En este documento se ofrece una guía paso a paso para habilitar la corrección de los buckets públicos en los cuadernos de estrategias de resultados de postura de la edición Enterprise de Security Command Center.
Información general
Security Command Center admite correcciones adicionales para las vulnerabilidades de los siguientes manuales:
- Posture Findings – Generic
- Hallazgos sobre la postura con Jira
- Resultados de la postura con ServiceNow
Estos manuales de procedimientos sobre la postura incluyen un bloque que corrige los resultados de OPEN PORT, PUBLIC IP ADDRESS y PUBLIC BUCKET ACL. Para obtener más información sobre estos tipos de resultados, consulta Resultados de vulnerabilidades.
Las guías están preconfiguradas para procesar los OPEN PORT y los PUBLIC IP ADDRESS
resultados. Para corregir los resultados de PUBLIC_BUCKET_ACL, debe habilitar la corrección de buckets públicos en los cuadernos de estrategias.
Habilitar la corrección de segmentos públicos en runbooks
Una vez que el detector de Security Health Analytics (SHA) identifica los
cubos de Cloud Storage que son accesibles públicamente y genera los
resultados de PUBLIC_BUCKET_ACL, Security Command Center Enterprise los ingiere y les adjunta libros de jugadas. Para habilitar la corrección de segmentos públicos en los cuadernos de estrategias de detecciones de postura, debes crear un rol de gestión de identidades y accesos personalizado, configurar un permiso específico para él y conceder el rol personalizado que has creado a un principal.
Antes de empezar
Para corregir el acceso público al segmento, es necesario que haya una instancia configurada y en ejecución de la integración de Cloud Storage. Para validar la configuración de la integración, consulta Actualizar el caso práctico de Enterprise.
Crear un rol de gestión de identidades y accesos personalizado
Para crear un rol de gestión de identidades y accesos personalizado y configurarle un permiso específico, sigue estos pasos:
En la Google Cloud consola, ve a la página Roles de gestión de identidades y accesos.
Haz clic en Crear rol para crear un rol personalizado con los permisos necesarios para la integración.
Para crear un rol personalizado, indica el título, la descripción y un ID único.
En Fase de lanzamiento del rol, selecciona Disponibilidad general.
Añade el siguiente permiso al rol creado:
resourcemanager.organizations.setIamPolicyHaz clic en Crear.
Asignar un rol personalizado a una cuenta principal
Una vez que hayas concedido tu nuevo rol personalizado a un principal seleccionado, este podrá cambiar los permisos de cualquier usuario de tu organización.
Para asignar el rol personalizado a una cuenta principal, sigue estos pasos:
En la consola, ve a la página Gestión de identidades y accesos. Google Cloud
En el campo Filter (Filtro), pega el valor de Workload Identity Email (Correo de identidad de carga de trabajo) que usas para la integración de Cloud Storage y busca la principal que ya tengas.
Haz clic en Editar principal. Se abrirá el cuadro de diálogo Editar acceso a "PROJECT".
En Asignar roles, haz clic en Añadir otro rol.
Selecciona el rol personalizado que has creado y haz clic en Guardar.