Habilita la corrección de bucket públicos

En este documento, se proporciona una guía paso a paso para habilitar la remediación de bucket público para los libros de jugadas de resultados de postura en el nivel empresarial de Security Command Center.

Descripción general

Security Command Center admite la remediación adicional de las vulnerabilidades de los siguientes manuales:

  • Resultados de la postura: genéricos
  • Resultados de la postura con Jira
  • Resultados de la postura con ServiceNow

Estos libros de jugadas de los resultados de la postura incluyen un bloque que corrige los resultados de OPEN PORT, PUBLIC IP ADDRESS y PUBLIC BUCKET ACL. Para obtener más información sobre estos tipos de resultados, consulta Resultados de vulnerabilidades.

Las guías se preconfiguran para procesar los hallazgos de OPEN PORT y PUBLIC IP ADDRESS. Para corregir los hallazgos de PUBLIC_BUCKET_ACL, debes habilitar la corrección de bucket públicos para las guías.

Habilita la remediación de bucket públicos para las guías

Después de que el detector de estadísticas del estado de la seguridad (SHA) identifica los buckets de Cloud Storage a los que se puede acceder de forma pública y genera los resultados de PUBLIC_BUCKET_ACL, Security Command Center Enterprise transfiere los resultados y les adjunta libros de jugadas. Para habilitar la remediación de bucket públicos para las guías de resultados de postura, debes crear un rol de IAM personalizado, configurar un permiso específico para él y otorgar el rol personalizado que creaste a un principal existente.

Antes de comenzar

Se requiere una instancia configurada y en ejecución de la integración de Cloud Storage para corregir el acceso público al bucket. Para validar la configuración de integración, consulta Cómo actualizar el caso de uso de Enterprise.

Crea un rol de IAM personalizado

Para crear un rol de IAM personalizado y configurar un permiso específico para él, completa los siguientes pasos:

  1. En la consola de Google Cloud, ve a la página Roles de IAM.

    Ve a Roles de IAM

  2. Haz clic en Crear rol para crear un rol personalizado con los permisos necesarios para la integración.

  3. Para un nuevo rol personalizado, proporciona el Título, la Descripción y un ID único.

  4. Establece la etapa de lanzamiento del rol en Disponibilidad general.

  5. Agrega el siguiente permiso al rol creado:

    resourcemanager.organizations.setIamPolicy

  6. Haz clic en Crear.

Otorga un rol personalizado a una cuenta principal existente

Después de otorgar el nuevo rol personalizado a un principal seleccionado, este podrá cambiar los permisos de cualquier usuario de tu organización.

Para otorgar el rol personalizado a un principal existente, completa los siguientes pasos:

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM

  2. En el campo Filtro, pega el valor de Workload Identity Email que usas para la integración de Cloud Storage y busca el principal existente.

  3. Haz clic en Editar principal. Se abrirá el diálogo Editar acceso a “PROJECT.

  4. En Asignar roles, haz clic en Agregar otro rol.

  5. Selecciona el rol personalizado que creaste y haz clic en Guardar.