Questo documento fornisce una guida passo passo per abilitare la correzione dei bucket pubblici per i playbook dei risultati di postura nel livello Enterprise di Security Command Center.
Panoramica
Security Command Center supporta la correzione aggiuntiva delle vulnerabilità nei seguenti playbook:
- Risultati della postura - Generico
- Risultati della configurazione di sicurezza con Jira
- Risultati della postura con ServiceNow
Questi playbook sui risultati della postura includono un blocco che corregge i risultati OPEN PORT,
PUBLIC IP ADDRESS e PUBLIC BUCKET ACL. Per ulteriori informazioni
su questi tipi di risultati, consulta Risultati
delle vulnerabilità.
I playbook sono preconfigurati per elaborare i risultati OPEN PORT e PUBLIC IP ADDRESS. La correzione dei risultati PUBLIC_BUCKET_ACL richiede l'attivazione
della correzione dei bucket pubblici per i playbook.
Abilita la correzione dei bucket pubblici per i playbook
Dopo che il rilevatore di Security Health Analytics (SHA) identifica i bucket Cloud Storage accessibili pubblicamente e genera i risultati PUBLIC_BUCKET_ACL, Security Command Center Enterprise li importa e vi allega i playbook. Per attivare la correzione dei bucket pubblici per i playbook dei risultati di postura, devi creare un ruolo IAM personalizzato, configurare un'autorizzazione specifica e concedere il ruolo personalizzato che hai creato a un'entità esistente.
Prima di iniziare
Per correggere l'accesso pubblico al bucket è necessaria un'istanza configurata e in esecuzione dell'integrazione di Cloud Storage. Per convalidare la configurazione dell'integrazione, consulta Aggiornare il caso d'uso Enterprise.
Creare un ruolo IAM personalizzato
Per creare un ruolo IAM personalizzato e configurare un'autorizzazione specifica per questo ruolo, completa i seguenti passaggi:
Nella console Google Cloud , vai alla pagina Ruoli di IAM.
Fai clic su Crea ruolo per creare un ruolo personalizzato con le autorizzazioni richieste per l'integrazione.
Per un nuovo ruolo personalizzato, fornisci Titolo, Descrizione e un ID univoco.
Imposta Fase di lancio del ruolo su Disponibilità generale.
Aggiungi la seguente autorizzazione al ruolo creato:
resourcemanager.organizations.setIamPolicyFai clic su Crea.
Concedere un ruolo personalizzato a un'entità esistente
Dopo aver concesso il nuovo ruolo personalizzato a un soggetto selezionato, quest'ultimo può modificare le autorizzazioni per qualsiasi utente della tua organizzazione.
Per concedere il ruolo personalizzato a un'entità esistente, completa i seguenti passaggi:
Nella console Google Cloud vai alla pagina IAM.
Nel campo Filtro, incolla il valore di Email identità del workload che utilizzi per l'integrazione di Cloud Storage e cerca l'entità esistente.
Fai clic su Modifica soggetto. Si apre la finestra di dialogo Modifica l'accesso a "PROJECT".
Nella sezione Assegna ruoli, fai clic su Aggiungi un altro ruolo.
Seleziona il ruolo personalizzato che hai creato e fai clic su Salva.