Ativar a correção de bucket público

Este documento oferece um guia detalhado para ativar a remediação de bucket público para os playbooks de descobertas de postura no nível Enterprise do Security Command Center.

Visão geral

O Security Command Center permite a correção adicional das vulnerabilidades em estes playbooks:

  • Descobertas de postura – Genérica
  • Encontre a postura com o Jira
  • Descobertas de postura com o ServiceNow

Esses playbooks de descobertas de postura incluem um bloco que corrige OPEN PORT, PUBLIC IP ADDRESS e PUBLIC BUCKET ACL descobertas. Para mais informações sobre esses tipos de descobertas, consulte Vulnerabilidade descobertas.

Os playbooks são pré-configurados para processar OPEN PORT e PUBLIC IP ADDRESS descobertas. Corrigir as descobertas de PUBLIC_BUCKET_ACL exige que você ative a correção do bucket público para playbooks.

Ativar a correção de bucket público para playbooks

Depois que o detector da Análise de integridade da segurança (SHA, na sigla em inglês) identifica o aos buckets do Cloud Storage que são acessíveis publicamente e geram PUBLIC_BUCKET_ACL descobertas, o Security Command Center Enterprise as ingere e anexa playbooks a eles. Para ativar a correção de bucket público para playbooks de findings de postura, você precisa criar um papel personalizado do IAM, configurar uma permissão específica para ele e conceder o papel personalizado que você criou a um principal existente.

Antes de começar

Uma instância configurada e em execução da integração do Cloud Storage necessárias para corrigir o acesso ao bucket público. Validar a integração configuração, consulte Atualizar o caso de uso empresarial.

Criar um papel personalizado do IAM

Criar um papel personalizado do IAM e configurar uma permissão específica para isso, siga estas etapas:

  1. No console do Google Cloud, acesse a página Papéis do IAM.

    Acessar "Funções do IAM"

  2. Clique em Criar função para criar uma função personalizada com as permissões necessárias para a integração.

  3. Para um novo papel personalizado, forneça o Título, a Descrição e um nome ID.

  4. Defina o Estágio da inicialização do papel como Disponibilidade geral.

  5. Adicione a seguinte permissão ao papel criado:

    resourcemanager.organizations.setIamPolicy

  6. Clique em Criar.

Conceder um papel personalizado a um principal

Depois de conceder o novo papel personalizado a um principal selecionado, ele poderá mudar para todos os usuários na organização.

Para conceder o papel personalizado a um principal, conclua as seguintes etapas:

  1. No console do Google Cloud, abra a página IAM.

    Acessar IAM

  2. No campo Filtro, cole o valor do E-mail de Identidade da carga de trabalho que para a integração com o Cloud Storage e procure o principal existente.

  3. Clique em Editar principal. O Editar acesso à caixa de diálogo "PROJECT" abre.

  4. Em Atribuir funções, clique em . Adicionar outro papel.

  5. Selecione o papel personalizado que você criou e clique em Salvar.