Ativar a correção de buckets públicos

Este documento fornece um guia detalhado para ativar a correção de bucket público para os playbooks de descobertas de postura no nível Enterprise do Security Command Center.

Visão geral

O Security Command Center oferece mais opções de correção para as vulnerabilidades nos seguintes playbooks:

  • Descobertas de postura – genérico
  • Descobertas de postura com o Jira
  • Descobertas de postura com o ServiceNow

Esses playbooks incluem um bloco que corrige as descobertas OPEN PORT, PUBLIC IP ADDRESS e PUBLIC BUCKET ACL. Para mais informações sobre esses tipos de descobertas, consulte Descobertas de vulnerabilidades.

Os playbooks são pré-configurados para processar as descobertas de OPEN PORT e PUBLIC IP ADDRESS. Para corrigir os resultados do PUBLIC_BUCKET_ACL, é necessário ativar a correção de buckets públicos para playbooks.

Ativar a correção de buckets públicos para playbooks

Depois que o detector do Security Health Analytics (SHA) identifica os buckets do Cloud Storage acessíveis ao público e gera as descobertas PUBLIC_BUCKET_ACL, o Security Command Center Enterprise ingere as descobertas e anexa playbooks a elas. Para ativar a correção de buckets públicos para playbooks de descobertas de postura, crie um papel personalizado do IAM, configure uma permissão específica para ele e conceda o papel personalizado criado a um principal existente.

Antes de começar

Uma instância configurada e em execução da integração do Cloud Storage é necessária para corrigir o acesso público ao bucket. Para validar a configuração da integração, consulte Atualizar o caso de uso do Enterprise.

Criar um papel personalizado do IAM

Para criar um papel personalizado do IAM e configurar uma permissão específica para ele, siga estas etapas:

  1. No console Google Cloud , acesse a página Papéis do IAM.

    Acessar funções do IAM

  2. Clique em Criar função para criar uma função personalizada com as permissões necessárias para a integração.

  3. Para uma nova função personalizada, forneça o Título, a Descrição e um ID exclusivo.

  4. Defina a Etapa de lançamento da função como Disponibilidade geral.

  5. Adicione a seguinte permissão ao papel criado:

    resourcemanager.organizations.setIamPolicy

  6. Clique em Criar.

Conceder uma função personalizada a um principal

Depois de conceder a nova função personalizada a um principal selecionado, ele poderá mudar as permissões de qualquer usuário na sua organização.

Para conceder a função personalizada a um principal, siga estas etapas:

  1. No console Google Cloud , acesse a página IAM.

    Acessar IAM

  2. No campo Filtro, cole o valor de E-mail da identidade da carga de trabalho que você usa para a integração do Cloud Storage e pesquise o principal atual.

  3. Clique em Editar principal. A caixa de diálogo Editar acesso a "PROJECT" será aberta.

  4. Em Atribuir papéis, clique em Adicionar outro papel.

  5. Selecione a função personalizada que você criou e clique em Salvar.