Ce document fournit un guide pas à pas pour activer la correction des buckets publics pour les playbooks de résultats de posture dans le niveau Enterprise de Security Command Center.
Présentation
Security Command Center est compatible avec des mesures correctives supplémentaires pour les failles des playbooks suivants :
- Résultats de la posture : générique
- Résultats de la recherche de stratégies avec Jira
- Résultats de l'analyse de la posture avec ServiceNow
Ces playbooks sur les résultats de posture incluent un bloc qui corrige les résultats OPEN PORT, PUBLIC IP ADDRESS et PUBLIC BUCKET ACL. Pour en savoir plus sur ces types de résultats, consultez Résultats concernant les failles.
Les playbooks sont préconfigurés pour traiter les résultats OPEN PORT et PUBLIC IP ADDRESS. Pour corriger les résultats PUBLIC_BUCKET_ACL, vous devez activer la correction des buckets publics pour les playbooks.
Activer la correction des buckets publics pour les playbooks
Une fois que le détecteur Security Health Analytics (SHA) a identifié les buckets Cloud Storage accessibles au public et généré les résultats PUBLIC_BUCKET_ACL, Security Command Center Enterprise ingère les résultats et leur associe des playbooks. Pour activer la correction des buckets publics pour les playbooks de résultats de posture, vous devez créer un rôle IAM personnalisé, configurer une autorisation spécifique pour celui-ci et accorder le rôle personnalisé que vous avez créé à un compte principal existant.
Avant de commencer
Une instance configurée et en cours d'exécution de l'intégration Cloud Storage est requise pour corriger l'accès public aux buckets. Pour valider la configuration de l'intégration, consultez Mettre à jour le cas d'utilisation Enterprise.
Créer un rôle IAM personnalisé
Pour créer un rôle IAM personnalisé et lui configurer une autorisation spécifique, procédez comme suit :
Dans la console Google Cloud , accédez à la page Rôles d'IAM.
Cliquez sur Créer un rôle pour créer un rôle personnalisé avec les autorisations requises pour l'intégration.
Pour un nouveau rôle personnalisé, indiquez le titre, la description et un ID unique.
Définissez l'étape de lancement du rôle sur Disponibilité générale.
Ajoutez l'autorisation suivante au rôle créé :
resourcemanager.organizations.setIamPolicyCliquez sur Créer.
Attribuer un rôle personnalisé à un compte principal existant
Une fois que vous avez accordé votre nouveau rôle personnalisé à un compte principal sélectionné, celui-ci peut modifier les autorisations de n'importe quel utilisateur de votre organisation.
Pour attribuer le rôle personnalisé à un compte principal existant, procédez comme suit :
Dans la console Google Cloud , accédez à la page IAM.
Dans le champ Filtre, collez la valeur Adresse e-mail de l'identité de charge de travail que vous utilisez pour l'intégration Cloud Storage, puis recherchez le principal existant.
Cliquez sur Modifier le compte principal. La boîte de dialogue Modifier l'accès à "PROJECT" s'ouvre.
Sous Attribuer des rôles, cliquez sur Ajouter un autre rôle.
Sélectionnez le rôle personnalisé que vous avez créé, puis cliquez sur Enregistrer.