Dieses Dokument enthält eine Schritt-für-Schritt-Anleitung zum Aktivieren der Korrektur für öffentliche Buckets für die Playbooks für die Behebung von Konfigurationsergebnissen in der Enterprise-Version von Security Command Center.
Übersicht
Security Command Center unterstützt zusätzliche Maßnahmen zur Behebung von Sicherheitslücken in den folgenden Playbooks:
- Ergebnisse zur Körperhaltung – Allgemein
- Sicherheitsstatusergebnisse mit Jira
- Posture Findings With ServiceNow
Diese Playbooks für die Sicherheitskonfiguration enthalten einen Block, mit dem die Ergebnisse für OPEN PORT, PUBLIC IP ADDRESS und PUBLIC BUCKET ACL behoben werden. Weitere Informationen zu diesen Ergebnistypen finden Sie unter Erfasste Sicherheitslücken.
Playbooks sind vorkonfiguriert, um die Ergebnisse von OPEN PORT und PUBLIC IP ADDRESS zu verarbeiten. Um die Ergebnisse von PUBLIC_BUCKET_ACL zu beheben, müssen Sie die Behebung von öffentlichen Buckets für Playbooks aktivieren.
Öffentliche Bucket-Abhilfemaßnahmen für Playbooks aktivieren
Nachdem der Security Health Analytics-Detektor (SHA) die öffentlich zugänglichen Cloud Storage-Buckets identifiziert und die PUBLIC_BUCKET_ACL-Ergebnisse generiert hat, werden die Ergebnisse in Security Command Center Enterprise aufgenommen und Playbooks angehängt. Wenn Sie die Korrektur öffentlicher Buckets für Playbooks mit Sicherheitsstatus-Ergebnissen aktivieren möchten, müssen Sie eine benutzerdefinierte IAM-Rolle erstellen, eine bestimmte Berechtigung dafür konfigurieren und die benutzerdefinierte Rolle, die Sie erstellt haben, einem vorhandenen Hauptkonto zuweisen.
Hinweise
Eine konfigurierte und ausgeführte Instanz der Cloud Storage-Integration ist erforderlich, um den öffentlichen Bucket-Zugriff zu beheben. Informationen zum Validieren der Integrationskonfiguration finden Sie unter Enterprise-Anwendungsfall aktualisieren.
Benutzerdefinierte IAM-Rolle erstellen
So erstellen Sie eine benutzerdefinierte IAM-Rolle und konfigurieren eine bestimmte Berechtigung dafür:
Rufen Sie in der Google Cloud Console die IAM-Seite Rollen auf.
Klicken Sie auf Rolle erstellen, um eine benutzerdefinierte Rolle mit den für die Integration erforderlichen Berechtigungen zu erstellen.
Geben Sie für eine neue benutzerdefinierte Rolle den Titel, die Beschreibung und eine eindeutige ID an.
Legen Sie die Rollenstartphase auf Allgemeine Verfügbarkeit fest.
Fügen Sie der erstellten Rolle die folgende Berechtigung hinzu:
resourcemanager.organizations.setIamPolicyKlicken Sie auf Erstellen.
Einem vorhandenen Hauptkonto eine benutzerdefinierte Rolle zuweisen
Nachdem Sie einem ausgewählten Hauptkonto die neue benutzerdefinierte Rolle zugewiesen haben, kann es die Berechtigungen für jeden Nutzer in Ihrer Organisation ändern.
So weisen Sie einem vorhandenen Hauptkonto die benutzerdefinierte Rolle zu:
Rufen Sie in der Google Cloud Console die Seite IAM auf.
Fügen Sie im Feld Filter den Wert Workload Identity Email ein, den Sie für die Cloud Storage-Integration verwenden, und suchen Sie nach dem vorhandenen Prinzipal.
Klicken Sie auf Hauptkonto bearbeiten. Das Dialogfeld Zugriff auf „PROJECT“ bearbeiten wird geöffnet.
Klicken Sie unter Rollen zuweisen auf Weitere Rolle hinzufügen.
Wählen Sie die benutzerdefinierte Rolle aus, die Sie erstellt haben, und klicken Sie auf Speichern.