tous les problèmes détectés dans vos environnements cloud. Il fournit également des informations plus détaillées sur chacun des problèmes, y compris sur la façon de les résoudre.
Pour afficher tous les problèmes dans la console Security Operations, accédez à Problèmes:
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/issues
Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.
Pour afficher des problèmes individuels, développez un groupe de détection, puis cliquez sur l'un des problèmes du groupe. Le panneau d'informations sur le problème s'ouvre et contient les éléments suivants:
- Résumé du problème.
- Chemin d'attaque ou diagramme des preuves interactif
- Résultats liés au problème.
- Un onglet Résoudre le problème, qui fournit la procédure de résolution.
- Pour les combinaisons toxiques et les goulots d'étranglement (Aperçu), un onglet Ressources à forte valeur exposées, qui liste les ressources à forte valeur affectées par le problème.
- Pour les insights des graphiques de sécurité, un onglet Ressources concernées, qui liste les ressources qui contribuent au problème. Cet onglet indique si plus de six ressources contribuent à un problème.
- Un onglet JSON, qui fournit les données du problème au format JSON.
Pour passer d'un problème à un autre dans la file d'attente, cliquez sur les icônes de flèche à côté du bouton Prendre des mesures.
Résoudre les problèmes
Pour résoudre un problème, procédez comme suit:
Pour afficher tous les problèmes dans la console Security Operations, accédez à Problèmes:
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/issuesRemplacez
CUSTOMER_SUBDOMAINpar votre identifiant client.Par défaut, les problèmes regroupés sont classés par gravité. Dans le groupe, les problèmes sont classés en fonction du score d'exposition aux attaques. Pour trier tous les problèmes par score d'exposition aux attaques, désactivez Regrouper par détections.
Sélectionnez un problème.
Examinez la description du problème et les preuves.
Si des résultats associés s'affichent, consultez leurs détails.
Si plusieurs problèmes critiques sont détectés sur une ressource principale dans une combinaison toxique ou un goulot d'étranglement (Aperçu), un message s'affiche après le diagramme Preuves. Pour optimiser vos efforts de correction, cliquez sur Filtrer les problèmes de cette ressource principale dans ce message pour vous concentrer sur la résolution des problèmes de cette ressource spécifique. Pour supprimer le filtre, cliquez sur la flèche de retour à côté de
Ajouter un filtre.Cliquez sur Explorer les chemins d'attaque complets dans le diagramme Preuves pour comprendre en détail le problème et la façon dont les chemins d'attaque exposent des ressources à forte valeur.
Cliquez sur Comment résoudre le problème, puis suivez les instructions pour atténuer le risque.
Accepter et désactiver le risque d'un problème
Si le risque posé par un problème est acceptable pour votre entreprise ou si vous ne pouvez pas le résoudre, vous pouvez choisir de l'accepter. Le problème est alors marqué comme un risque accepté, et l'utilisateur qui l'a accepté et la date sont enregistrés. Vous ne pouvez accepter le risque que pour des problèmes individuels, et non pour l'ensemble des détections.
Pour accepter le risque d'un problème, procédez comme suit:
- Ouvrez le panneau d'informations d'un problème.
- Cliquez sur Prendre des mesures.
- Cliquez sur Accepter le risque.
- Indiquez pourquoi vous acceptez le risque, puis cliquez sur Accepter le risque.
Une fois que vous avez accepté le risque associé à un problème, il peut s'écouler quelques minutes avant que cela ne soit reflété dans la liste des problèmes. Le problème ne s'affichera plus dans la liste avec les filtres par défaut appliqués.
Afficher les problèmes associés à un risque accepté
Pour afficher les problèmes associés à un risque accepté, cliquez sur
Ajouter un filtre, puis ajoutez un filtre Risque accepté avec la valeur Oui.
Réactiver un problème
Pour annuler l'acceptation du risque d'un problème, procédez comme suit:
- Filtrez la vue par risque accepté.
- Ouvrez le panneau d'informations du problème.
- Cliquez sur Prendre des mesures.
- Cliquez sur Réactiver le risque.
- Saisissez la raison pour laquelle vous réactivez le risque, puis cliquez sur Réactiver le risque.