Este documento oferece um guia detalhado para ativar a remediação de bucket público para os playbooks de descobertas de postura no nível Enterprise do Security Command Center.
Visão geral
O Security Command Center permite a correção adicional das vulnerabilidades em estes playbooks:
- Descobertas de postura – Genérica
- Encontre a postura com o Jira
- Descobertas de postura com o ServiceNow
Esses playbooks de descobertas de postura incluem um bloco que corrige OPEN PORT
,
PUBLIC IP ADDRESS
e PUBLIC BUCKET ACL
descobertas. Para mais informações
sobre esses tipos de descobertas, consulte Vulnerabilidade
descobertas.
Os playbooks são pré-configurados para processar OPEN PORT
e PUBLIC IP ADDRESS
descobertas. Corrigir as descobertas de PUBLIC_BUCKET_ACL
exige que você ative
a correção do bucket público para playbooks.
Ativar a correção de bucket público para playbooks
Depois que o detector da Análise de integridade da segurança (SHA, na sigla em inglês) identifica o
aos buckets do Cloud Storage que são acessíveis publicamente e geram
PUBLIC_BUCKET_ACL
descobertas, o Security Command Center Enterprise as ingere
e anexa playbooks a eles. Para ativar a correção de bucket público para
playbooks de findings de postura, você precisa criar um papel personalizado do IAM,
configurar uma permissão específica para ele e conceder o papel personalizado que você
criou a um principal existente.
Antes de começar
Uma instância configurada e em execução da integração do Cloud Storage necessárias para corrigir o acesso ao bucket público. Validar a integração configuração, consulte Atualizar o caso de uso empresarial.
Criar um papel personalizado do IAM
Criar um papel personalizado do IAM e configurar uma permissão específica para isso, siga estas etapas:
No console do Google Cloud, acesse a página Papéis do IAM.
Clique em Criar função para criar uma função personalizada com as permissões necessárias para a integração.
Para um novo papel personalizado, forneça o Título, a Descrição e um nome ID.
Defina o Estágio da inicialização do papel como Disponibilidade geral.
Adicione a seguinte permissão ao papel criado:
resourcemanager.organizations.setIamPolicy
Clique em Criar.
Conceder um papel personalizado a um principal
Depois de conceder o novo papel personalizado a um principal selecionado, ele poderá mudar para todos os usuários na organização.
Para conceder o papel personalizado a um principal, conclua as seguintes etapas:
No console do Google Cloud, abra a página IAM.
No campo Filtro, cole o valor do E-mail de Identidade da carga de trabalho que para a integração com o Cloud Storage e procure o principal existente.
Clique em
Editar principal. O Editar acesso à caixa de diálogo "PROJECT" abre.Em Atribuir funções, clique em
. Adicionar outro papel.Selecione o papel personalizado que você criou e clique em Salvar.